INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
tramite la piattaforma "ELECTRONIC SMART HEALTH RECORD",
raggiungibile tramite il seguente link https://www.micurobene.it/
ai sensi dell’art. 13 Regolamento (UE) 2016/679 (GDPR)

[vers. 20240429].

Gentile Utente,
Electronic Smart Health S.r.l. con sede in Via Beata Elia di San Clemente, 200 - 70122 Bari (BA), C.F. e P.IVA n. 08514820722, in qualità di Titolare del trattamento dei dati personali (il "Titolare"), intende fornirLe, nella Sua qualità di soggetto interessato (l’ "Interessato") le specifiche informazioni sul trattamento dei suoi dati personali effettuato tramite la piattaforma "ELECTRONIC SMART HEALTH RECORD" disponibile sul sito web https://www.micurobene.it/ (di seguito la "Piattaforma" o la "ESH-R"), ai sensi dell’art. 13 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 ("GDPR") e della normativa europea e nazionale che lo integra e/o lo modifica, ivi compreso il Decreto Legislativo n. 196/2003, come modificato dal Decreto Legislativo n. 101/2018 (di seguito, "Codice Privacy") ("Normativa Privacy Applicabile"), oltre che da successive integrazioni e aggiornamenti delle normative in materia di protezione dei dati personali.


DATA PROTECTION OFFICER - RESPONSABILE PER LA PROTEZIONE DEI DATI
Il Titolare ha nominato un responsabile per la protezione dei dati ("Data Protection Officer" o "DPO"), come previsto dal GDPR, con compiti di sorveglianza, vigilanza e consulenza specialistica in ambito privacy contattabile per eventuale supporto al seguente indirizzo di posta elettronica: dpo@esh-srl.cloud o via posta ordinaria all’indirizzo Electronic Smart Health S.r.l. - Bari, Via Beata Elia di San Clemente 200, 70121, Bari (BA).

DATI PERSONALI OGGETTO DEL TRATTAMENTO
Il Titolare tratterà i Suoi dati personali comuni o quelli di propri famigliari, raccolti in occasione e nell’ambito della Sua richiesta di accedere ai servizi (utilizzo del registro elettronico del paziente denominato "Electronic Smart Health Record") erogati dal Titolare tramite la Piattaforma, tra cui rientrano, a titolo esemplificativo e non esaustivo, nome, cognome, numero di telefono mobile, indirizzo e-mail e, in generale, i Suoi dati di contatto (i "Dati Comuni"). Il Titolare tratterà anche i Suoi dati relativi a particolari categorie di cui all’art. 9 del GDPR, vale a dire dati idonei a rivelare, tra l’altro, l’origine razziale ed etnica, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi allo stato di salute e alla vita sessuale (i "Dati Particolari") (i Dati Comuni e i Dati Particolari, di seguito, congiuntamente, i "Dati Personali") volontariamente forniti in una o più delle fasi di registrazione, sottoscrizione dell’abbonamento e nell’utilizzo della Piattaforma (come ad esempio, caricando i referti degli esami clinici), o che sono inclusi nei pareri forniti dai Professionisti autorizzati dallo stesso utente ("Careprovider") che operano sulla Piattaforma.

DATI PERSONALI E MINORI
L’Uso dei Servizi è riservato agli Utenti persone fisiche che abbia almeno quattordici (14) anni di età, capaci di contrarre obblighi in conformità alla legge applicabile. Si precisa tuttavia che l'Utente minorenne potrà fruire dei Servizi disponibili tramite la Piattaforma solo nei limiti in cui ciò sia autorizzato dalla normativa applicabile, ovvero dovrà, ove applicabile, ottenere l'autorizzazione dei soggetti esercenti la potestà genitoriale. Quando è necessario utilizzare i Servizi per un minore di meno di quattordici (14) anni, solo un Utente adulto, titolare della potestà genitoriale, può gestire i suoi dati relativi alla salute. Laddove un minore sia associato ad un Account Utente, l'Utente che esercita la potestà genitoriale garantisce di avergli fornito le informazioni relative al trattamento dei suoi Dati Personali, in base al suo livello di maturità e, in particolare:

• informazioni sui trattamenti dei Dati Personali effettuati da ESH SRL e, ove applicabile, da parte degli Attori Sanitari;
• la possibilità per il minore di acconsentire espressamente al trattamento dei propri Dati Personali.

Dati personali raccolti tramite accesso rapido dai Social Media e altri account compatibili.

