Fleexi

I SERVIZI INTEGRATI DI FLEEXI

Nuove soluzioni tecnologiche, sempre connesse e a servizio dell’uomo e della sua salute

Fleexi Health Tech s.r.l. con sede legale in Via della Chiusa, 15 – MILANO- P.Iva 11937360961 è una società di servizi integrati di Telemedicina e Videomedicina. Per semplicità verrà indicata come “FLEEXI” nel documento che segue.

L’anima fortemente clinica, la vocazione specialistica per la progettazione di nuove soluzioni “digital” per la salute dell’uomo, la volontà di collaborare con i migliori Istituti ospedalieri italiani, ed infine una costante attività di ricerca e sperimentazione tecnologica, consente ad FLEEXI di erogare un Servizio di altissima qualità, perseguendo costantemente i più alti standard di sicurezza per quanto riguarda la tutela dei dati personali.

FLEEXI ha adottato e segue protocolli procedurali e clinici molto rigorosi e costantemente testati.

Volendo interpretare e concretizzare quello che che l’OMS (Organizzazione Mondiale della Sanità) ha indicato quale “Medicina del futuro” con il termine di Telemedicina, FLEEXI di fatto realizza e rende operative soluzioni innovative per il monitoraggio a distanza, ed in tempo reale, dei parametri vitali fisiologici o patologici di un Paziente, ovunque questi si trovi e la creazione di un Patient Journey come modello di servizi personalizzato e flessibile, che permetta ad ogni Persona di interpretare la propria salute sfruttando tutti i vantaggi offerti della digitalizzazione.

Inoltre, con il termine di Videomedicina (branca della Telemedicina), si intende un collegamento diretto in videoconferenza a contenuto clinico e di consulto tra Paziente e Medico o Medico-Medico, operata attraverso un sistema di connessione sicura e criptata via web.

INFORMATIVA PRIVACY E FORMULA DI CONSENSO AL TRATTAMENTO DEI DATI PERSONALI

ex articolo 13 e 14 del Regolamento UE 2016/679

REGOLAMENTO UE 2016/679 (GDPR)

CONSIGLIO DEL 27 APRILE 2016, RELATIVO ALLA PROTEZIONE DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI, NONCHÉ ALLA LIBERA CIRCOLAZIONE DI TALI DATI, E CHE ABROGA LA DIRETTIVA 95/46/CE (REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI).

PER IL TESTO INTEGRALE DEL REGOLAMENTO 2016/679 CONSULTARE:

https://www.garanteprivacy.it

Nota. Molti articoli del Regolamento in oggetto, pur essendo operativi dal 25.6.2018, possono non essere definitivi, e spesso rimandano ad ulteriori decisioni che dovranno essere prese dalla Commissione europea e dagli Stati membri.

FLEEXI si impegna a recepire puntualmente le ulteriori decisioni e/o modifiche integrando, completando e adeguando opportunamente la propria Privacy Policy.

Sia nel caso di recepimento di integrazioni da parte della Autorità Garante o dal Parlamento Europeo o dagli Stati membri, sia nel caso di modifiche ed integrazioni messe in atto da FLEEXI per il corretto svolgimento delle proprie funzioni di controllo dei dati, l’utente verrà avvisato (tramite mail, da sito internet – portale e/o da App) che dovrà accettare nuovamente i Termini di Utilizzo, la Privacy Policy e quindi esprimere nuovamente consenso.

Si avvisa da subito che l’utente non potrà procedere ad usufruire dei servizi erogati da FLEEXI s.r.l. senza aver accettato i Termini di Utilizzo, il testo della Privacy Policy ed aver espresso il proprio consenso al trattamento dei dati personali come stabilito dal Regolamento 2016/679 del Parlamento Europeo.

Il D.lgs n. 30 giugno 2003, n. 196 così come modificato dal D.lgs 101/2018 ed il Regolamento 2016/679 del Parlamento Europeo (GDPR) prevedono la tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali. Pertanto, con questo documento vengono rese note le pratiche per la tutela della privacy dei pazienti/clienti/utenti adottate da FLEEXI relativamente alle attività svolte per l’erogazione dei propri servizi.

In quanto struttura operante nel campo dei servizi anche in ambito sanitario, FLEEXI soddisfa l’esigenza degli utenti di proteggere le proprie informazioni personali.

Ai sensi del d.lgs indicato e successivi (D.Lgs 101/2018), tale trattamento sarà improntato ai principi di correttezza, liceità e trasparenza e tutelando la Sua riservatezza e i Suoi diritti. In particolare, i trattamenti di dati sensibili, come quelli idonei a rivelare lo stato di salute, possono essere oggetto di trattamento solo con il consenso (scritto od ottenuto per via elettronica in maniera inequivocabile, libera e gratuita) dell’interessato. Tali informazioni sono soggette a particolare tutela da parte nostra.

Le informazioni personali sono richieste quando è effettuata una richiesta specifica, ovvero registrata un’accettazione all’erogazione di servizi, o viene richiesto od erogato un Servizio. Ad esempio: se viene effettuata una registrazione/iscrizione ad App e/o Piattaforma, oppure una prenotazione di consulto o assistenza presso di noi, saranno richieste le informazioni necessarie per completare tale registrazione/iscrizione, quali nome, indirizzo, numero di telefono e tipologia della prestazione. La informiamo che non sarebbe strettamente necessario richiedere il consenso al trattamento dei dati personali comuni inerenti agli obblighi contabili e fiscali (indirizzo di residenza o sede legale, codice fiscale, P. IVA, ecc.) in quanto imposti da obblighi di Legge.

Durante l’attività di erogazione del servizio sono registrate in genere informazioni personali riguardanti lo stato di salute del paziente/cliente/utente, ad es. dati anamnestici familiari, personali, patologici remoti e prossimi, l’uso di farmaci, eventuali allergie a farmaci od alimenti, l’uso di sostante stupefacenti, il fumo di tabacco, il potus o altre dipendenze, risultati di laboratorio e diagnosi cliniche pregresse o recenti, oltre allo scopo del monitoraggio (controllo, diagnostico, consulto ecc.). La decisione di procedere con qualsiasi attività che comporti la richiesta di informazioni personali spetta in ultima istanza al paziente/cliente/utente. Tuttavia, se non si desidera fornire le informazioni richieste, non sarà possibile iniziare/continuare/portare a termine il servizio.

Le informazioni personali vengono utilizzate da FLEEXI nei modi seguenti:

erogazione dei servizi di assistenza, consulenza, gestionale, diagnostici e terapeutici richiesti o più in generale l’adempimento agli obblighi contrattuali
mantenere aggiornata l’Area Utente Registrato
supporto e informazione in merito ai servizi erogati di gestione amministrativa del rapporto
verifica della soddisfazione degli utenti e il trattamento che sarà effettuato sia attraverso il nostro sistema informatizzato sia manualmente.

I dati non verranno utilizzati a scopo commerciale e non verranno diffusi al di fuori del contesto indispensabile all’erogazione del servizio proposto. Potranno essere condivisi con altri sistemi informatici del tutto inerenti alla erogazione del Servizio assistenziale/consulenziale/sanitario richiesto e contrattualizzato, ad esempio con Centrali Operative di primo e secondo livello e con Personale sanitario infermieristico e medico, ma solo per la parte attinente al servizio stesso od alla finalità sanitaria prevista dal servizio stesso.

Per proteggere le Sue informazioni personali, abbiamo adottato misure di sicurezza coerenti con le pratiche sull’informazione a livello internazionale. Tali misure includono provvedimenti tecnici e procedurali volti a proteggere i Suoi dati da qualsiasi abuso, accesso o divulgazione non autorizzati, perdita, alterazione o distruzione. Garantiamo il massimo impegno per rispondere alle Sue richieste di aggiornare o correggere le Sue informazioni personali. Se ritiene che le Sue informazioni personali a disposizione di FLEEXI non siano accurate, può contattarci all’indirizzo info@fleexi.health o comunicare direttamente al personale di FLEEXI.

Traffico dati previsto dal sito www.fleexi-care.com e App fornite/scaricabili

Dalle persone che visitano il nostro sito non rileviamo in genere i nomi di dominio, gli indirizzi IP e i tipi di browser utilizzati se non per fini di sicurezza interna o per sistemi automatizzati di antifrode o per impedire hackeraggi. Questi dati possono invece essere rilevati dall’utilizzo delle App di FLEEXI; in seguito troverà maggiori informazioni al riguardo.

Va ricordato che le informazioni inviate possono essere rilevate e utilizzate da altri.

Sia coloro che utilizzano i nostri servizi o soluzioni o dispositivi medici, a titolo di cura, prevenzione od a carattere scientifico, sia a scopo educativo che clinico, sono tenuti a fornire i propri dati personali.

La Legge richiede che l’utente, reso opportunamente edotto ed informato, sia consapevole dei rischi inerenti a furti o manipolazioni commessi con metodiche informatiche, ed acconsenta al trattamento dei propri dati personali esprimendo un apposito e valido consenso, sia che questo venga ottenuto in forma scritta che elettronica.

La nostra politica di privatezza, riservatezza e tutela dei dati sensibili (altrimenti Privacy Policy) viene qui di seguito dettagliatamente descritta sia per informarLa di come i Suoi dati possono venire utilizzati a termini di Legge, sia per consentirLe di esprimere un consenso valido e consapevole.

Le ricordiamo che non solo è un Suo diritto, ma anche un Suo dovere, prendere visione del Regolamento EU 2016/679 prima di fornire i dati richiesti e/o necessari, ed esprimere quindi il consenso al trattamento degli stessi dati personali.

Confermiamo qui e subito che FLEEXI si impegna costantemente ad utilizzare, i dati personali forniti e a disposizione, in modo corretto e conforme alla Legge ed ai principi dei Trattati Europei, in modo trasparente e solo e soltanto per le finalità necessarie ad adempiere ad un riscontro di dati clinici per singolo utente e per finalità di fatturazione per servizi resi.

Siamo consci che la materia è invero molto ampia, e può risultare talora di difficile interpretazione. Per facilitare il Suo compito, e qualora lo ritenesse necessario, FLEEXI mette a Sua disposizione un apposito servizio gratuito. Scrivendo una email ad info@fleexi-care.com avente per oggetto “Privacy Policy”, e fornendo un numero telefonico valido ed un giorno ed orario preferenziale, un nostro incaricato o funzionario La contatterà per aiutarLa ad acquisire il giusto grado di comprensione del Regolamento che tutela i Suoi dati personali, mettendoLa nelle condizioni migliori per esprimere o meno un valido consenso informato.

ASPETTI TECNICI DI SICUREZZA

Come meglio specificato in seguito, per tutelare i Suoi dati personali i server di FLEEXI necessitano di codici di sicurezza per l’accesso. I server non sono esposti su rete pubblica (modalità “deny-all”) tranne per i servizi essenziali che devono rimanere aperti in quanto essenziali per l’operatività di FLEEXI. Essi sono resi sicuri tramite autenticazione (login/password) e il traffico dati è criptato (Hypertext Transfer Protocol Secure/ Secure Socket Layer -“HTTPS/SSL”).

FLEEXI intraprende sforzi notevoli per la sicurezza di ogni cartella clinica o dato cosiddetto sensibile che viene ricevuto, trattato e conservato.

I dati dei pazienti risiedono su Server con standard di “alta qualità e sicurezza”, gestiti e controllati direttamente dal personale di FLEEXI e fisicamente presenti sul territorio europeo. Ogni accesso al sistema dati, per tutte le operazioni concernenti il Software di controllo, viene generato sul server stesso, per cui non saranno abilitati accessi da IP esterni.

Gli accessi remoti al Data-center, effettuati dal personale autorizzato alla manutenzione del sistema, vengono invece controllati e garantiti, tramite SSH con firewall hardware e sempre e solo da IP di connessione autorizzati.

L’infrastruttura è composta da 2 (due) Server, uno primario ed uno di replica, e garantisce UPTIME del 99.99%.

I pacchetti dati scambiati in maniera bidirezionale, viaggiano su protocollo HTTPS con crittografia SSL a 2048 bit.

Ogni pacchetto dati non contiene informazioni riconducibili direttamente al Paziente.

Il Paziente viene infatti identificato con una chiave univoca interna.

Anche ogni operazione di accesso al Sistema, a tutti i livelli, viene registrata e tracciata tramite “file-log”.

Gli accessi forniti al Personale medico autorizzato al monitoraggio dei pazienti prevedono una scadenza e richiedono l’immissione di una Password e di ID con un controllo di complessità a doppio fattore.

INTRODUZIONE AL D. LGS. 30 GIUGNO 2003 N. 196 E SS. (Reg. UE 2016/679 e D.Lgs. 101/2018)

Per Sua comodità, riportiamo i dettami fondamentali del D.Lgs del 30.6.2003 n. 196 che è stato recentemente integrato, ed in parte sostituito, dal nuovo Regolamento del Parlamento Europeo n. 679/2016 (GDPR).

Lei potrà far valere i Suoi diritti così come previsti dall’articolo 7 del d.lgs n. 30 giugno 2003, n. 196 e ss, che pertanto per Sua comodità riproduciamo integralmente:

Art. 7 – Diritto di accesso ai dati personali ed altri diritti

L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.

L’interessato ha diritto di ottenere l’indicazione:

a) dell’origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’art. 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

L’interessato ha diritto di ottenere:

a) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

L’interessato ha diritto di opporsi, in tutto o in parte:

a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

Per qualsiasi ulteriore informazione o commento, rivolgersi a FLEEXI tramite email o telefono.

Sono riportati, nel paragrafo seguente, tutti i riferimenti necessari.

TITOLARE E NOMINA DPO/RPD

Il Titolare (o talvolta e a seconda dei casi anche Co-Titolare e/o Responsabile Esterno qualora designato da altro Titolare “de facto” quindi committente) dei trattamenti dei dati personali svolti attraverso l’esercizio della propria attività di servizio, od attraverso il sito internet www.fleexi-care.com o tramite le sue App o per i Servizi resi attraverso l’uso di piattaforme o altri sistemi adottati, è:

FLEEXI HEALTH TECH s.r.l.

Via della Chiusa 15, 20123 Milano

P.iva 11937360961

Mail: info@fleexi.health

nella persona del Legale Rappresentante Sig. Claudio Di Giovanni.

FLEEXI ha provveduto a nominare un proprio DPO/RPD (Data Protection Officer/Responsabile Protezione dei Dati) presso Garante della Privacy Sig. Massimiliano Calzia sempre contattabile tramite indirizzi del titolare e/o all’indirizzo mail: m.calzia.dpo@gmail.com

DATI PERSONALI OGGETTO DI TRATTAMENTO

Essi sono derivanti o desumibili dall’iscrizione e utilizzo delle App/piattaforme, ovvero richiedendo servizi e quindi utilizzando le APP offerte da FLEEXI a cui si accede tramite pc, smartphone o tablet (vedere nota).

Sono di due tipi:

ANAGRAFICI

-riguardanti persone fisiche sia maggiori che minori di età

-riguardanti persone giuridiche

CLINICI

– per pazienti maggiori di età

– per pazienti minori di età

Nota. Dati derivanti o desumibili dall’iscrizione e conseguente utilizzo/fruizione dei servizi che vengono espletati attraverso le App/piattaforme di FLEEXI a cui si accede tramite smartphone, pc o tablet.

I sistemi informatici e le procedure software preposte al funzionamento delle app (e delle piattaforme) acquisiscono, nel corso del loro normale esercizio, alcuni Dati Personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet. Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti. In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al Sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, etc.) ed altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente. Questi dati possono venire utilizzati al solo fine di ricavare informazioni statistiche anonime sull’uso di tali Applicazioni e per controllarne il corretto funzionamento, per identificare anomalie e/o abusi, e vengono cancellati immediatamente dopo l’elaborazione. I dati potrebbero essere utilizzati per l’accertamento di responsabilità in caso di ipotetici reati informatici ai danni del sito o di terzi.

DATI ANAGRAFICI (persone maggiorenni)

Sono i dati che vengono raccolti, in forma cartacea od elettronica, necessari per identificare un soggetto a cui erogare la fatturazione per servizi (resi o da rendere), e nella fattispecie sono dati inerenti a nome, cognome, residenza, codice fiscale. Questi dati possono essere raccolti con o senza l’ausilio di processi automatizzati e possono essere raccolti, registrati, organizzati per età od area di residenza, e vengono conservati a termine di Legge che ne consente l’estrazione, la consultazione e l’uso per la finalità sopra menzionata.

I dati personali oggetto di trattamento sono costituiti da un identificativo con nome, cognome, qualora possibile un indirizzo email valido, qualora possibile un numero telefonico fisso o mobile, un numero di identificazione creato e attribuito dal sistema, e dati relativi all’ubicazione.

La informiamo che l’utilizzo di App ci consente di risalire ad altri dati, tra cui la Sua posizione ed anche marca e modello dello smartphone da cui Lei esegue l’accesso al Servizio. In questo caso i dati ricevuti sono anonimi, criptati e protetti da ID che non permette di risalire direttamente all’utilizzatore della App o del Servizio. Tuttavia è opportuno che Lei sia correttamente informato, e quindi sia pienamente cosciente che è possibile lavorare e tracciare questi data, così da ricollegarli alla Sua persona ed alla localizzazione, su richiesta delle Autorità giudiziarie e di Polizia, per motivi di sicurezza.

DATI ANAGRAFICI (persone minorenni)

FLEEXI non richiede i dati di fatturazione per servizi resi nei confronti dei minori di età, ma richiede dati di almeno un genitore o del tutore legale, in forma cartacea od elettronica, e questo si rende necessario per identificare un soggetto a cui erogare la fatturazione per Servizi (resi o da rendere); nella fattispecie sono dati inerenti a nome, cognome, residenza, codice fiscale del genitore o del tutore legale. Questi dati possono essere raccolti con o senza l’ausilio di processi automatizzati e possono essere raccolti, registrati, organizzati per età od area di residenza, e vengono conservati a termine di Legge che ne consente l’estrazione, la consultazione e l’uso per la finalità sopra menzionata.

La informiamo che l’utilizzo di App evoluta ci consente di risalire ad altri dati, tra cui la posizione ed anche marca e modello dello smartphone del genitore o del tutore legale che esegue l’accesso al Servizio. In questo caso i data ricevuti sono anonimi, criptati e protetti da ID che non permette di risalire direttamente all’utilizzatore della App o del Servizio. Tuttavia è opportuno che Lei sia correttamente informato, e quindi sia pienamente cosciente che è possibile lavorare e tracciare questi data, così da ricollegarli alla Sua persona ed alla localizzazione, su richiesta delle Autorità giudiziarie e di Polizia, per motivi di sicurezza.

PERSONE GIURIDICHE (ENTI o Società)

Sono i dati che vengono estratti da FLEEXI, in forma cartacea od elettronica, necessari per identificare un soggetto giuridico a cui erogare la fatturazione per servizi (resi o da rendere), e nella fattispecie sono dati inerenti al nome della società, P. IVA, domicilio fiscale, sede, numero telefonico, se possibile fax, ed indirizzo email PEC. Questi dati possono essere raccolti con o senza l’ausilio di processi automatizzati e possono essere raccolti, registrati, organizzati, e vengono conservati a termine di Legge che ne consente l’estrazione, la consultazione e l’uso per la finalità sopra menzionata.

DATI SANITARI (che coincidono con la FINALITA’ DEL TRATTAMENTO)

FINALITA’ DEL TRATTAMENTO

Il trattamento che intendiamo effettuare, dietro suo specifico consenso, ha le seguenti finalità:

Consentire l’erogazione dei servizi sanitari da Lei richiesti utilizzando FLEEXI e i suoi applicativi (App e/o piattaforme) dispositivi/sistemi medici di telemedicina, nonché garantirLe la successiva ed autonoma gestione di un “pannello di controllo”, cui accederà mediante la registrazione e la creazione del suo profilo utente prima della fornitura effettiva dei servizi, inclusa la raccolta, la conservazione e la elaborazione dei dati ai fini dell’instaurazione e della successiva gestione operativa, tecnica ed amministrativa del rapporto connesso all’erogazione dei servizi e l’effettuazione di comunicazioni relative allo svolgimento del rapporto instaurato;
consentire l’utilizzo/fruizione e la consultazione dei portali/piattaforme e/o delle App di FLEEXI
rispondere a richieste di assistenza o di informazioni, che riceveremo via e-mail, telefono o chat attraverso pagine dedicate insite nelle App, o tramite appositi form “Comunicazioni”. Con particolare riferimento alle risposte a richieste di assistenza che pervengano a FLEEXI tramite il telefono, La informiamo che le chiamate potranno essere registrate affinché FLEEXI possa dimostrare di avere correttamente evaso le richieste.
assolvere obblighi di legge, contabili e fiscali;
e. elaborare studi, ricerche, statistiche di mercato; eseguire sondaggi per migliorare il servizio (“customer satisfaction”) via e-mail o via sms, e/o attraverso l’uso del telefono con operatore e/o attraverso le pagine ufficiali del sito di FLEEXI, ovvero tramite le App utilizzate per accedere ai servizi offerti.
per esclusive finalità di sicurezza e prevenzione di condotte fraudolente, FLEEXI pone in essere un sistema di controllo automatico che comporta il rilevamento e l’analisi di comportamenti degli utenti su sito, piattaforme e sulle App, associata al trattamento di Dati Personali tra cui l’indirizzo IP. Le conseguenze di tale trattamento sono che qualora un soggetto tenti di porre in essere condotte fraudolente tramite strumenti messi a disposizione da FLEEXI, ad esempio per iscriversi più volte con nominativi differenti, FLEEXI si riserva il diritto di escludere tale soggetto dalla prosecuzione dell’erogazione dei servizi.

RECEPIMENTO DEL REGOLAMENTO 2016/679

Quale fondamentale premessa, Le ricordiamo che l’attività svolta da FLEEXI prevede anche l’utilizzo di dati derivanti da dispositivi ed applicazioni, inerenti a parametri clinici, parametri vitali, dati biometrici, e – nel caso di alcuni specifici e particolari apparecchi di monitoraggio– anche relativi alla esatta posizione dell’assistito con differenti livelli di attività motoria.

Risulta pertanto fondamentale che Ella sia opportunamente informata sulla Privacy Policy adottata per proteggere i Suoi dati personali e relativi allo stato di salute – posizione.

Come specificato nella Carta dei diritti fondamentali dell’Uomo, la protezione dei dati personali è un diritto primario (art.1), a prescindere dalla nazionalità, sesso, razza, status economico e sociale della persona i cui dati vengono trattati (art. 2). La direttiva 95/46/CE del Parlamento europeo e del Consiglio ha come obiettivo di armonizzare la tutela dei diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività̀ di trattamento dei dati ed anche assicurare la libera circolazione dei dati personali tra Stati membri (art. 3).

Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità̀, e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un Giudice imparziale, nonché́ la diversità̀ culturale, religiosa e linguistica (art. 4). Per consentire questo è opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che possano avere certezza che i dati vengono trattati secondo i dettami del regolamento (art. 6). Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità̀ giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto (art. 14).

PROTEZIONE DELLE PERSONE E DEI DATI A LORO RIFERITI

(in qualità di “interessati”)

Al fine di evitare l’insorgere di gravi rischi di elusione, la protezione dei dati delle persone fisiche (interessati) è neutrale sotto il profilo tecnologico e non deve dipendere dalle tecniche impiegate; la protezione delle persone fisiche viene applicata sia al trattamento automatizzato che al trattamento manuale dei dati personali, se i dati personali sono contenuti o destinati a essere contenuti in un archivio (art. 15).

CRITERIO DI PSEUDONIMIZZAZIONE

In base all’art. 26 anche i dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, vengono considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità̀ di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può̀ ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità̀ di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più̀ l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità̀ statistiche o di ricerca. La pseudonimizzazione non preclude di per sé altre forme di protezione dei dati messe in atto a garanzia dei dati trattati, conservati od archiviati (art. 28).

FLEEXI mette in atto misure di pseudonimizzazione con possibilità̀ di analisi generale ed adotta misure tecniche e organizzative necessarie ad assicurare, per il trattamento interessato, l’attuazione del presente regolamento; le informazioni aggiuntive per l’attribuzione dei dati personali a un interessato specifico sono conservate separatamente. Il titolare del trattamento che effettua il trattamento dei dati personali è FLEEXI che associa il nome delle persone fisiche a identificativi online prodotti da dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Si avvisa che tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate (art. 30).

PERSONE DECEDUTE

Il presente regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute (art. 27 – vedere anche art. 156 e ss).

CONSENSO AL TRATTAMENTO DEI DATI (BASE GIURIDICA DEL TRATTAMENTO)

FLEEXI richiede che la persona che accede ai servizi esprima il consenso; la soluzione adottata, in conformità con il Regolamento, consente che lo stesso venga espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, ma anche – come specificatamente consentito dal Regolamento stesso – attraverso mezzi elettronici, attraverso un sito internet dedicato od una App. In senso lato ciò potrebbe comprendere la selezione di un’apposita casella in un sito web o portale, la scelta di impostazioni tecniche per i servizi offerti o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale senso che l’interessato accetta il trattamento proposto.

Il consenso espresso liberamente costituisce la base giuridica dei trattamenti effettuati e sarà richiesto per tutte le attività volte al perseguimento delle finalità indicate.

Poiché il mezzo più frequentemente utilizzato da FLEEXI è di richiedere il consenso dell’interessato ANCHE attraverso mezzi elettronici, abbiamo posto estrema cura nell’elaborare, ANCHE per il contesto “digital” una richiesta chiara, concisa, senza interferire immotivatamente con il servizio per il quale il consenso è espresso (art. 32) (art. 40). In conformità della direttiva 93/13/CEE del Consiglio il consenso predisposto da FLEEXI, titolare del trattamento (o anche quando FLEEXI esercita il ruolo di Responsabile Esterno demandato da ulteriore Titolare), è in una forma comprensibile e facilmente accessibile, usa un linguaggio semplice e chiaro e non contiene clausole abusive, e contiene le finalità del trattamento cui sono destinati i dati personali. Si specifica che il consenso non viene considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio (art. 42).

CONSENSO IN CASO DI RICERCA SCIENTIFICA

Nei casi di Ricerca Scientifica potrebbe non essere facilmente individuabile la finalità del trattamento dei dati personali. In qualsiasi caso FLEEXI garantisce il rispetto delle norme deontologiche riconosciute per la ricerca scientifica ed a richiedere consenso solo per determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista (art. 33, 156 e ss).

CONTENUTO DEI DATI RACCOLTI E TRATTATI IN AMBITO SANITARIO

Quanto ai dati personali relativi alla salute, FLEEXI fa rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino o possano rivelare informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro (art. 35).

GRUPPO IMPRENDITORIALE

Ai fini dell’art. 37, laddove FLEEXI trattenga rapporti di collaborazione a fini commerciali o scientifici all’interno di un Gruppo Imprenditoriale, la stessa FLEEXI, per la natura stessa del lavoro svolto – salvo casi specifici che verranno puntualmente notificati – è l’Impresa Controllante sulle controllate, e questo per la proprietà esclusiva o ceduta o concessa dell’uso di brevetti o di Soluzioni o Servizi sanitari, e soprattutto per il potere che FLEEXI ha di esigere che le norme in materia di protezione dei dati personali vengano messe in atto dalle controllate stesse. Per lo stesso art. 37, FLEEXI viene considerato «gruppo imprenditoriale».

MINORI

I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Il minore, dall’età di 14 anni gode degli stessi diritti, anche di firma e consenso degli adulti. Si specifica che FLEEXI non utilizza i dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente. Anche se non specificatamente richiesto, FLEEXI esige la responsabilità genitoriale anche nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore (art. 38).

DURATA E TEMPI DI CONSERVAZIONE DEI DATI

L’art. 39 del Regolamento prescrive che qualsiasi trattamento di dati personali debba essere lecito e corretto, e le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano siano trasparenti, facilmente accessibili e comprensibili, e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità̀ del titolare del trattamento e sulle finalità̀ del trattamento È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché́ alle modalità̀ di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità̀ specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità̀ del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più̀ a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché́ i dati personali inesatti siano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento.

In realtà i dati personali trattati da FLEEXI riguardano soprattutto lo stato di salute del soggetto che ha concesso il trattamento del dato stesso, e per prassi comune e come prescritto dalla Legge, questi dati devono essere conservati per un periodo non inferiore a 10 anni dall’ultimo rapporto intercorso. Questo periodo di tempo ovviamente espone ad un rischio maggiore di furto o manipolazione dei dati trattati. Tuttavia in mancanza di ulteriori regole o direttive comunitarie in materia, che non è al momento ulteriormente definita o regolamentata, FLEEXI continuerà a mantenere i dati trattati per dieci anni sui propri server od organizzati in archivi chiusi.

Ovviamente è facoltà del singolo chiedere la cancellazione dei dati trattati con una procedura semplificata.

E’ opportuno tuttavia, ed al riguardo, rammentare che sebbene questa sia una opzione garantita per Legge, la cancellazione di dati sanitari dai nostri archivi o database, cartacei od elettronici, espone il paziente ad un rischio di erronea od errata diagnosi, e quindi ad un rischio di salute per sé e per gli altri; rischi potenzialmente anche gravi o gravissimi (ad esempio reazione allergica anche grave o mortale a farmaci od alimenti, precedenti anamnestici familiari o patologici remoti-prossimi in ambito cardiovascolare o cerebrale od endocrinologico etc. ed anche possibile veicolo di malattie infettive anche gravi per altre persone ).

CONSENSO AL TRATTAMENTO DEI DATI PERSONALI E SANITARI

L’art. 43 determina che per assicurare la libertà di espressione del consenso sia opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’Autorità pubblica e ciò̀ rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione.

Questo sembrerebbe essere in conflitto con la necessità di raccogliere dati inerenti lo stato di salute di un soggetto, ciò che è fondamentale per permettere una valutazione dello stato di salute di una persona che può avere od avere avuto allergie a farmaci od alimenti, ed avere una anamnesi familiare, patologica remota e patologica prossima che può indirizzare in modo corretto ad un atto di prevenzione o ad una diagnosi, quindi con rispetto della natura deontologica dell’atto sanitario; ci viene in aiuto l’ art. 44 che conferma come il trattamento possa essere considerato lecito se è necessario nell’ambito di un contratto o ai fini della conclusione di un contratto.

Ancora, l’art. 46 descrive che il trattamento di dati personali dovrebbe essere altresì̀ considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica. Il trattamento di dati personali fondato sull’interesse vitale di un’altra persona fisica dovrebbe avere luogo in principio unicamente quando il trattamento non può̀ essere manifestamente fondato su un’altra base giuridica. Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana.

Per queste ragioni, in forza degli articoli del regolamento, FLEEXI informa gli interessati al trattamento dei propri dati personali, inclusi quelli relativi allo stato di salute, che si ritiene necessario che la persona che vuole usufruire dei servizi, dei sistemi o dei dispositivi medicali messi a disposizione da FLEEXI stessa diano il proprio consenso al trattamento dei dati personali e di salute; in caso contrario FLEEXI non sarà verosimilmente in grado di eseguire una attività completa e corretta, né in merito alla prevenzione di futuri stati patologici né in merito alla corretta diagnosi e cura di stati morbosi in atto od in fieri.

La persona che intendesse rifiutare il consenso per i motivi più vari ne ha piena facoltà, e questo non pregiudicherà in alcun modo successivi accessi al sito internet www.FLEEXI.it. Però il rifiuto a concedere consenso di fatto non permette a FLEEXI di espletare le funzioni stesse per cui l’interessato ha mostrato interesse. Per tale motivo la persona che non intende concedere il proprio assenso e consenso al trattamento dei dati di fatto è di fatto esclusa da qualsivoglia metodica di monitoraggio, di prevenzione, di diagnosi e di cura da parte di FLEEXI ed affiliati.

