Privacy Policy di Consavio

Ai sensi del Regolamento (UE) 2016/679 (“GDPR”), e del Decreto legislativo 30 giugno 2003, n. 196, modificato dal decreto legislativo 10 agosto 2018, n. 101 (“Codice Privacy”), ti forniamo di seguito un’informativa dettagliata riguardante il Trattamento dei Dati Personali raccolti o forniti durante l’utilizzo dei servizi (“Servizi”) offerti attraverso la Piattaforma Consavio (la “Piattaforma” o “Consavio”). Tale Piattaforma è accessibile tramite l’indirizzo web www.consavio.com (il “Sito”), che rappresenta il principale punto di accesso per usufruire dei Servizi descritti e regolamentati nei Termini e Condizioni pubblicati sul Sito stesso.

Questa informativa è redatta con l’obiettivo di garantire trasparenza e consentirti di comprendere chiaramente quando e come i Dati Personali vengono raccolti, utilizzati, conservati e protetti. In particolare, troverai dettagli sulle modalità di trattamento, sulle finalità perseguite, sulle basi giuridiche applicate, sui diritti degli interessati e sulle misure di sicurezza adottate dalla Piattaforma per salvaguardare i diritti di qualsiasi persona fisica che la utilizza (“Utente”) e di eventuali altri soggetti interessati.

Ti invitiamo a leggere attentamente questa informativa per comprendere come Consavio si impegna a trattare i Dati Personali nel pieno rispetto delle normative vigenti in materia di protezione dei dati personali.

Indice

1. Identità del Titolare del trattamento

Il Titolare (“Titolare”) del trattamento dei Dati Personali raccolti direttamente presso gli Utenti (quali, a titolo esemplificativo: dati di registrazione, dati di navigazione, dati di contatto per l’assistenza) è:

Fondazione Sanità Responsabile, in persona del legale rappresentante e presidente pro tempore
Indirizzo: Castello di Farneta – Fortilizio Montefeltro | 61041 Acqualagna (PU)
Codice Fiscale: 91030010416
Sito web: www.sanire.org
Email: fondazione@sanire.org

Con riferimento invece ai Dati Personali e, in particolare, ai dati appartenenti a categorie particolari ex art. 9 GDPR (ivi inclusi dati sanitari) relativi ai pazienti/clienti immessi nella Piattaforma, i Titolari del trattamento sono esclusivamente gli Utenti (professionisti sanitari o altri professionisti), i quali raccolgono e trattano tali dati per le proprie finalità legittime.

In tale contesto, Consavio agisce esclusivamente quale Responsabile del trattamento ai sensi dell’art. 28 GDPR, limitatamente alle attività di archiviazione ed elaborazione dei dati per conto dei suddetti Titolari.

2. Tipologie di Dati Personali oggetto di trattamento

Consavio può raccogliere diverse tipologie di Dati Personali, a seconda delle interazioni dell’Utente con la Piattaforma e dei Servizi richiesti. Le principali categorie di dati includono:

  • Dati anagrafici: Informazioni di identificazione personale come nome, cognome, indirizzo email e numero di telefono, necessarie per registrarsi e accedere ai Servizi.
  • Dati di navigazione: Informazioni raccolte automaticamente durante l’accesso e l’uso della Piattaforma, come indirizzi IP, dati relativi alla sessione, informazioni sui dispositivi utilizzati e cookies. Questi dati sono necessari per garantire la sicurezza e migliorare l’esperienza di navigazione.
  • Altri dati forniti volontariamente: Informazioni aggiuntive fornite dall’Utente tramite moduli di contatto, richieste di supporto o durante la fruizione dei Servizi. Questi possono includere documenti o commenti inviati volontariamente.
  • Dati particolari (art. 9 GDPR): Nel caso in cui l’Utente utilizzi la Piattaforma per generare, archiviare o gestire moduli di consenso informato o altra documentazione sanitaria, potranno essere trattati dati appartenenti a categorie particolari ai sensi dell’art. 9 GDPR, tra cui dati relativi alla salute dei pazienti/clienti, nonché dati identificativi ad essi riferibili. Tali dati restano di esclusiva titolarità del professionista (Utente), che agisce quale Titolare autonomo del trattamento, mentre Consavio li tratta esclusivamente in qualità di Responsabile del trattamento, ai sensi dell’art. 28 GDPR.