Gli Utenti possono condividere con il sito web dati precedentemente forniti in occasione della registrazione a piattaforme social (es. Facebook) o ad altri servizi (es. Google, Apple, ecc…). L’Utente ha facoltà di controllare i Dati Personali a cui il sito può accedere nel momento in cui consente l’accesso dai suoi account social media o di altri servizi tramite le impostazioni sulla privacy disponibili sulle relative piattaforme.

Associando account gestiti da social media con l’Applicazione e autorizzando il Titolare ad accedere a tali Dati, l’Utente presta consenso all’acquisizione, al trattamento e alla conservazione dei Dati forniti da detti social media in conformità alla presente Informativa Privacy.

FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO
I Suoi Dati Personali saranno trattati nell'ambito dei servizi erogati dal Titolare tramite la Piattaforma, per le finalità e nel rispetto delle condizioni di liceità di seguito indicate:

a. Attività di gestione dell’Account per l’accesso ai servizi in abbonamento:
b. Attività di gestione dell’Account per l’accesso al servizio in qualità di soggetto ‘Careprovider’, ossia il professionista o operatore in ambito sanitario o comunque delegato da parte dell’utente all’accesso e/o alla modifica del registro sanitario di cui è titolare sulla piattaforma:
c. Conservazione dati inseriti nel registro sanitario elettronico da parte dell’utente e del ‘care provider’ e fornitura dei servizi elettronici offerti tramite la piattaforma per la più completa gestione dei dati relativi alla salute:
d. Attività di ordine amministrativo relativamente al rapporto contrattuale con l’utente:
e. Attività di adempimento a obblighi previsti da leggi, regolamenti e dalla normativa comunitaria. [base giuridica art. 6 lett. c - il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento];

f. Per far valere o difendere un diritto in giudizio o in una fase propedeutica al giudizio. [base giuridica art. 6 lett. f - il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore];

g. Attività di comunicazione relative alla piattaforma e al servizio fornito, ivi incluse le comunicazioni relative ad upgrade, novità, modifiche ai servizi. [base giuridica art. 6 lett. f - il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore nonché base giuridica art. 6 lett. b - il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso];

h. Attività necessarie a processare il pagamento attraverso strumenti elettronici (es. paypal, circuito visa). [base giuridica art. 6 lett. b - il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso];

i. Gestione degli utenti e rilevazione del grado di soddisfazione degli utenti della Piattaforma. [base giuridica art. 6 lett. f - il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore];

j. Fornitura servizio di accesso di emergenza e trattamento dei dati sanitari da parte di terzi qualora l’utente si trovi in stato di impossibilità psico-fisica ad effettuare personalmente l’accesso alla Piattaforma ESH-R, previa precedente autorizzazione all’accesso forzoso o facilitato, in caso di situazioni di emergenza e pericolo per il suo stato di salute. [base giuridica art. 9 par.2 lett. a - l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali];

k. Prevenzione e lotta contro le frodi informatiche; indagini sulla sicurezza informatica:
l. Invio di comunicazioni commerciali, offerte promozionali, newsletter. [base giuridica art. 6 lett. a - l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali].

NATURA DEL CONFERIMENTO DEI DATI E CONSEGUENZE DELL'EVENTUALE RIFIUTO
Il conferimento dei dati richiesti per le finalità di archiviazione di informazioni sulla salute, cura della salute e quelle amministrative a queste strettamente correlate è indispensabile poiché intrinseco nella natura del servizio, dunque il mancato conferimento comporta l’impossibilità per l’interessato di accedere alle prestazioni erogate dal Titolare tramite la Piattaforma.

MODALITÀ DEL TRATTAMENTO
Il trattamento dei Dati Personali avverrà – secondo i principi correttezza, liceità e trasparenza – tramite supporti e/o strumenti informatici, manuali e/o telematici, con logiche strettamente correlate alle finalità del trattamento e, comunque, garantendo l’integrità, la riservatezza e la sicurezza dei dati stessi e il rispetto degli obblighi specifici sanciti dalla legge. La disponibilità, la gestione, l’accesso, la conservazione e la fruibilità dei dati è garantita dall’adozione di misure tecniche e organizzative per assicurare idonei livelli di sicurezza ai sensi degli artt. 25 e 32 del GDPR, nonché, in relazione alle specifiche finalità di trattamento individuate dalla normativa applicabile. Il trattamento è svolto ad opera di soggetti debitamente autorizzati e istruiti dal Titolare e in ottemperanza a quanto previsto dall’art. 29 GDPR.