LEGITTIMO INTERESSE (rapporto tra trattamento dei dati e Titolare del trattamento)

I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento. Ad esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento. In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità̀ che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine. Gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali. Posto che spetta al legislatore prevedere per legge la base giuridica che autorizza le autorità̀ pubbliche a trattare i dati personali, la base giuridica per un legittimo interesse del titolare del trattamento non dovrebbe valere per il trattamento effettuato dalle autorità̀ pubbliche nell’esecuzione dei loro compiti. Costituisce parimenti legittimo interesse del titolare del trattamento interessato trattare dati personali strettamente necessari a fini di prevenzione delle frodi. Può̀ essere considerato legittimo interesse trattare dati personali per finalità̀ di marketing diretto (art. 47).

I titolari del trattamento facenti parte di un gruppo imprenditoriale o di Enti collegati a un organismo centrale possono avere un interesse legittimo a trasmettere dati personali all’interno del gruppo imprenditoriale a fini amministrativi interni, compreso il trattamento di dati personali dei clienti o dei dipendenti. Sono fatti salvi i principi generali per il trasferimento di dati personali, all’interno di un gruppo imprenditoriale, verso un’impresa situata in un paese terzo (art 48).

Costituisce legittimo interesse del titolare del trattamento interessato trattare dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell’informazione, vale a dire la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità̀, l’autenticità̀, l’integrità̀ e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi da autorità̀ pubbliche, organismi di intervento in caso di emergenza informatica (CERT), gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e servizi di comunicazione elettronica e fornitori di tecnologie e servizi di sicurezza. Ciò̀ potrebbe, ad esempio, includere misure atte a impedire l’accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da «blocco di servizio» e ai danni ai sistemi informatici e di comunicazione elettronica (art. 49).

In merito all’art. 50 FLEEXI in quanto Titolare del trattamento si attiene alla regola interna di richiedere specifico consenso al trattamento dei dati personali per finalità̀ diverse da quelle per le quali i dati personali sono stati inizialmente raccolti, e questo anche se in forza dell’articolo stesso ciò potrebbe non essere necessario se la raccolta dei dati ed il consenso al trattamento degli stessi sia compatibile con le finalità̀ per le quali i dati personali sono stati inizialmente raccolti. In tal caso non è infatti di norma richiesta alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali. Se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento, il diritto dell’Unione o degli Stati membri può̀ stabilire e precisare le finalità̀ e i compiti per i quali l’ulteriore trattamento è considerato lecito e compatibile. L’ulteriore trattamento a fini di archiviazione nel pubblico interesse, o di ricerca scientifica o storica o a fini statistici dovrebbe essere considerato un trattamento lecito e compatibile. La base giuridica fornita dal diritto dell’Unione o degli Stati membri per il trattamento dei dati personali può̀ anche costituire una base giuridica per l’ulteriore trattamento. Per accertare se la finalità̀ di un ulteriore trattamento sia compatibile con la finalità̀ per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento dovrebbe, dopo aver soddisfatto tutti i requisiti per la liceità̀ del trattamento originario, tener conto tra l’altro di ogni nesso tra tali finalità̀ e le finalità̀ dell’ulteriore trattamento previsto, del contesto in cui i dati personali sono stati raccolti, in particolare le ragionevoli aspettative dell’interessato in base alla sua relazione con il titolare del trattamento con riguardo al loro ulteriore utilizzo; della natura dei dati personali; delle conseguenze dell’ulteriore trattamento previsto per gli interessati; e dell’esistenza di garanzie adeguate sia nel trattamento originario sia nell’ulteriore trattamento previsto.

DATI BIOMETRICI: FOTOGRAFIE O VIDEO CHE POSSANO RENDERE RICONOSCIBILE UN SOGGETTO CHE HA PRESTATO IL PROPRIO CONSENSO AL TRATTAMENTO DEI DATI (ART. 51, 52, 53, 54, 57) DEROGA E SPECIFICO CONSENSO

Poiché FLEEXI utilizza sistemi di videocomunicazione con cui è possibile eseguire fotografie o video che possono rendere plausibilmente riconoscibile la persona che ha aderito ai suoi servizi e sistemi integrati, è di fondamentale importanza che l’Utente legga e comprenda integralmente il testo inerente alla raccolta e trattamento di dati biometrici.

FLEEXI ha compiuto il massimo sforzo tecnologico per proteggere anche i dati biometrici al pari delle altre informazioni riservate, in particolare adottando scelte strutturali e procedure interne adeguate e rigorose. Durante la fornitura e messa in atto dei servizi e delle attività di FLEEXI può ragionevolmente rendersi necessaria la condivisione di immagini o video (dati biometrici) da cui sia possibile desumere la razza o l’etnia (essendo inteso che l’utilizzo dei termini «origine razziale» del Regolamento non implica l’accettazione da parte dell’Unione né di FLEEXI di teorie che tentano di dimostrare l’esistenza di razze umane distinte) e le caratteristiche fisiche dei soggetti che utilizzano i i servizi in oggetto, che siano essi maggiori di età che minori di età. Questo avviene ad esempio utilizzando sistemi di video connessione. FLEEXI assicura, in virtù della tecnologia utilizzata, che le immagini od i video condivisi con specialisti/personale sanitario sono criptati e resi ragionevolmente inaccessibili a terzi, sia che la condivisione avvenga in tempo differito che in tempo reale. Anche le immagini ed i video archiviati nei nostri server richiedono una chiave di autenticazione per accedervi, e FLEEXI vigila affinché l’uso delle immagini e dei video sia lecito, ancorché valga la regola imprescindibile che il Professionista che utilizza i mezzi messi a disposizione da FLEEXI od utilizzando sistemi e soluzioni forniti da soggetti terzi (ad esempio app di video conference) risponde in proprio sulla liceità dell’utilizzo delle immagini e dei video, secondo scienza e coscienza, e secondo il Codice Deontologico professionale e secondo il rigoroso codice di comportamento che i singoli Professionisti accettano di utilizzare nello svolgimento delle loro attività professionali. Questo vale a maggior ragione quando le immagini ed i video sono riferiti a minori di età. In questi casi FLEEXI richiede espressamente che il genitore, od il tutore legale, sia presente per tutta la durata della sessione a scopo diagnostico o di semplice consulenza/assistenza. Qualora il materiale fotografico o video venisse utilizzato dal professionista per scopi non leciti o non altrimenti giustificati per la natura sanitaria dell’utilizzo delle immagini, l’utente finale ha garanzia che FLEEXI provvederà a valutare l’uso non corretto e non lecito delle immagini e dei video richiedendo tramite PEC al Professionista di motivare l’uso delle immagini e dei video e di rispondere entro sette giorni dal ricevimento della comunicazione. Nel caso in cui la motivazione addotta non venga considerata valida o mostri carenze di motivazione, od altrimenti risultasse che il Professionista non ha agito nel pieno rispetto del Codice Deontologico, del presente regolamento e del codice di comportamento personale, FLEEXI provvederà a denunciare il fatto alle Autorità competenti, offrendo tutto il supporto possibile affinché le Autorità possano svolgere una attività di indagine e di raccolta di testimonianze, scritte od orali, come anche provvederà a fornire alle suddette Autorità competenti tutti i file da cui possa essere desumibile l’attività sospetta del professionista, promuovendo nei suoi confronti sia una causa civile che penale.

Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate soltanto per finalità̀ connesse alla salute, ove necessario per conseguire tali finalità̀ a beneficio delle persone e dell’intera società̀, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale, compreso il trattamento di tali dati da parte della dirigenza e delle autorità̀ sanitarie nazionali centrali a fini di controllo della qualità̀, informazione sulla gestione e supervisione nazionale e locale generale del sistema di assistenza sanitaria o sociale, nonché́ per garantire la continuità̀ dell’assistenza sanitaria o sociale e dell’assistenza sanitaria transfrontaliera o per finalità̀ di sicurezza sanitaria, controllo e allerta o a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in base al diritto dell’Unione o nazionale che deve perseguire un obiettivo di interesse pubblico, nonché́ per studi svolti nel pubblico interesse nell’ambito della sanità pubblica. Pertanto il presente regolamento dovrebbe prevedere condizioni armonizzate per il trattamento di categorie particolari di dati personali relativi alla salute in relazione a esigenze specifiche, in particolare qualora il trattamento di tali dati sia svolto da persone vincolate dal segreto professionale per talune finalità̀ connesse alla salute. Il diritto dell’Unione o degli Stati membri dovrebbe prevedere misure specifiche e appropriate a protezione dei diritti fondamentali e dei dati per- sonali delle persone fisiche. Gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre ulteriori condizioni, fra cui limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute, senza tuttavia ostacolare la libera circolazione dei dati personali all’interno dell’Unione quando tali condizioni si applicano al trattamento transfrontaliero degli stessi (art. 53).

Il trattamento di categorie particolari di dati personali può̀ essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell’interessato. Tale trattamento dovrebbe essere soggetto a misure appropriate e specifiche a tutela dei diritti e delle libertà delle persone fisiche. In tale contesto, la nozione di «sanità pubblica» dovrebbe essere interpretata secondo la definizione del regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio: tutti gli elementi relativi alla salute, ossia lo stato di salute, morbilità̀ e disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità in materia di assistenza sanitaria, le risorse destinate all’assistenza sanitaria, la prestazione di assistenza sanitaria e l’accesso universale a essa, la spesa sanitaria e il relativo finanziamento e le cause di mortalità̀. Il trattamento dei dati relativi alla salute effettuato per motivi di interesse pubblico non dovrebbe comportare il trattamento dei dati personali per altre finalità̀ da parte di terzi, quali datori di lavoro, compagnie di assicurazione e istituti di credito (art. 54).

Se i dati personali che tratta non gli consentono di identificare una persona fisica, il titolare del trattamento non dovrebbe essere obbligato ad acquisire ulteriori informazioni per identificare l’interessato al solo fine di rispettare una disposizione del presente regolamento. Tuttavia, il titolare del trattamento non dovrebbe rifiutare le ulteriori informazioni fornite dall’interessato al fine di sostenere l’esercizio dei suoi diritti. L’identificazione dovrebbe includere l’identificazione digitale di un interessato, ad esempio mediante un meccanismo di autenticazione quali le stesse credenziali, utilizzate dall’interessato per l’accesso. Il principio della trasparenza impone che le informazioni destinate al pubblico o all’interessato siano concise, facilmente accessibili e di facile comprensione e che sia usato un linguaggio semplice e chiaro, oltre che, se del caso, una visualizzazione. Tali informazioni potrebbero essere fornite in formato elettronico, ad esempio, se destinate al pubblico, attraverso un sito web. Ciò̀ è particolarmente utile in situazioni in cui la molteplicità̀ degli operatori coinvolti e la complessità̀ tecnologica dell’operazione fanno sì che sia difficile per l’interessato comprendere se, da chi e per quali finalità̀ sono raccolti dati personali che lo riguardano, quali la pubblicità̀ online. Dato che i minori meritano una protezione specifica, quando il trattamento dati li riguarda, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente (art. 57).

Dunque, secondo il Regolamento, i dati biometrici trattati attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici di cui al presente regolamento, tenendo conto del fatto che il diritto degli Stati membri può̀ stabilire disposizioni specifiche sulla protezione dei dati per adeguare l’applicazione delle norme del presente regolamento ai fini della conformità̀ a un obbligo legale o dell’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

In attesa di ulteriori pronunciamenti dell’Unione e degli Stati Membri, il Regolamento ad oggi (rif. 22 Maggio 2018) prevede che gli Stati membri e l’Unione convalidino specifiche deroghe laddove ciò̀ avvenga nell’interesse pubblico, in particolare il trattamento dei dati personali nel settore del diritto del lavoro e della protezione sociale, comprese le pensioni, e per finalità̀ di sicurezza sanitaria, controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute. Tale deroga può̀ avere luogo per finalità̀ inerenti alla salute, compresa la sanità pubblica e la gestione dei servizi di assistenza sanitaria, soprattutto al fine di assicurare la qualità̀ e l’economicità̀ delle procedure per soddisfare le richieste di prestazioni e servizi nell’ambito del regime di assicurazione sanitaria, o a fini di archiviazione nel pubblico interesse o di ricerca scientifica o storica o a fini statistici (art. 52).

FLEEXI rassicura da una parte sullo sforzo imponente nella messa in atto di sistemi di protezione dei dati biometrici e dall’altra esprime il giudizio di liceità del trattamento per finalità legittime, in particolare di prevenzione, diagnosi e cura.

Alla luce di quanto sopra, colui che esprime il proprio consenso al trattamento dei dati sensibili, per espletare le finalità sanitarie di cui sopra e permettere a FLEEXI di erogare i servizi e le pratiche operative proprie dell’attività della Società, deve acconsentire anche al trattamento dei dati biometrici.

La persona che intendesse rifiutare il consenso per i motivi più vari al trattamento dei dati biometrici ne ha piena facoltà, e questo non pregiudicherà in alcun modo successivi accessi ai sistemi creati e gestiti da FLEEXI. Tuttavia il rifiuto a concedere il consenso al trattamento di dati biometrici di fatto non permette a FLEEXI di espletare le funzioni stesse per cui l’interessato ha mostrato interesse tramite la condivisione di immagini o video con le finalità sanitarie di prevenzione, scopo educativo e scopo clinico (diagnosi e cura). Per tale motivo la persona che non intende concedere il proprio assenso e consenso al trattamento dei dati biometrici di fatto è esclusa da qualsivoglia metodica di monitoraggio, di prevenzione, di diagnosi e di cura da parte di FLEEXI che prevedono l’utilizzo della condivisione di immagini e video per le finalità di cui sopra.

DIRITTI DELL’INTERESSATO DI ACCEDERE AI DATI, RETTIFICARLI, CANCELLARLI

FLEEXI prevede modalità volte ad agevolare l’esercizio, da parte dell’interessato, dei diritti di cui al presente Regolamento, compresi i meccanismi per richiedere e, se del caso, ottenere, gratuitamente, in particolare, l’accesso ai dati, la loro rettifica e cancellazione e per esercitare il diritto di opposizione inviando una email a FLEEXI (info@fleexi-care.com) a cui si risponderà prontamente, e comunque come da testo del Regolamento, entro un mese, eventualmente motivando l’eventuale intenzione di non accogliere tali richieste soprattutto in considerazione della natura dei dati sanitari che possono essere utili per le finalità del richiedente in merito a prevenzione, diagnosi e cura (art. 59).

PROFILAZIONE

I principi di trattamento corretto e trasparente implicano che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità. FLEEXI fornisce all’interessato le eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e del contesto specifici in cui i dati personali sono trattati. Inoltre l’interessato viene qui ed ora informato dell’esistenza di una possibile profilazione (ovvero creare un profilo dell’utente in base ad esempio alla patologia, al Professionista che lo ha in cura, ad una determinata terapia medica) e delle conseguenze della stessa. In caso di dati personali raccolti direttamente presso l’interessato, questi dovrebbe inoltre essere informato dell’eventuale obbligo di fornire i dati personali e delle conseguenze in cui incorre se si rifiuta di fornirli. Tali informazioni possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto. Quando presentate elettronicamente, le icone sono leggibili da dispositivo automatico (art. 60).

CESSIONE DI DATI A TERZI

L’interessato riceve le informazioni relative al trattamento di dati personali che lo riguardano al momento della raccolta presso l’interessato o per via elettronica, o se i dati sono ottenuti da altra fonte, entro un termine ragionevole, in funzione delle circostanze del caso. Se i dati personali possono essere legittimamente comunicati a un altro destinatario, in base alle norme ed al Regolamento, FLEEXI informerà prontamente l’interessato nel momento in cui il destinatario riceverà la prima comunicazione dei dati personali.

Pur non essendo previsto, qualora FLEEXI intendesse trattare i dati personali per una finalità̀ diversa da quella per cui essi sono stati raccolti, fornirà all’interessato, prima di tale ulteriore trattamento, informazioni in merito a tale finalità̀ diversa e altre informazioni necessarie. Qualora non sia possibile comunicare all’interessato l’origine dei dati personali, perché́ sono state utilizzate varie fonti, verrà fornita un’informazione di carattere generale (art. 61).

QUANDO NON SUSSISTE L’OBBLIGO DI INFORMARE L’INTERESSATO

Secondo l’art. 62 del Regolamento, non è necessario imporre l’obbligo di fornire l’informazione se l’interessato dispone già dell’informazione, se la registrazione o la comunicazione dei dati personali sono previste per Legge o se informare l’interessato si rivela impossibile o richiederebbe uno sforzo sproporzionato. Quest’ultima eventualità potrebbe verificarsi, ad esempio, nei trattamenti eseguiti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. In tali casi si può tener conto del numero di interessati, dell’antichità dei dati e di eventuali garanzie adeguate in essere.

DIRITTO DELL’INTERESSATO AD ACCEDERE AI PROPRI DATI PERSONALI E POTERI DEL TITOLARE DEL TRATTAMENTO

Un interessato deve avere il diritto di accedere ai dati personali raccolti che lo riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità̀. Ciò̀ include il diritto di accedere ai dati relativi alla salute, ad esempio le cartelle mediche contenenti informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati. Ogni interessato dovrebbe pertanto avere il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità̀ per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali, alla logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando è basato sulla profilazione, alle possibili conseguenze di tale trattamento.

Ove possibile, FLEEXI fornirà l’accesso remoto a un sistema sicuro che consenta all’interessato di consultare direttamente i propri dati personali. Si avvisa cionondimeno che, sempre come concesso dal Regolamento, tale diritto non deve ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà̀ intellettuale, segnatamente i diritti d’autore che tutelano il software. Se FLEEXI tratta una notevole quantità̀ d’informazioni riguardanti l’interessato chiederà a costui di precisare, prima che siano fornite le informazioni, l’informazione o le attività̀ di trattamento cui la richiesta si riferisce (art. 63).

In questo caso FLEEXI adotterà tutte le misure ragionevoli per verificare l’identità̀ di un interessato che chieda l’accesso, in particolare nel contesto di servizi online e di identificativi online (art. 64).

DIRITTO DELL’INTERESSATO ALLA RETTIFICA DEI DATI PERSONALI

Diritto all’OBLIO

FLEEXI garantisce all’interessato il diritto di ottenere la rettifica dei dati personali che lo riguardano ed il «diritto all’oblio» se la conservazione di tali dati violi il presente Regolamento o il diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento. In particolare, l’interessato ha il diritto di chiedere che siano cancellati e non più̀ sottoposti a trattamento i propri dati personali che non siano più̀ necessari per le finalità̀ per le quali sono stati raccolti o altrimenti trattati, quando abbia ritirato il proprio consenso o si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al presente regolamento. Tale diritto è in particolare rilevante se l’interessato ha prestato il proprio consenso quando era minore, e quindi non pienamente consapevole dei rischi derivanti dal trattamento, e vuole successivamente eliminare tale tipo di dati personali, in particolare da internet. L’interessato dovrebbe poter esercitare tale diritto indipendentemente dal fatto che non sia più̀ un minore.

Tuttavia, FLEEXI segnala che, come peraltro previsto da codesto articolo del Regolamento, potrebbe ritenere lecita l’ulteriore conservazione dei dati personali qualora sia necessaria per adempiere un obbligo legale di conservazione di dati sanitari, per eseguire un compito di interesse pubblico o nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento, per motivi di interesse pubblico nel settore della sanità pubblica, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, ovvero per accertare, esercitare o difendere un diritto in sede giudiziaria (art. 65).

Per rafforzare il «diritto all’oblio» nell’ambiente online, FLEEXI informerà i titolari del trattamento che trattano tali dati personali di cancellare qualsiasi link verso tali dati personali o copia o riproduzione di detti dati personali, eventualmente adottando misure ragionevoli tenendo conto della tecnologia disponibile e dei mezzi a disposizione, comprese misure tecniche, per informare della richiesta dell’interessato i titolari del trattamento che trattano i dati personali (art. 66). Le modalità̀ per limitare il trattamento dei dati personali potrebbero consistere, tra l’altro, nel trasferire temporaneamente i dati selezionati verso un altro sistema di trattamento, nel rendere i dati personali selezionati inaccessibili agli utenti o nel rimuovere temporaneamente i dati pubblicati da un sito web. Negli archivi automatizzati, la limitazione del trattamento dei dati personali sarà in linea di massima assicurata mediante dispositivi tecnici in modo tale che i dati personali non siano sottoposti a ulteriori trattamenti e non possano più̀ essere modificati. Il sistema indicherà chiaramente che il trattamento dei dati personali è stato limitato (art. 67). Per rafforzare ulteriormente il controllo sui propri dati l’interessato potrà, qualora i dati personali siano trattati con mezzi automatizzati, ricevere in un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile i dati personali che lo riguardano che abbia fornito a FLEEXI e di trasmetterli a un altro titolare del trattamento se possibile e non interferisce con i sistemi operativi od i sistemi di archiviazione od altrimenti con i diritti di proprietà intellettuale e di brevetto, in formati interoperabili che consentano la portabilità̀ dei dati. Tale diritto dovrebbe applicarsi qualora l’interessato abbia fornito i dati personali sulla base del proprio consenso o se il trattamento è necessario per l’esecuzione di un contratto.

E’ nel merito opportuno segnalare che l’art. 67 non dovrebbe applicarsi qualora il trattamento si basi su un fondamento giuridico diverso dal consenso o contratto. Per sua stessa natura, tale diritto non dovrebbe essere esercitato nei confronti dei titolari del trattamento, quali FLEEXI e suo eventuale partner (caso istituzionale), che trattano dati personali nell’esercizio delle loro funzioni pubbliche. Non dovrebbe pertanto applicarsi quando il trattamento dei dati personali è necessario per l’adempimento di un obbligo legale cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Per quanto sopra, e nello specifico per la materia e la finalità di monitoraggio sanitario di FLEEXI, il diritto dell’interessato di trasmettere o ricevere dati personali che lo riguardano non dovrebbe comportare l’obbligo per i titolari del trattamento di adottare o mantenere sistemi di trattamento tecnicamente compatibili. Qualora un certo insieme di dati personali riguardi più̀ di un interessato, il diritto di ricevere i dati personali non dovrebbe pregiudicare i diritti e le libertà degli altri interessati in ottemperanza del presente regolamento. Inoltre tale diritto non dovrebbe pregiudicare il diritto dell’interessato di ottenere la cancellazione dei dati personali e le limitazioni di tale diritto di cui al presente regolamento e non dovrebbe segnatamente implicare la cancellazione dei dati personali riguardanti l’interessato forniti da quest’ultimo per l’esecuzione di un contratto, nella misura in cui e fintantoché́ i dati personali siano necessari all’esecuzione di tale contratto. Ove tecnicamente fattibile, l’interessato avrà il diritto di ottenere che i dati personali siano trasmessi direttamente da un titolare del trattamento a un altro (art. 68).

Qualora i dati personali possano essere lecitamente trattati, essendo il trattamento necessario per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento, ovvero per i legittimi interessi di un titolare del trattamento o di terzi, l’interessato avrà comunque il diritto di opporsi al trattamento dei dati personali che riguardano la sua situazione particolare. FLEEXI si avvale della facoltà di dimostrare che gli interessi legittimi cogenti prevalgono o possono prevalere sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato (art. 69).

L’interessato dovrebbe avere il diritto di non essere sottoposto ad una decisione, che possa includere una misura, che valuti aspetti personali che lo riguardano, che sia basata unicamente su un trattamento automatizzato e che produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona, quali il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani. Tale trattamento comprende la «profilazione», che consiste in una forma di trattamento automatizzato dei dati personali che valuta aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità̀ o il comportamento, l’ubicazione o gli spostamenti dell’interessato, ove ciò̀ produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona. Tuttavia, è opportuno che sia consentito adottare decisioni sulla base di tale trattamento, compresa la profilazione, se ciò̀ è espressamente previsto dal diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento, anche a fini di monitoraggio e prevenzione delle frodi e dell’evasione fiscale secondo i regolamenti, le norme e le raccomandazioni delle istituzioni dell’Unione o degli organismi nazionali di vigilanza e a garanzia della sicurezza e dell’affidabilità̀ di un servizio fornito dal titolare del trattamento, o se è necessario per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento, o se l’interessato ha espresso il proprio consenso esplicito. In ogni caso, tale trattamento dovrebbe essere subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all’interessato e il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione. Tale misura non riguarda un minore.

Al fine di garantire un trattamento corretto e trasparente nel rispetto dell’interessato, tenendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati, FLEEXI può utilizzare procedure matematiche o statistiche appropriate per la profilazione, può mettere in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità̀ che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e che impedisca tra l’altro effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale, ovvero che comportano misure aventi tali effetti. Il processo decisionale automatizzato e la profilazione basati su categorie particolari di dati personali sarà consentiti solo a determinate condizioni, soprattutto per scopo scientifico (art. 71).

LIMITAZIONI AL DIRITTO DI ACCESSO, RETTIFICA, CANCELLAZIONE DEI DATI

Il diritto dell’Unione o degli Stati membri può imporre limitazioni a specifici principi e ai diritti di informazione, accesso, rettifica e cancellazione di dati, al diritto di portabilità dei dati, al diritto di opporsi, alle decisioni basate sulla profilazione, nonché alla comunicazione di una violazione di dati personali all’interessato e ad alcuni obblighi connessi in capo ai titolari del trattamento, ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della sicurezza pubblica della sicurezza pubblica, ivi comprese la tutela della vita umana, in particolare in risposta a catastrofi di origine naturale o umana, le attività di prevenzione, indagine e perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, o di violazioni della deontologia professionale, per la tutela di altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, tra cui un interesse economico o finanziario rilevante dell’Unione o di uno Stato membro, per la tenuta di registri pubblici per ragioni di interesse pubblico generale, per l’ulteriore trattamento di dati personali archiviati al fine di fornire informazioni specifiche connesse al comportamento politico sotto precedenti regimi statali totalitari o per la tutela dell’interessato o dei diritti e delle libertà altrui, compresi la protezione sociale, la sanità pubblica e gli scopi umanitari. Tali limitazioni dovrebbero essere conformi alla Carta e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (art. 73).

RESPONSABILITA’ DEL TRATTAMENTO DEI DATI

FLEEXI assume la responsabilità generale per qualsiasi trattamento di dati personali in forma propria o effettuata da altri per proprio conto, con una specifica manleva/contratto/nomina/autorizzazione ovvero rivalendosi in qualsiasi sede nel caso in cui la Società od Ente che ha raccolto e trattato il dato contravvenga al presente Regolamento. In qualsiasi caso FLEEXI metterà in atto misure adeguate ed efficaci per essere in grado di dimostrare la conformità delle attività di trattamento con il presente Regolamento, compresa l’efficacia delle misure relate alla natura, all’ambito di applicazione, al contesto ed alle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche (art. 74).

RISCHI INERENTI AL TRATTAMENTO DEI DATI PERSONALI

Grande attenzione è stata posta in essere da FLEEXI per annullare o ridurre in modo drastico e quindi accettabile il rischio di furto o manipolazione dei dati trattati. I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda e un vasto numero di interessati (art.75).

VANTAGGI INERENTI L’UTILIZZO DELLA TELEMEDICINA VS LA PROTEZIONE DEI DATI PERSONALI

Come dall’art. 76, FLEEXI valuta che i vantaggi di un “sistema di monitoraggio” dello stato di salute, o che permettano prevenzione, diagnosi e cura, in ogni luogo, in qualsiasi momento, siano nettamente maggiori della probabilità̀ e della gravità del rischio per i diritti e le libertà dell’interessato. Anche l’Organizzazione Mondiale della Sanità conferma che la Telemedicina può comportare enormi vantaggi alla salute della popolazione, e quindi del singolo.

I servizi di telemedicina, come risulta dalle numerose pubblicazioni su riviste scientifiche internazionali, comportano una specificità ed una sensitività sostanzialmente sovrapponibili se non superiori agli accertamenti o alle visite eseguite fisicamente (ovvero tra Medico e paziente), e comportano innumerevoli ulteriori vantaggi, quali ad esempio la possibilità di essere monitorati quanto a funzioni vitali presso il proprio domicilio o in mobilità, un minor accesso a strutture ambulatoriali, una migliore continuità delle cure, soprattutto quando il Centro Clinico si trova a distanza dal domicilio del paziente (saving time, saving cost). Infine, un monitoraggio remoto con gli strumenti della telemedicina consente un minor rischio di contrarre patologie (virali o batteriche) quali possono essere presenti in sale di attesa di ambulatori magari sovraffollati o con condizioni igienico-sanitarie non ineccepibili. (esperienza Covid docet)

LINEE GUIDA SUL RISCHIO CONNESSO AL TRATTAMENTO DEI DATI VS VANTAGGI OTTENIBILI DALL’UTILIZZO DI SERVIZI O SOLUZIONI DI TELEMEDICINA

FLEEXI fornisce le informazioni per dimostrare di aver individuato il rischio connesso al trattamento, la sua valutazione in termini di origine, natura, probabilità̀ e gravità, e l’individuazione di migliori prassi per attenuare il rischio, mediante linee guida, rimanendo comunque in attesa di ulteriori pronunciamenti da parte della Comunità europea o degli Stati membri (art. 77). Le linee guida sono quelle previste dall’Organizzazione Mondiale della Sanità, dal Codice Deontologico, dalla buona prassi clinica eseguita secondo scienza e coscienza, con la finalità di prevenire, eseguire diagnosi, educare, prescrivere una terapia, modificare una terapia, eseguire un controllo post operatorio, migliorare la continuità delle cure, etc.

In questo FLEEXI ha adottato le misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento, in particolare aderendo ai dettami delle regole indicate dalle più attuali procedure di sicurezza a livello internazionale, ove possibile anche pseudonimizzando i dati personali il più̀ presto possibile, offrendo trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentendo all’interessato di controllare il trattamento dei dati e consentendo al titolare del trattamento di creare e migliorare costantemente caratteristiche di sicurezza (art. 78).

COMPITI E RUOLI DEL RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI

Nel caso in cui FLEEXI debba o voglia trattare i dati congiuntamente ad altri Enti o Società (altri Titolari “de facto”), la responsabilità primaria del trattare i dati sarà in carico a FLEEXI (in questo caso in veste di Responsabile Esterno) salvo eventuale ulteriore comunicazione diretta all’interessato al trattamento dei propri dati personali. FLEEXI manterrà un ferreo controllo sulla buona applicazione dei principi guida del presente Regolamento da parte di terzi, ove presenti, con ciò confermando di non rinunciare ai propri interessi od alla difesa degli stessi propri interessi per comportamenti non leciti o non corrispondenti alla Carta od al Regolamento per condotte inappropriate, adendo le vie legali in qualsiasi Sede ove ritenuto opportuno o giusto o giustificato a tutela del proprio nome e della propria Organizzazione (art. 79). Ovviamente qualora fosse necessario od utile eseguire attività in concerto con altri Enti si ricorrerà a questa unione di lavoro solo con Responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento. In questo caso si adotterà un codice di condotta approvato per dimostrare il rispetto degli obblighi da parte del titolare del trattamento, con materia disciplinata da un contratto che vincoli il Responsabile del trattamento (o il Titolare de facto) a FLEEXI, in cui siano stipulati la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato. Il titolare del trattamento e il responsabile del trattamento possono scegliere di usare un contratto individuale o clausole contrattuali tipo che sono indicate direttamente da Commissioni preposte oppure da un’Autorità di controllo, in conformità del meccanismo di coerenza e successivamente dalla Commissione. Dopo il completamento del trattamento per conto del titolare del trattamento, il responsabile del trattamento dovrebbe, a scelta del titolare del trattamento, restituire o cancellare i dati personali salvo che il diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento prescriva la conservazione dei dati personali (art. 81).

Per dimostrare che ci si conforma al presente Regolamento, FLEEXI ed il responsabile del trattamento (o Titolare de facto) terranno un registro di tutte le attività di trattamento effettuate. Questi registri saranno a disposizione della Autorità Garante, a semplice richiesta, affinché possano servire per monitorare detti trattamenti (art. 82) Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, FLEEXI od il responsabile del trattamento valutano i rischi inerenti al trattamento e attuano misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero nelle nostre intenzioni assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati si sono tenuti in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale (art. 83).

Per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, FLEEXI è responsabile dello svolgimento di una valutazione d’impatto sulla protezione dei dati (DPIA) per ogni suo prodotto/servizio/sistema messo in opera, per determinare, in particolare, l’origine, la natura, la particolarità e la gravità di tale rischio in ogni caso e applicazione pratica possibile. L’esito delle valutazioni viene sempre preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento (art. 84). Quanto premesso non esclude onere, da parte dell’eventuale partner/cliente/committente (Titolare “de facto), di svolgere propria DPIA “allargata” a proprio contesto di utilizzo/trattamento.

VIOLAZIONE DEI DATI PERSONALI

Una violazione dei dati personali può̀, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità̀, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. Pertanto, non appena FLEEXI dovesse venire a conoscenza di un’avvenuta violazione dei dati personali, nonostante tutte le misure messe in atto, notificherà la violazione dei dati personali all’autorità̀ di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che FLEEXI non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica sarà corredata delle ragioni del ritardo e le informazioni potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo (art. 85). FLEEXI comunicherà all’interessato la violazione dei dati personali senza indebito ritardo, qualora questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie. La comunicazione descriverà la natura della violazione dei dati personali e formulerà raccomandazioni per la persona fisica interessata intese ad attenuare i potenziali effetti negativi. Tali comunicazioni agli interessati saranno effettuate non appena ragionevolmente possibile e in stretta collaborazione con l’autorità̀ di controllo e nel rispetto degli orientamenti impartiti da questa o da altre autorità̀ competenti quali le autorità̀ incaricate dell’applicazione della legge. Ad esempio, la necessità di attenuare un rischio immediato di danno richiederebbe che la comunicazione agli interessati fosse tempestiva, ma la necessità di attuare opportune misure per contrastare violazioni di dati personali ripetute o analoghe potrebbe giustificare tempi più̀ lunghi per la comunicazione (art. 86). Nel caso di presunta o certa violazione, FLEEXI verificherà che siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c’è stata violazione dei dati personali e informare tempestivamente l’autorità̀ di controllo e l’interessato, notificandogli la notizia il prima possibile e senza ingiustificato ritardo, tenendo conto in particolare della natura e della gravità della violazione dei dati personali e delle sue conseguenze e effetti negativi per l’interessato (art. 87). Nel definire modalità dettagliate relative al formato e alle procedure applicabili alla notifica delle violazioni di dati personali, FLEEXI terrà debitamente conto delle circostanze di tale violazione, ad esempio stabilire se i dati personali fossero o meno protetti con misure tecniche adeguate di protezione atte a limitare efficacemente il rischio di furto d’identità̀ o altre forme di abuso. Inoltre, tali modalità̀ e procedure terranno conto dei legittimi interessi delle autorità̀ incaricate dell’applicazione della legge, qualora una divulgazione prematura possa ostacolare inutilmente l’indagine sulle circostanze di una violazione di dati personali (art. 88). La direttiva 95/46/CE ha introdotto un obbligo generale di notificare alle autorità̀ di controllo il trattamento dei dati personali. Mentre tale obbligo comporta oneri amministrativi e finanziari, non ha sempre contribuito a migliorare la protezione dei dati personali. È pertanto opportuno abolire tali obblighi generali e indiscriminati di notifica e sostituirli con meccanismi e procedure efficaci che si concentrino piuttosto su quei tipi di trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura, ambito di applicazione, contesto e finalità̀. Tali tipi di trattamenti includono, in particolare, quelli che comportano l’utilizzo di nuove tecnologie o quelli che sono di nuovo tipo e in relazione ai quali il titolare del trattamento non ha ancora effettuato una valutazione d’impatto sulla protezione dei dati, o la valutazione d’impatto sulla protezione dei dati si riveli necessaria alla luce del tempo trascorso dal trattamento iniziale (art. 89). In tali casi, è opportuno che il titolare del trattamento effettui una valutazione d’impatto sulla protezione dei dati prima del trattamento, per valutare la particolare probabilità̀ e gravità del rischio, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità̀ del trattamento e delle fonti di rischio. La valutazione di impatto (specifica DPIA) dovrebbe vertere, in particolare, anche sulle misure, sulle garanzie e sui meccanismi previsti per attenuare tale rischio assicurando la protezione dei dati personali e dimostrando la conformità̀ al presente regolamento (art. 90). Ciò̀ dovrebbe applicarsi in particolare ai trattamenti su larga scala, che mirano al trattamento di una notevole quantità̀ di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità̀, laddove, in conformità̀ con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su larga scala, nonché́ ad altri trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, specialmente qualora tali trattamenti rendano più̀ difficoltoso, per gli interessati, l’esercizio dei propri diritti (art. 91).

FLEEXI ha eseguito queste valutazioni e continuerà a farlo, caso per caso e a seconda delle specifiche applicazioni, e garantisce l’applicazione delle regole previste convenzionalmente a livello internazionale per i contesti sanitari alle metodologie utilizzate per eseguire anche in Italia e nei Paesi comunitari il trattamento dei dati personali sensibili, attenendosi a protocolli di sicurezza ben delineati, ed annullare o rendere così meno probabile il furto o la manipolazione dei dati.

RICORSO DI ANNULLAMENTO

Qualsiasi persona fisica o giuridica ha diritto di proporre un ricorso per l’annullamento delle decisioni del comitato dinanzi alla Corte di giustizia, alle condizioni previste all’articolo 263 TFUE. In quanto destinatari di tali decisioni le autorità di controllo interessate che intendono impugnarle, devono proporre ricorso entro due mesi dalla loro notifica, conformemente all’articolo 263 TFUE. Se un reclamo è stato rigettato o archiviato da un’Autorità di controllo, il reclamante può proporre ricorso giurisdizionale nello stesso Stato membro (art. 143).

ACCESSO AD ATTI UFFICIALI

Il presente regolamento ammette, nell’applicazione delle sue disposizioni, che si tenga conto del principio del pubblico accesso ai documenti ufficiali. L’accesso del pubblico ai documenti ufficiali può essere considerato di interesse pubblico. I dati personali contenuti in documenti conservati da un’autorità pubblica o da un organismo pubblico sono soggetti (art. 154). Il diritto degli Stati membri o i contratti collettivi, ivi compresi gli «accordi aziendali», possono prevedere norme specifiche per il trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per quanto riguarda le condizioni alle quali i dati personali nei rapporti di lavoro possono essere trattati sulla base del consenso del dipendente, per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro (art. 155).

ARCHIVIAZIONE E TRATTAMENTO DATI A SCOPO SCIENTIFICO

art. 156, 157, 158, 159, 160, 161, 162, (vedere anche art. 33).

Il trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici dovrebbe essere soggetto a garanzie adeguate per i diritti e le libertà dell’interessato, in conformità̀ del presente regolamento. Tali garanzie dovrebbero assicurare che siano state predisposte misure tecniche e organizzative al fine di garantire, in particolare, il principio della minimizzazione dei dati. L’ulteriore trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è da effettuarsi quando il titolare del trattamento ha valutato la fattibilità̀ di conseguire tali finalità̀ trattando dati personali che non consentono o non consentono più̀ di identificare l’interessato, purché́ esistano garanzie adeguate (come ad esempio la pseudonimizzazione dei dati personali). Combinando informazioni provenienti dai registri, i ricercatori possono ottenere nuove conoscenze di grande utilità̀ relativamente a patologie diffuse come le malattie cardiovascolari, il cancro e la depressione. Avvalendosi dei registri, i risultati delle ricerche possono acquistare maggiore rilevanza, dal momento che si basano su una popolazione più̀ ampia. Nell’ambito delle scienze sociali, la ricerca basata sui registri consente ai ricercatori di ottenere conoscenze essenziali sulla correlazione a lungo termine tra numerose condizioni sociali, quali la disoccupazione e il livello di istruzione, e altre condizioni di vita. I risultati delle ricerche ottenuti dai registri forniscono conoscenze solide e di alta qualità̀, che possono costituire la base per l’elaborazione e l’attuazione di politiche basate sulla conoscenza, migliorare la qualità̀ della vita per molte persone, migliorare l’efficienza dei servizi sociali. Al fine di facilitare la ricerca scientifica, i dati personali possono essere trattati per finalità̀ di ricerca scientifica fatte salve condizioni e garanzie adeguate previste dal diritto dell’Unione o degli Stati membri. Qualora i dati personali siano trattati a fini di archiviazione, il presente regolamento dovrebbe applicarsi anche a tale tipo di trattamento, tenendo presente che non dovrebbe applicarsi ai dati delle persone decedute. Le autorità pubbliche o gli organismi pubblici o privati che tengono registri di interesse pubblico dovrebbero essere servizi che, in virtù del diritto dell’Unione o degli Stati membri, hanno l’obbligo legale di acquisire, conservare, valutare, organizzare, descrivere, comunicare, promuovere, diffondere e fornire accesso a registri con un valore a lungo termine per l’interesse pubblico generale. Qualora i dati personali siano trattati per finalità̀ di ricerca scientifica, il presente regolamento dovrebbe applicarsi anche a tale trattamento. Nell’ambito del presente regolamento, il trattamento di dati personali per finalità̀ di ricerca scientifica dovrebbe essere interpretato in senso lato e includere ad esempio sviluppo tecnologico e dimostrazione, ricerca fondamentale, ricerca applicata e ricerca finanziata da privati, oltre a tenere conto dell’obiettivo dell’Unione di istituire uno spazio europeo della ricerca ai sensi dell’articolo 179, paragrafo 1, TFUE. Le finalità̀ di ricerca scientifica dovrebbero altresì̀ includere gli studi svolti nell’interesse pubblico nel settore della sanità pubblica. Per rispondere alle specificità̀ del trattamento dei dati personali per finalità̀ di ricerca scientifica dovrebbero applicarsi condizioni specifiche, in particolare per quanto riguarda la pubblicazione o la diffusione in altra forma di dati personali nel contesto delle finalità̀ di ricerca scientifica. Se il risultato della ricerca scientifica, in particolare nel contesto sanitario, costituisce motivo per ulteriori misure nell’interesse dell’interessato, le norme generali del presente regolamento dovrebbero applicarsi in vista di tali misure. Qualora i dati personali siano trattati a fini di ricerca storica, il presente regolamento dovrebbe applicarsi anche a tale trattamento. Ciò̀ dovrebbe comprendere anche la ricerca storica e la ricerca a fini genealogici, tenendo conto del fatto che il presente regolamento non dovrebbe applicarsi ai dati delle persone decedute. Ai fini del consenso alla partecipazione ad attività̀ di ricerca scientifica nell’ambito di sperimentazioni cliniche dovrebbero applicarsi le pertinenti disposizioni del regolamento (UE) n. 536/2014 del Parlamento europeo e del Consiglio. Qualora i dati personali siano trattati per finalità̀ statistiche, il presente regolamento dovrebbe applicarsi a tale trattamento. Il diritto dell’Unione o degli Stati membri dovrebbe, entro i limiti del presente regolamento, determinare i contenuti statistici, il controllo dell’accesso, le specifiche per il trattamento dei dati personali per finalità̀ statistiche e le misure adeguate per tutelare i diritti e le libertà dell’interessato e per garantire il segreto statistico. Per finalità̀ statistiche si intende qualsiasi operazione di raccolta e trattamento di dati personali necessari alle indagini statisti- che o alla produzione di risultati statistici. Tali risultati statistici possono essere ulteriormente usati per finalità̀ diverse, anche per finalità̀ di ricerca scientifica. La finalità statistica implica che il risultato del trattamento per finalità statistiche non siano dati personali, ma dati aggregati, e che tale risultato o i dati personali non siano utilizzati a sostegno di misure o decisioni riguardanti persone fisiche specifiche.

ACCESSO AI DATI DA PARTE DELLE AUTORITA’ DI CONTROLLO (art. 164)

Per quanto riguarda il potere delle autorità di controllo di ottenere, dal titolare del trattamento o dal responsabile del trattamento, accesso ai dati personali e accesso ai loro locali, gli Stati membri possono stabilire per legge, nei limiti del presente regolamento, norme specifiche per tutelare il segreto professionale o altri obblighi equi valenti di segretezza, qualora si rendano necessarie per conciliare il diritto alla protezione dei dati personali con il segreto professionale. Ciò non pregiudica gli obblighi esistenti degli Stati membri di adottare norme relative al segreto professionale laddove richiesto dal diritto dell’Unione.

CONTATTO PER INFORMAZIONI ED ESERCIZIO PROPRI DIRITTI PRIVACY

Nel caso in cui Lei desiderasse contattare FLEEXI per informazioni di carattere privato, per un reclamo sull’utilizzo delle Sue informazioni di carattere privato, o modificare informazioni che La riguardano e le Sue Informazioni Cliniche Personali,

tali richieste devono essere inviate a:

info@fleexi.health

indicando “RICHIESTA INFORMAZIONI PRIVACY” ed indicando un numero telefonico valido, giorno ed un orario preferenziale in cui essere contattato da un nostro incaricato o Funzionario, oppure contattando direttamente il Responsabile della Protezione dei Dati (RPD/DPO) nominato da FLEEXI al seguente indirizzo mail: m.calzia.dpo@gmail.com

POLICY PRIVACY E SICUREZZA DATI (sintesi del presente/precedente documento)

Nota. Il testo seguente è una semplificazione di quanto contenuto nella totalità del presente documento, proposto per chiarezza riassuntiva e conclusiva utile all’atto di firma).

L’Utente è invitato a leggere attentamente tutto il documento, eventualmente a discuterne con il proprio Consulente o Medico di Medicina Generale o altro Professionista di sua fiducia, ovvero di richiedere ulteriori informazioni e/o delucidazioni a FLEEXI nei termini e con le modalità anzi descritte, prima di esprimere il proprio consenso al trattamento dei propri dati personali, soprattutto perché questi, in accordanza con la missione di FLEEXI e la finalità della raccolta e trattamento dei dati personali, riguardano dati altamente sensibili sul Suo stato di salute.

Accettando i servizi proposti o l’uso di dispositivi medicali, e confermando il Suo consenso al trattamento dei Suoi dati personali, FLEEXI provvederà a registrare dati protetti o sensibili riguardo alla Vostra condizione di salute come definito dalla Legge Legge italiana 675/96 e dal Regolamento 2016/679 del Parlamento Europeo (GDPR) che potranno essere utilizzate da Voi e dal Professionista. FLEEXI mette a disposizione modalità di protezione della identità dei Pazienti ed utilizza Soluzioni GDPR compliant.

I sistemi informatici e le procedure software preposte al funzionamento del sito acquisiscono, nel corso del loro normale esercizio, alcuni Dati Personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet. Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti. In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al Sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, etc.) ed altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente. Questi dati possono venire utilizzati al solo fine di ricavare informazioni statistiche anonime sull’uso del Sito e per controllarne il corretto funzionamento, per identificare anomalie e/o abusi, e vengono cancellati immediatamente dopo l’elaborazione. I dati potrebbero essere utilizzati per l’accertamento di responsabilità in caso di ipotetici reati informatici ai danni del sito o di terzi: salva questa eventualità, allo stato i dati sui contatti web non persistono per più di quattordici giorni, a meno di eventuali richieste dell’utente (es: accesso alle pagine personali dell’utente all’interno di www.FLEEXI.com che riepilogano i servizi fruiti, le informazioni pubblicate, etc.) quando non in conflitto con richieste del Garante della Privacy o per motivi di ordine pubblico o sanitario, su richiesta delle Autorità.

I server di FLEEXI necessitano di codici criptati di sicurezza per l’accesso. I server hanno tutti gli accessi chiusi (modalità “deny-all”) tranne alcuni che devono rimanere aperti in quanto essenziali per l’operatività di inovaMED e inovaCARE (monitoraggio). Essi sono resi sicuri tramite autenticazione (login/password) e il traffico dati (anche audio/video) è criptato (Hypertext Transfer Protocol Secure/ Secure Socket Layer -“HTTPS/SSL”). FLEEXI si impegna costantemente e con sforzi notevoli per la sicurezza di ogni Dato Utente (cartella clinica o dato cosiddetto sensibile) che viene ricevuto.

I dati dei pazienti risiedono su Server gestiti e controllati direttamente dal personale FLEEXI o suoi stretti delegati opportunamente autorizzati e specificamente formati. Ogni accesso al sistema dati, per tutte le operazioni concernenti il Software di controllo viene generato sul server stesso, per cui non saranno abilitati accessi da IP esterni. L’accesso al Datacenter per manutenzioni e permesso al solo personale incaricato/autorizzato da FLEEXI ed in nessun caso a personale estraneo/esterno.

Ogni accesso al Datacenter viene registrato su file log.

Gli accessi remoti al Datacenter, effettuati dal Personale autorizzato alla manutenzione del sistema, vengono invece controllati e garantiti, tramite VPN con firewall hardware e sempre e solo da IP di connessione autorizzati. L’infrastruttura è composta da 2 Server, uno primario ed uno di replica, e garantisce UPTIME del 99.99%.

I pacchetti dati scambiati in maniera bidirezionale, viaggiano su protocollo HTTPS con crittografia SSL a 128bit, la medesima utilizzata ad esempio dagli Istituti di Credito / Banche per le transazioni commerciali.

Ogni pacchetto dati non contiene informazioni riconducibili direttamente al Paziente.

Il Paziente viene infatti identificato con una chiave univoca interna.

Ogni operazione di accesso al Sistema, a tutti i livelli, viene registrato e tracciato tramite “file-log”. Gli accessi forniti al Personale medico autorizzato al monitoraggio dei pazienti hanno una scadenza mensile e richiedono l’immissione di una Password e di ID con un controllo di complessità.

Sulle interfacce/pannelli di FLEEXI possono essere presenti dati clinici inerenti il Vostro stato di salute pregresso od attuale, l’allergia a farmaci od alimenti, l’uso di sostanze stupefacenti, l’anamnesi familiare, l’anamnesi patologica remota e prossima, il tipo e numero di interventi chirurgici a cui siete stati o dovrete essere sottoposti.

Confermate che accettate che i Vostri dati clinici e personali saranno trattati da FLEEXI a solo scopo clinico secondo la legislazione vigente in Italia e dunque secondo i dettami del Regolamento 2016/679 del Parlamento Europeo.

Il contenuto del Vostro profilo utente o Vostra cartella clinica elettronica, od altrimenti i dati sensibili sul Vostro stato di salute, forniti alla Società e trasmesso attraverso dispositivi mobili, i siti web, e i server della Società, è criptato.

Le password che permettono l’accesso alle applicazioni della Società ed al proprio sito, che possono contenere il profilo utente (cartella clinica) od i dati sensibili sullo stato di salute, sono anch’esse criptate.

I server della Società, fisicamente presenti in territorio europeo, e che possono contenere il profilo utente (cartella clinica) o dati sensibili in materia di salute sono protetti da firewall.

L’accesso da parte di operatori tecnici FLEEXI è limitato alle necessità di manutenzione ed esclude l’accesso alla cartella clinica.

Nell’eventualità di un attacco di hacker, tuttavia, è sempre possibile, nonostante la messa in opera di notevoli salvaguardie, che il profilo utente (cartella clinica o dato cosiddetto sensibile) possa essere reso palese. Utilizzando i servizi di tele-medicina e video-medicina, voi accettate tale rischio, relativo alla divulgazione del Vostro profilo (cartella clinica o dato cosiddetto sensibile) o al suo uso improprio.

Voi siete consapevoli che FLEEXI può monitorare qualsiasi attività sul proprio portale, tracciando, ad esempio, il numero di Utenti, i servizi richiesti, i dati tecnici che servono al miglioramento del Servizio, e per favorire la conformità ai Termini di Utilizzo. Aderendo ai servizi di tele e videomedicina, si intende che Voi siete consapevoli e accettate tale monitoraggio.

La Società può raccogliere automaticamente informazioni circa il cellulare o altri dispositivi che Voi utilizzate per avere accesso ai servizi, inclusi per esempio marca e modello del Vostro dispositivo, e (se possibile) il tipo di software che adopera il browser che Voi utilizzate, il sistema operativo, il vostro IP (Internet Protocol). Inoltre, può essere registrata la Vostra localizzazione e archiviata attraverso le funzioni del dispositivo da Voi utilizzato e, se questo avviene, FLEEXI può archiviare ed avere accesso a tale informazione nei termini stabiliti dal Regolamento del Parlamento Europeo

Ultima revisione 05.04.2024