La raccolta di tali dati avviene nel rispetto delle normative vigenti e previa informativa specifica, con raccolta del consenso laddove richiesto.

3. Finalità del trattamento

I Dati Personali degli Utenti sono trattati esclusivamente per scopi specifici e legittimi, in linea con la normativa vigente. Le principali finalità includono:

  • a) Esecuzione del Servizio: Per fornire, gestire e migliorare i Servizi disponibili sulla Piattaforma. Ciò include funzionalità come la registrazione, la gestione delle preferenze, l’assistenza tecnica e l’erogazione di contenuti personalizzati.
  • b) Adempimento di obblighi legali: Per rispettare la normativa vigente, inclusi obblighi di natura fiscale, contabile, amministrativa o derivanti da richieste dell’autorità giudiziaria o amministrativa.
  • c) Interesse legittimo del Titolare: Per garantire la sicurezza e la manutenzione della Piattaforma, prevenire attività fraudolente o accessi non autorizzati, migliorare la qualità tecnica del Servizio e ottimizzare la navigazione dell’Utente.
  • d) Analisi statistica anonima: Per monitorare le prestazioni del Sito e dei Servizi tramite dati aggregati e non riconducibili all’identità dell’Utente.
  • e) Attività basate su consenso: Per finalità opzionali e ulteriori, come l’invio di comunicazioni promozionali o l’eventuale utilizzo di dati per scopi di marketing.
  • f) Gestione dei dati dei pazienti/clienti da parte degli Utenti: Per consentire agli Utenti (professionisti sanitari e non) di generare, archiviare e gestire moduli di consenso informato o altra documentazione connessa all’attività professionale. In tale contesto, Consavio tratta i dati esclusivamente quale Responsabile del trattamento, in esecuzione delle istruzioni fornite dai rispettivi Titolari.

Ogni trattamento è eseguito in conformità ai principi di liceità, correttezza, trasparenza, minimizzazione e integrità, nel pieno rispetto dei diritti degli Utenti.

4. Base giuridica del trattamento

Il trattamento dei Dati Personali si fonda su una o più delle seguenti basi giuridiche, in relazione alle finalità indicate all’art. 3:

  • Per la finalità sub a) (Esecuzione del Servizio): il trattamento è necessario all’esecuzione di un contratto di cui l’Utente è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso, ai sensi dell’art. 6, par. 1, lett. b) GDPR.
  • Per la finalità sub b) (Obblighi legali): il trattamento è necessario per adempiere a un obbligo legale al quale è soggetto il Titolare, ai sensi dell’art. 6, par. 1, lett. c) GDPR.
  • Per la finalità sub c) (Interesse legittimo): il trattamento si basa sull’interesse legittimo del Titolare ai sensi dell’art. 6, par. 1, lett. f) GDPR, tenuto conto del bilanciamento tra tale interesse e i diritti e le libertà fondamentali dell’Utente.
  • Per la finalità sub d) (Analisi statistica anonima): il trattamento non comporta dati personali in quanto i dati sono resi anonimi; pertanto, non si applica il GDPR.
  • Per la finalità sub e) (Attività basate su consenso): il trattamento avviene solo previo consenso esplicito dell’Utente, ai sensi dell’art. 6, par. 1, lett. a) GDPR. Il consenso può essere revocato in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca.
  • Per la finalità sub f) (Gestione dati dei pazienti/clienti): il trattamento da parte di Consavio avviene in qualità di Responsabile del trattamento, sulla base delle istruzioni documentate dei Titolari (Utenti), ai sensi dell’art. 28 GDPR. La base giuridica sottostante è quella individuata dal singolo Titolare (ad esempio: consenso dell’interessato ex art. 9, par. 2, lett. a) GDPR; necessità per finalità di diagnosi, assistenza o terapia sanitaria ex art. 9, par. 2, lett. h) GDPR).

5. Destinatari dei Dati Personali

I Dati Personali potranno essere comunicati a soggetti terzi coinvolti nell’organizzazione e nella gestione dei Servizi offerti da Consavio. Le principali categorie di destinatari includono:

  • Fornitori di servizi tecnici terzi: aziende specializzate, come hosting provider, società di manutenzione informatica o sviluppatori di software. Tali soggetti possono operare in qualità di responsabili o sub-responsabili del trattamento, contrattualmente vincolati da Consavio al rispetto delle medesime garanzie di sicurezza e riservatezza.
  • Personale autorizzato del Titolare: dipendenti e collaboratori interni del Titolare, appositamente formati e autorizzati a trattare i Dati Personali per finalità specifiche, come supporto tecnico, gestione amministrativa o attività legali.
  • Autorità pubbliche: enti e organismi governativi, quando la comunicazione è richiesta da obblighi di legge o da ordini esecutivi, come nei casi di accertamenti fiscali o investigazioni giudiziarie.