CONSERVAZIONE DEI DATI PERSONALI
I Dati Personali saranno conservati solo per il tempo necessario ai fini per cui sono raccolti, rispettando il principio di minimizzazione di cui all’articolo 5, comma 1, lett. c) ed e) del GDPR, nonché in esecuzione degli obblighi di legge cui è tenuto il Titolare.
I documenti contenenti Dati Personali caricati dagli Interessati o dai Careprovider o altro soggetto previamente autorizzato dall’Interessato tramite la Piattaforma ESH-R (come ad esempio, i referti/immagini radiologiche, gli esami clinici etc.) saranno conservati dal Titolare per un periodo di mesi sei (6) dalla data di chiusura dell’account sulla Piattaforma. A tal fine si precisa che per procedere alla cancellazione dell’account è necessario effettuare il log in, cliccare sul tasto "Account" e selezionare dalla tendina la voce "Elimina account". Dopo tale, ulteriore, periodo verranno irreversibilmente cancellati, salva l’archiviazione di dati effettuata per motivi legati ad esigenze tecniche, sino alla durata sopra indicata.
Qualora l’Interessato decida di non avvalersi più della Piattaforma, avrà la facoltà di scaricare la documentazione da lui stesso caricata e copia della stessa verrà conservata dal Titolare e dal fornitore della Piattaforma solo per il periodo strettamente necessario a tutelare la propria posizione in relazione a possibili contestazioni secondo le leggi in materia. Si precisa, inoltre, che l'utente conserva sempre la facoltà di cancellare, in completa autonomia, qualsiasi dato particolare precedentemente caricato sulla piattaforma, anche se da Careprovider.
La revoca del consenso non pregiudica la liceità del trattamento dei dati effettuato dal Titolare prima della revoca.

AMBITO DI COMUNICAZIONE DEI DATI PERSONALI
I Suoi Dati Personali non saranno oggetto di diffusione, fatta salva l'ipotesi in cui la comunicazione o diffusione sia richiesta, in conformità alla legge, da soggetti pubblici per finalità di difesa o di sicurezza o di prevenzione, accertamento o repressione di reati.
Nello svolgimento della propria attività e per il perseguimento delle finalità il Titolare potrà comunicare i Suoi Dati Personali, anche riguardanti il Suo stato di salute, a fornitori di servizi strettamente correlati e funzionali all’attività del Titolare i quali agiscono tipicamente in qualità di responsabili del trattamento ex art. 28 del GDPR, tra cui i fornitori di servizi IT per la gestione dell’infrastruttura tecnologica, dei sistemi informatici e delle reti di telecomunicazione.
Tali soggetti agiranno quali autonomi Titolari delle rispettive operazioni di trattamento, salvo il caso in cui agiscano per conto del Titolare in qualità di Responsabili del trattamento e abbiano pertanto sottoscritto un apposito contratto che disciplini puntualmente i trattamenti loro affidati, ai sensi dell’art. 28 del GDPR. L’elenco completo ed aggiornato dei destinatari dei dati potrà essere richiesto al Titolare ovvero al DPO, ai recapiti sotto indicati.

DIRITTI DELL'INTERESSATO
Ai sensi degli articoli dal 15 al 22 del GDPR, Lei ha il diritto di:
• ottenere, da parte del Titolare, la conferma che sia o meno in corso un trattamento di dati personali che la riguardano e in tal caso, ottenere l’accesso ai suoi dati, nonché, qualora i dati non siano raccolti presso l’Interessato, ricevere tutte le informazioni disponibili sulla loro origine;
• conoscere le finalità del trattamento, le categorie dei dati in questione, i destinatari o le categorie di destinatari cui i dati sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali, il periodo di conservazione dei dati previsto o i criteri utilizzati per determinare tale periodo;
• chiedere al Titolare la rettifica, la cancellazione dei dati o la limitazione del trattamento dei dati che la riguardano;
• opporsi al trattamento dei dati, fatto salvo il diritto del Titolare di valutare la Sua istanza, che potrebbe non essere accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui Suoi interessi, diritti e libertà;
• revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca;
• essere messo a conoscenza dell’esistenza di un processo decisionale automatizzato, compresa la profilazione;
• ottenere la portabilità dei dati, nei casi previsti dalla legge;
• proporre reclamo ad un’autorità di controllo (Garante per la Protezione dei Dati Personali).

Le richieste vanno rivolte per iscritto al Titolare ovvero al DPO ai recapiti sopraindicati (dpo@esh-srl.cloud - Electronic Smart Health S.r.l. - Bari, Via Beata Elia di San Clemente 200, 70121, Bari, BA).

Download "INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI"