El Titular del tratamiento es la Empresa Hospitalaria de Reggio Emilia. El Titular procede, en los casos previstos por la ley, a:

Transcripción

1 La Empresa Hospitalaria de Reggio Emilia garantiza que el tratamiento de los datos personales se realiza respetando los derechos, las libertades fundamentales y la dignidad de las personas físicas y jurídicas, con especial referencia a la privacidad y a la identidad personal de los usuarios y de todos aquellos que tengan relación con la Empresa. A tal fin, se asegura la adopción de medidas de seguridad idóneas para evitar situaciones de riesgo, pérdida o alteración de los datos, de acuerdo con lo previsto en la normativa vigente. Cuáles son los datos personales? Dato personal es toda información relativa a una persona física, persona jurídica, ente o asociación, identificado o identificable, incluso indirectamente, mediante referencia a cualquier otra información, como por ejemplo el número de identificación personal (en adelante, «el interesado»). Los datos sensibles son aquellos datos que permitan revelar el origen racial, las convicciones religiosas y/o filosóficas, las opiniones políticas, la adhesión a partidos políticos y/o sindicatos, el estado de salud y la vida sexual del interesado. Qué significa tratamiento de datos personales? Con la expresión «tratamiento» debe entenderse cualquier operación o conjunto de operaciones, desarrolladas con o sin la ayuda de medios electrónicos o automatizados, concernientes a la recopilación, el registro, la organización, la conservación, la elaboración, la modificación, la selección, la extracción, la comparación, el uso, la interconexión, el bloqueo, la comunicación, la difusión, la eliminación y la destrucción de los datos. Quién es el Titular del tratamiento de los datos personales? El Titular del tratamiento es la Empresa Hospitalaria de Reggio Emilia. El Titular procede, en los casos previstos por la ley, a: cumplir con la obligación de notificación al Garante; solicitar al Garante la autorización para el tratamiento de datos sensibles, cuando sea necesaria; adoptar, dentro de sus competencias, las medidas necesarias para garantizar la seguridad de los datos personales; impartir a los Responsables las instrucciones necesarias para la correcta gestión y tutela de los datos personales, incluida la salvaguardia de su integridad y seguridad; verificar periódicamente, incluso a través de oficinas destinadas al efecto, el cumplimiento de las instrucciones impartidas, incluidos los aspectos relativos a la seguridad de los datos. Quiénes son los Responsables del tratamiento de los datos personales? Los Responsables del tratamiento de los datos personales se identifican en los Responsables del Centro, teniendo presente que dicha función directiva incluye la posesión de la experiencia, los conocimientos y la fiabilidad necesarios para compaginar los niveles de calidad productiva con los derechos de los interesados que el Código

2 promueve y tutela. La designación como Responsable del tratamiento tiene lugar en el momento de la suscripción del contrato laboral. Los Responsables del tratamiento, de acuerdo con las indicaciones organizativas y de procedimiento proporcionadas por el Titular (en el acto de nombramiento, el Responsable recibe el documento «Instrucciones operativas para los responsables del Tratamiento»), supervisan las operaciones de tratamiento desarrolladas por los encargados del mismo, que operan en el centro del que son responsables. Quiénes son los Encargados del tratamiento? Los Encargados del tratamiento se identifican como todos aquellos que, en calidad de dependientes o en nombre y por cuenta de la empresa Titular, en virtud de sus propias funciones, su cargo y su servicio, efectúan operaciones de tratamiento de los datos. Los Encargados deben realizar el tratamiento de los datos de acuerdo con las disposiciones, normas y principios que el Responsable y el Titular les hayan indicado en el «Manual para el Encargado», que se les entrega en el momento del nombramiento que tiene lugar a la suscripción del contrato laboral. El Responsable del tratamiento, asimismo, procura que la organización interna de la estructura prevea para los Encargados unos ámbitos específicos de acceso a los datos, y que dicho acceso se realice bajo los principios de pertinencia y necesidad. Qué está previsto para el caso de tratamiento de datos externalizado? A todo sujeto, tanto público como privado, externo a la Empresa pero ligado a la misma mediante cualquier tipo de contrato que prevea una forma de tratamiento de datos, con exclusiva referencia a las operaciones de tratamiento relacionadas, se atribuye la calidad de Responsable. En los pliegos de condiciones de licitación, en los acuerdos con empresas acreditadas y en los contratos de atribución de actividades o servicios a empresas externas (externalización), se incluye una cláusula específica de garantía en la que el sujeto acreditado o adjudicatario se obliga a respetar las normas de protección de datos personales y todo lo dispuesto por la Empresa en materia de tratamiento de datos, explicitando una declaración de respeto a las normas y de adopción de las medidas mínimas de seguridad. Cómo se realiza el tratamiento de los datos personales? El tratamiento de los datos se realiza en modalidades adecuadas para asegurar el respeto a los derechos y a la dignidad del interesado, y con los medios técnicos y las medidas de seguridad que prevé el Código en materia de protección de los datos personales (D. Lgvo. italiano 196/2003). Solo se someterán a tratamiento los datos esenciales y necesarios para desarrollar las específicas actividades atribuidas institucional y funcionalmente.