Tutti i destinatari dei Dati sono vincolati al rispetto delle normative in materia di protezione dei dati personali e agiscono in conformità alle istruzioni impartite dal Titolare per garantire la riservatezza e la sicurezza delle informazioni trattate.

I Dati relativi ai pazienti/clienti inseriti dagli Utenti sono trattati da Consavio esclusivamente quale Responsabile del trattamento. Tali dati non vengono utilizzati da Consavio per finalità proprie, ma unicamente per l’erogazione dei Servizi della Piattaforma, nel rispetto delle istruzioni impartite dagli Utenti/Titolari.

Resta inteso che i Dati particolari (inclusi i Dati relativi alla salute), di cui all’art. 9 GDPR, non sono in alcun caso oggetto di diffusione; ogni comunicazione a terzi avviene nei limiti di legge e, se del caso, sulla base di accordi ex art. 28 GDPR. Consavio, come Responsabile del trattamento, non effettua comunicazioni autonome di tali dati.

6. Ruolo di Consavio nel trattamento di categorie particolari di Dati Personali

Gli Utenti della Piattaforma (professionisti sanitari e non) sono i Titolari autonomi dei trattamenti relativi ai Dati Personali dei propri pazienti/clienti.

Consavio agisce quale Responsabile del trattamento, ai sensi dell’art. 28 GDPR, limitatamente alle attività di archiviazione, gestione tecnica e messa a disposizione degli strumenti informatici necessari all’erogazione dei Servizi.

I rapporti tra i Titolari e Consavio sono regolati da apposito Accordo di nomina a Responsabile del trattamento, come da Termini e Condizioni di Consavio, che disciplina le istruzioni, le misure di sicurezza e le modalità di cancellazione o restituzione dei dati al termine del rapporto contrattuale.

Quando opera quale Responsabile per i trattamenti di cui all’art. 9 GDPR, Consavio non effettua attività di diagnosi, assistenza o terapia sanitaria e tratta i dati solo su istruzioni documentate degli Utenti/Titolari.

7. Trasferimento dei Dati Personali al di fuori dello Spazio Economico Europeo

Attualmente i Dati Personali non sono trasferiti verso paesi al di fuori dello Spazio Economico Europeo (SEE). Il Titolare adotta una politica restrittiva in materia, al fine di garantire che il trattamento dei dati avvenga esclusivamente in territori soggetti a standard di protezione equivalenti a quelli previsti dalla normativa europea.

Qualora in futuro si rendesse necessario effettuare trasferimenti al di fuori del SEE, tali trasferimenti saranno effettuati esclusivamente nel rispetto degli articoli 44 e seguenti del GDPR, adottando ogni misura di garanzia adeguata, comprese – ove richiesto – le Clausole Contrattuali Standard approvate dalla Commissione Europea o altre basi giuridiche legittime.

Il Titolare monitora costantemente la conformità dei soggetti coinvolti e adotta misure tecniche e organizzative idonee a garantire un livello di protezione adeguato.

8. Periodo di conservazione dei Dati Personali

I Dati Personali vengono trattati e conservati per il tempo strettamente necessario a raggiungere le finalità per cui sono stati raccolti. Successivamente, tali Dati vengono conservati come segue:

  • Dati per finalità contrattuali (Utenti): conservati per tutta la durata del rapporto contrattuale e, successivamente, per un periodo massimo di 10 anni, in ottemperanza agli obblighi di legge, ad esempio a fini fiscali o per la tutela di eventuali diritti legali.
  • Dati di navigazione: conservati per un periodo massimo di 12 mesi, salvo diversamente specificato nelle politiche relative ai cookie o in altre informative collegate.
  • Dati per altre attività: conservati fino alla revoca del consenso da parte dell’Utente, ove applicabile, oppure per il tempo strettamente necessario a soddisfare la finalità specifica per cui sono stati raccolti.
  • Dati forniti volontariamente tramite moduli di contatto o richieste di supporto: conservati per il tempo necessario alla gestione della richiesta e successivamente cancellati, salvo che ne sia giustificata un’ulteriore conservazione per obblighi di legge o per la tutela di diritti del Titolare.

Il Titolare del Trattamento si impegna a garantire che i dati vengano eliminati o anonimizzati in modo sicuro una volta raggiunti i termini di conservazione sopra indicati, salvo quando una ulteriore conservazione sia richiesta dalla legge.

  • Dati personali e sanitari dei pazienti/clienti (trattati per conto degli Utenti): conservati da Consavio esclusivamente per la durata del rapporto contrattuale con l’Utente o comunque fino a diversa istruzione documentata impartita dal Titolare.

Al termine del rapporto o su richiesta del Titolare, Consavio provvederà alla cancellazione o restituzione dei dati, secondo le disposizioni di cui all’art. 28, par. 3, lett. g) GDPR.

9. Diritti degli interessati

Gli Utenti hanno il diritto di:

  • Accedere ai propri Dati: Per conoscere quali informazioni sono in possesso del Titolare e ricevere copia degli stessi.
  • Richiedere la rettifica: Per correggere dati inesatti o completare quelli incompleti.
  • Chiedere la cancellazione dei propri Dati: Esercitando il “diritto all’oblio” nei casi previsti dalla legge.
  • Limitare il trattamento: In determinate circostanze, ad esempio in caso di contestazione sulla liceità del trattamento.
  • Opporsi al trattamento: Per motivi legati alla propria situazione particolare o per evitare trattamenti per finalità di marketing diretto.
  • Richiedere la portabilità dei Dati: Per ottenere i Dati forniti in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e per trasferirli ad altro Titolare, ove tecnicamente fattibile.
  • Revocare il consenso: In qualsiasi momento, senza pregiudicare la liceità del trattamento effettuato prima della revoca.
  • Proporre reclamo: Ad un’autorità di controllo, come l’Autorità Garante per la protezione dei Dati Personali in Italia.

Gli Utenti possono esercitare i propri diritti contattando il Titolare ai recapiti indicati sopra. Le richieste saranno gestite con tempestività e nel rispetto delle normative applicabili.

Con riferimento ai Dati inseriti dagli Utenti e relativi ai propri pazienti/clienti, gli interessati dovranno rivolgersi direttamente al professionista che ha raccolto i dati in qualità di Titolare del trattamento. Consavio, in quanto Responsabile, non è legittimato a riscontrare direttamente le richieste di accesso, rettifica, cancellazione o altri diritti dell’interessato, ma si impegna a fornire al Titolare di tali Dati tutta l’assistenza tecnica e organizzativa necessaria affinché questi possa rispondere nei termini e con le modalità previste dal GDPR.

10. Utilizzo dei cookies

I cookies sono piccoli file di dati che i siti web possono inviare al dispositivo terminale dell’Utente per raccogliere informazioni anonime e migliorare l’esperienza di navigazione.

La Piattaforma Consavio utilizza esclusivamente cookies tecnici, strettamente necessari per garantire il corretto funzionamento del Sito. Tali cookies non richiedono il consenso dell’Utente e sono utilizzati al solo fine di consentire una navigazione efficiente. I cookies di navigazione sono di sessione e vengono automaticamente disattivati alla chiusura del browser.

Non vengono utilizzati cookies di profilazione, né cookies analitici di terze parti. Non ha quindi luogo alcuna attività di tracciamento o raccolta di Dati Personali mediante cookies.

Gli Utenti possono, in ogni caso, disabilitare i cookies tramite le impostazioni del proprio browser. Tuttavia, tale azione potrebbe compromettere il corretto funzionamento di alcune funzionalità del Sito.

11. Valutazione d’impatto sulla protezione dei Dati

In relazione ai trattamenti effettuati tramite la Piattaforma, che possono riguardare dati appartenenti a categorie particolari (inclusi dati relativi alla salute), il Titolare ha svolto – ove richiesto – una Valutazione d’Impatto sulla Protezione dei Dati (“DPIA”) ai sensi dell’art. 35 GDPR, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati.

La DPIA è oggetto di riesame periodico e viene aggiornata in caso di modifiche rilevanti dei trattamenti o dei rischi.

Qualora, nonostante le misure individuate, il rischio residuo risulti elevato, il Titolare procederà alla consultazione preventiva dell’Autorità di controllo ai sensi dell’art. 36 GDPR.

Per maggiori informazioni sul quadro metodologico adottato è possibile contattare il Titolare (ed eventualmente il Responsabile della Protezione dei Dati, ove nominato) ai recapiti indicati nella presente informativa.

12. Misure di sicurezza del trattamento

Il Titolare e, per i trattamenti svolti per conto degli Utenti, Consavio in qualità di Responsabile del trattamento, mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato ai rischi per i diritti e le libertà degli interessati, ai sensi dell’art. 32 GDPR.

In particolare, sono adottate, tra le altre, misure volte ad assicurare:

  • Cifratura dei dati in transito e a riposo, in quanto misura raccomandata espressamente per i servizi online; gestione sicura delle chiavi.
  • Controllo degli accessi basato su ruoli e principio del minimo privilegio, con autenticazione a più fattori per gli account amministrativi e le console di gestione.
  • Registrazione e monitoraggio degli accessi e delle attività rilevanti (audit log) con rilevazione di anomalie.
  • Pseudonimizzazione dei dati ove compatibile con le finalità e le istruzioni del Titolare.
  • Gestione della vulnerabilità (aggiornamenti/patching), test periodici di sicurezza e, ove opportuno, penetration test.
  • Backup cifrati e procedure di disaster recovery con test periodici di ripristino.
  • Protezione applicativa e ciclo di sviluppo sicuro (secure SDLC), inclusi controlli su modifiche e rilasci.
  • Formazione e riservatezza del personale autorizzato al trattamento.
  • Misure di session management (es. time-out per inattività) e hardening degli ambienti.
  • Convalida dei recapiti e controlli anti-errore (onboarding): il recapito di contatto dell’Utente è convalidato tramite OTP via email o SMS. Sono implementati meccanismi per ridurre i rischi di omonimia/omocodia (es. controllo di codice fiscale e dati anagrafici) per prevenire associazioni errate tra account e soggetti.
  • Gestione dei fornitori: i fornitori che trattano dati per conto di Consavio sono vincolati da accordi che impongono standard di sicurezza equivalenti.

In presenza di una violazione dei Dati Personali, saranno applicate le procedure interne di incident response e, ricorrendone i presupposti, verrà effettuata la notifica al Garante, nonché, ove necessario, la comunicazione agli interessati ai sensi degli artt. 33 e 34 GDPR.

Le misure sono oggetto di verifica e aggiornamento periodico, anche alla luce degli esiti della DPIA e dell’evoluzione dei rischi.

13. Aggiornamenti

La presente Privacy Policy può essere aggiornata per recepire modifiche normative, indicazioni dell’Autorità, evoluzioni dei Servizi o del modello organizzativo/tecnologico.

Gli aggiornamenti possono essere:

  • minori (es. chiarimenti redazionali, miglioramenti di leggibilità, aggiornamenti di contatti) e diventano efficaci alla pubblicazione;
  • significativi, quando comportano variazioni su finalità o basi giuridiche, categorie di dati trattati, destinatari (inclusi responsabili e sub-responsabili), periodi di conservazione, ambito geografico (es. introduzione di trasferimenti extra-SEE) o incidono in modo sostanziale sui diritti e le libertà degli interessati.

In caso di aggiornamenti significativi, gli Utenti saranno informati con avviso sul Sito/Piattaforma e, se registrati, anche tramite comunicazione diretta (es. email). Ove possibile, l’avviso sarà fornito in ragionevole anticipo rispetto alla data di efficacia dell’aggiornamento. Qualora l’aggiornamento richieda un nuovo consenso, i trattamenti proseguiranno solo previa acquisizione di tale consenso.

Quando Consavio opera quale Responsabile del trattamento per i dati dei pazienti/clienti, informerà i relativi Titolari (Utenti) circa gli aggiornamenti che incidono sulla fornitura del servizio o sulle misure ex art. 28 GDPR e, se necessario, aggiornerà l’accordo di nomina a Responsabile.

Le versioni precedenti della presente informativa sono conservate e disponibili su richiesta.

La presente informativa è redatta in italiano. In caso di discrepanze tra la stessa e sue eventuali traduzioni, prevale la versione in lingua italiana.

Versione 2.0.0-IT aggiornata in data:

Teniamoci in contatto

Consenso informato e sanità digitale: resta aggiornato con la newsletter di Consavio!

È gratuita e senza spam! Solo contenuti rilevanti per professionisti della salute. Leggi l'Informativa Privacy.

Torna in alto