3 Los datos personales se recopilan y registran con fines determinados, explícitos y legítimos, y se utilizan en otras posibles operaciones posteriores de tratamiento en términos compatibles con dichos fines. El tratamiento de los datos efectuado a partir de los bancos de datos de diversos titulares solo se realiza en los casos previstos expresamente por la ley. Los datos que permitan revelar el estado de salud y la vida sexual se conservan separadamente de cualquier otro dato personal, cuando este sea tratado con fines que no requieran su utilización. Nota informativa y Consentimiento al tratamiento de los datos Antes de o en el momento de la recogida de los datos, salvo en los casos de emergencia o urgencia, de evidente gravedad o de imposibilidad real, se entregará al interesado la «Nota informativa» mencionada en los art. 77 y ss. del Código. Dicha nota un formulario con el que la Empresa ha resumido de modo homogéneo y completo para todas las estructuras las informaciones prescritas puede ser profundizada en sus contenidos, explicada y ampliada también verbalmente por quien esté legitimado para ello. El formulario se encuentra en el sitio de Internet y en la intranet de la empresa (y por tanto siempre está disponible para los operadores) además de exponerse mediante carteles al efecto en los lugares de mayor tránsito de usuarios. El consentimiento al tratamiento de los datos (consentimiento «básico»), que el interesado presta verbalmente una sola vez, se anota informáticamente de modo que pueda ponerse en conocimiento de todas las estructuras que deban tratar en otro momento posterior los datos del mismo asistido. Cuáles son los derechos del interesado? En cualquier momento, el interesado puede obtener información sobre el uso de sus datos. De acuerdo con el art. 7 del Código de Privacidad italiano, el interesado puede solicitar: - conocer sus datos objeto de tratamiento; - conocer los nombres de los sujetos que tienen la función de conservarlos y protegerlos; - saber a quiénes se comunican y quién puede conocerlos; - solicitar la ampliación o actualización, o bien la rectificación de sus datos; - solicitar la eliminación (siempre que no exista obligación de conservación por ley), la transformación a forma anónima o el bloqueo de los datos tratados de modo contrario a la ley, así como oponerse a su utilización, siempre por motivos legítimos. Para ejercer los derechos contemplados en el art. 7 del Código de Privacidad, el usuario puede dirigirse a: - por la Empresa Hospitalaria: Direzione Affari Legali (Dirección Asuntos Jurídicos) o Direzione Medica Ospedaliera (Dirección Médica Hospitalaria), pabellón Spallanzani, viale Umberto I 50 (cita previa en el tel /6234).

4 Relación entre el derecho de acceso y el derecho a la privacidad Como prevé expresamente la ley, que en cuestión de datos personales hace salvedad expresa de lo dispuesto en la normativa vigente sobre el acceso a documentos administrativos, la Empresa Hospitalaria valorará caso por caso la posibilidad de acceder a los documentos por parte de terceros, también con sujeción al propio reglamento de actuación de la Ley italiana 241/90 y verificando si existen las condiciones para el ejercicio del derecho de acceso. El acceso se admitirá en las modalidades contempladas legalmente y según lo dispuesto al respecto por el Garante para la privacidad de los datos personales. Los datos que permitan conocer el estado de salud se notificarán al interesado en lugares y con formas que permitan garantizar la debida privacidad, la comprensión completa de las comunicaciones y siempre en unas condiciones globales de respeto a su capacidad de decidir autónomamente, con libertad y dignidad. Estos datos solo pueden ser comunicados por personal autorizado. La documentación sanitaria puede ser retirada también por persona distinta del interesado directo, siempre sobre la base de una delegación por escrito y mediante entrega de los documentos en sobre cerrado. Se prevé, como excepción, que un paciente pueda solicitar que su presencia en el hospital no sea divulgada. Por tanto, a falta de la voluntad contraria expresa del interesado que pueda acogerse en un procedimiento interno adecuado, el hospital garantiza la información sobre la presencia de los pacientes y su localización dentro de las unidades hospitalarias. La Empresa, además, cuando las decisiones, actos u otros documentos significativos de relevancia interna o externa puedan contener datos sensibles, selecciona (de acuerdo con los principios de pertinencia y no excedencia) los datos personales cuya inclusión es realmente necesaria para las finalidades propias de cada procedimiento y para su validez. Seguridad de los archivos de documentos de papel El acceso a los archivos físicos de depósito de la empresa es controlado, y los sujetos que puedan acceder a los mismos tras los horarios de cierre son identificados y registrados. En relación con los archivos administrativos corrientes, la responsabilidad de la conservación, la seguridad de los mismos y su accesibilidad se confía al Responsable del Centro, que, como Responsable del tratamiento, define el grado y los medios de protección de los datos que entran en los procesos de trabajo correspondientes. Para historias clínicas y documentación equivalente que se encuentre temporalmente en las unidades operativas, dichas responsabilidades corresponden al Responsable del centro, ya designado Responsable del tratamiento. En caso de documentación archivada o que se posea en cualquier concepto, incluso

5 temporalmente, por empresa contratada, el representante legal de la misma es Responsable de la conservación y de la seguridad de dicha documentación, y en el contrato de atribución del servicio deberá preverse una cláusula expresa de garantía y la posibilidad de que la Empresa pueda acceder a los locales para verificar también el respeto a la legislación de privacidad y al presente reglamento. Dosier Sanitario Para asegurar un nivel de asistencia y cuidados cada vez más eficaz y seguro, las Empresas sanitarias públicas de la provincia de Reggio Emilia (Empresa USL y Empresa Hospitalaria) han preparado una nueva y útil herramienta, denominada Dosier Sanitario. Se trata de un instrumento informático que contiene y organiza los datos sanitarios de las prestaciones recibidas en las dos Empresas Sanitarias; dichos datos pueden ser consultados únicamente por profesionales de dichas Empresas con finalidades de prevención, diagnóstico, cura o rehabilitación, y solo durante el tiempo necesario para el desarrollo de dichas actividades asistenciales. Con este instrumento, por tanto, los profesionales que se encarguen del cuidado de un usuario tienen inmediatamente a su disposición un cuadro lo más posible completo de la información sanitaria que le concierne, y pueden valorar la situación clínica del modo más eficaz, inmediato y, por tanto, con mayor calidad. Existe una normativa específica que regule el tratamiento de los datos mediante el Dosier Sanitario? Además de lo previsto en el Código en materia de protección de los datos personales (D. Lgvo. italiano 196/2003), el Garante para la protección de los datos personales ha dictado, desde el año 2009, unas directrices específicas, recientemente actualizadas a través de la adopción de las «Directrices en materia de Dosier Sanitario» (Medida del Garante italiano n.º 331 de 4 de julio de 2015). Qué datos forman parte del Dosier Sanitario? El Dosier Sanitario contiene los datos personales y sanitarios presentes en el archivo informático de las Empresas sanitarias provinciales (archivo ya denominado DataWareHouse Clínico interempresarial - DWH - y obligado a información pública desde su creación o desde el año 2004) y se alimenta durante el tiempo con datos relativos a las nuevas prestaciones proporcionadas. El Dosier contiene, por ejemplo, las historias clínicas de ingresos, las actas de primeros auxilios, los documentos de alta, los resultados de los análisis de laboratorio y radiología, los informes de visitas de especialistas ambulatorias. Otros datos sanitarios especialmente delicados (datos relativos a actos de violencia sexual o pedofilia, virus VIH, uso de sustancias estupefacientes, psicotrópicas o alcohol, interrupción voluntaria del embarazo o partos anónimos) no se incorporan al Dosier Sanitario, o bien se incluyen con medidas tecnológicas específicas que permitan el acceso (siempre motivado por un

6 estado real de necesidad) únicamente al personal sanitario autorizado. En todo caso, el usuario siempre tiene la posibilidad de solicitar que sus datos se gestionen de forma anónima. Quién puede tener acceso al Dosier Sanitario? Pueden acceder al Dosier Sanitario solamente operadores sanitarios que desempeñen su actividad en las dos Empresas sanitarias provinciales (AUSL y Empresa Hospitalaria Santa Maria Nuova - IRCCS de Reggio Emilia) y que estén directamente implicados en el desarrollo de la atención al usuario cuyos datos se refieren; la consulta del Dosier Sanitario es por tanto posible para los operadores habilitados en base a su perfil profesional y por el tiempo indispensable para realizar las operaciones de atención correspondientes (incluso en caso de profesionales autónomos dentro de las dependencias, actividad llamada intramoenia). Información sobre el Dosier Sanitario La información sobre el Dosier Sanitario, integrada en la nota informativa dirigida a adquirir el consentimiento «básico» para el tratamiento de los datos, está disponible en el sitio de Internet y en la red intranet de la empresa (y por tanto, siempre está disponible para los operadores), además de exponerse mediante carteles al efecto en los lugares de mayor tráfico de usuarios. Consentimiento al Dosier Sanitario: prestación y revocación La constitución del Dosier Sanitario se realiza previa prestación del consentimiento específico. El usuario tiene derecho a decidir libremente si se crea su Dosier Sanitario; en caso de prestar su consentimiento, el usuario podrá decidir que no se incluya en el Dosier Sanitario información relativa a eventos sanitarios previos a la creación del dosier. El consentimiento se anota en el sistema informático de gestión de la empresa y, como en el caso del consentimiento «básico», es válido hasta nueva manifestación contraria o la eventual revocación del mismo. La ley establece que el Dosier Sanitario también pueda consultarse, incluso sin consentimiento, cuando sea indispensable para la protección de la salud de un tercero o de la colectividad. En caso de que el usuario no desee prestar su consentimiento al Dosier, accederá igualmente a los servicios prestados por el Servicio Sanitario provincial. Sin embargo, tenemos obligación de informar de que, en dicho caso, se podría incurrir en riesgos para la propia salud, ya que los operadores sanitarios, al no poder acceder a los antecedentes sanitarios del paciente, podrían no poder conocer toda la información necesaria para formular la mejor estrategia diagnóstica o terapéutica. El usuario tiene igualmente la facultad de revocar su consentimiento en cualquier momento: en caso de revocar su consentimiento, el Dosier Sanitario ya no se actualizará y los documentos contenidos en el mismo ya no podrán consultarse. Quién emite el consentimiento en caso de usuario con incapacidad de actuar?

7 En caso de incapacidad de actuar del interesado, debe obtenerse el consentimiento de quien ostente la potestad legal. En caso de menores, una vez alcanzada la mayor edad, los posibles consentimientos adquiridos se revocan automáticamente, para volver a adquirirse en el primer contacto con alguno de los Centros de ambas Empresas Sanitarias. Pueden utilizarse los datos contenidos en el Dosier Sanitario con fines de investigación? Los datos recogidos mediante el Dosier Sanitario pueden tratarse, al igual que cualquier otra información clínica, también con fines de investigación, con respeto a todo lo previsto en el Código de materia de protección de datos personales (D. Lgvo. italiano 196/2003) para dichos tipos de tratamiento, o, de modo general, previa adquisición del consentimiento informado del paciente (art. 110 del Código). Qué obligaciones se prevén en caso de violación de los datos personales mediante el Dosier Sanitario? Si se verifican violaciones de los datos (brecha de seguridad) o incidentes informáticos (acceso abusivo, software malintencionado...) que puedan exponer de cualquier modo los datos al riesgo de violación, existe la obligación de comunicarlo al Garante en el plazo de 48 horas desde que se entre en conocimiento de los hechos. Tiene derecho el interesado a visualizar los accesos a su Dosier Sanitario? La Autoridad Garante reconoce al interesado el derecho a visualizar los accesos a su Dosier Sanitario, tras solicitud formal al Titular del tratamiento o a quien este nombre como delegado. La Empresa Hospitalaria, dentro de los 15 días siguientes a la recepción de dicha solicitud, como prevén las «Directrices en materia de Dosier Sanitario», comunicará el listado de centros/departamentos que hayan accedido, así como la fecha y hora del acceso. Para ejercer dicho derecho, el usuario puede dirigirse a la Empresa sanitaria prestadora/titular del tratamiento de los datos: por la Empresa Hospitalaria: Direzione Affari Legali (Dirección Asuntos Jurídicos) o Direzione Medica Ospedaliera (Dirección Médica Hospitalaria), pabellón Spallanzani, viale Umberto I 50 (cita previa en el tel /6234). Derecho de ocultación Una vez prestado el consentimiento para la creación del Dosier Sanitario, el usuario tiene la posibilidad de que no sean visibles en el mismo los datos relativos a cada episodio de atención individual (p. ej., un servicio de primeros auxilios, un ingreso, una visita de especialista). Dicha posibilidad, prevista como tutela adicional de la privacidad, se denomina «derecho de ocultación». Para ejercer el derecho de ocultación, el usuario puede dirigirse, sin mayores formalidades, a la Empresa sanitaria prestadora/titular del tratamiento de los datos:

8 - por la Empresa Hospitalaria: Direzione Affari Legali (Dirección Asuntos Jurídicos) o Direzione Medica Ospedaliera (Dirección Médica Hospitalaria), pabellón Spallanzani, viale Umberto I 50 (cita previa en el tel /6234). La ocultación del evento clínico se realiza por medios técnicos que garantizan que los sujetos autorizados para la consulta del Dosier Sanitario no puedan visualizar el evento ocultado ni conocer el hecho de que el interesado ha tomado dicha decisión. Siempre es posible volver a hacer visibles los datos ocultados, remitiendo una solicitud a los centros mencionados anteriormente.