Privacy Policies

Gentile Utente, nel corso della consultazione e dell’utilizzo del sito internet https://www.palazzodellasalute.grupposandonato.it (di seguito, “Sito”) verranno raccolti e trattati alcuni Suoi dati personali (così come definiti dall’ art. 4, par. 1 del Regolamento UE 2016/679 (di seguito, il “GDPR”).

Lo scopo della presente informativa (di seguito, la “Informativa”) è quello di offrire una panoramica esaustiva sulle finalità, modalità di raccolta e utilizzo dei dati personali nonché sui tempi di conservazione dei dati di ciascun interessato (di seguito, “Interessato” o, al plurale “Interessati”).

La presente Informativa viene fornita ai sensi dell’art. 13 del GDPR e nel rispetto delle leggi europee e italiane che lo integrano (“Normativa Privacy”).

Ciascun Interessato è invitato a prendere visione della presente Informativa, così da comprendere al meglio le modalità di trattamento dei propri dati personali inclusi i propri diritti ai sensi della Normativa Privacy.

Titolari del trattamento

Il titolare del trattamento dei Suoi dati personali è L’Ospedale Galeazzi S.p.A., con sede legale in via Cristina Belgioioso 173 – 20157 Milano, e-mail info.ogsa@grupposandonato.it,(“Titolare”).

L’Ospedale Galeazzi S.p.A. ha nominato, inoltre, un responsabile per la protezione dei dati (“Data Protection Officer” o “DPO”), come previsto dal GDPR, con compiti di sorveglianza, vigilanza e consulenza specialistica in ambito privacy contattabile per eventuale supporto al seguente indirizzo di posta elettronica: rpd.iog@grupposandonato.it

Categorie di Interessati

Il Titolare tratta i dati personali degli utenti del Sito.

Categorie dei dati trattati

Attraverso il Sito vengono raccolte e trattate diverse categorie di dati personali (di seguito, “Dati Personali”):

  1. Dati di navigazione, trattati al fine di garantire il corretto funzionamento del Sito o per ottenere informazioni sulle sue preferenze e abitudini di utilizzo del Sito. Tali dati potrebbero essere trattati anche attraverso cookies. A tal riguardo La invitiamo a leggere la specifica Cookie Policy presente sul Sito; https://www.palazzodellasalute.grupposandonato.it/cookie-policies
  2. Dati comuni, quali, a titolo esemplificativo e non esaustivo, informazioni personali (per esempio, nome, cognome, data di nascita, indirizzo, sesso, stato civile, codice fiscale, ecc.), informazioni di contatto (per esempio, il numero di telefono fisso e/o mobile, indirizzo e-mail, ecc.);
  3. Categorie particolari di Dati Personali, così come definiti dall’art. 9 del GDPR, nella misura in cui siano forniti dall’Interessato per ricevere prestazioni e/o servizi dal Titolare o da terzi, per il tramite del Titolare;
  4. Nel caso specifico in cui Dati Personali di terzi siano forniti volontariamente dagli Interessati, questi ultimi si qualificheranno come autonomi titolari del trattamento, assumendosi tutti gli obblighi e le responsabilità previsti dalla legge applicabile.

Finalità e base giuridica dei trattamenti

I Dati Personali saranno trattati dal Titolare, nell’ambito della propria attività, per le finalità di seguito indicate:

  1. Consentire l’erogazione dei servizi offerti dal Titolare anche nell’area riservata del Sito, tra i quali, a titolo esemplificativo e non esaustivo, il funzionamento del meccanismo di prenotazione e pagamento di visite ed esami online ai sensi dell’art. 6, par. 1, lett. b) e art. 9, par. 2, lett. a), ove non sia applicabile l’art. 9, par. 2, lett. h), che prevede che il trattamento possa essere effettuato senza raccogliere il consenso degli Interessati se necessario per finalità di diagnosi, assistenza o terapia sanitaria o sociale, conformemente al contratto con un professionista della sanità;
  2. Sulla base del legittimo interesse del Titolare e se del caso previo specifico espresso consenso, raccolto in conformità con la Normativa Privacy, al fine di promuove e sponsorizzare i servizi sanitari erogati dal Titolare stesso;
  3. Per qualsiasi attività difensiva che si renda necessaria per far valere un diritto del Titolare in sede giudiziaria o in una fase propedeutica al giudizio, ai sensi degli artt. 6, par.1, lett. f) el 9, par. 2, lett. f), del GDPR;
  4. Sulla base del legittimo interesse del Titolare, ai sensi dell’art. 6, par.1, lett. f) del GDPR, per garantire la sicurezza del Sito e/o nel contesto di operazioni societarie straordinarie (es. fusioni, acquisizioni) di cui è parte il Titolare.

Ulteriori informazioni sui trattamenti di Dati Personali potranno essere fornite in apposite sezioni del Sito.

Modalità del trattamento e conservazione dei dati

In relazione alle finalità indicate nel paragrafo 4 che precede, il trattamento dei Dati Personali viene effettuato dal Titolare in conformità alla Normativa Privacy, in particolare:

  1. È effettuato con mezzi manuali e anche con l’ausilio di mezzi elettronici o comunque automatizzati, in ogni caso, idonei a garantirne la sicurezza e la riservatezza, nonché a evitare accessi non autorizzati ai Dati Personali da parte di terzi;
  2. È svolto direttamente dall’organizzazione del Titolare e/o da responsabili del trattamento individuati dal Titolare, sulla base di un contratto sottoscritto ai sensi dell’art. 28 del GDPR.

I Dati Personali saranno conservati solo per il tempo necessario ai fini per cui sono raccolti, rispettando il principio di minimizzazione di cui all’art. 5, par. 1, lett. c) del GDPR nonché gli obblighi di legge cui è tenuto il Titolare, fatto salvo, in ogni caso, il diritto di revoca del consenso, in ogni momento, da parte dell’Interessato.

In via generale, il Titolare fa riferimento ai tempi stabiliti nel Massimario di scarto “Versione 04” del “Titolario e Massimario del Sistema Sociosanitario Lombardo, già Sistema Sanitario e Sociosanitario di Regione Lombardia”, Allegato 1, parte integrante del presente atto, che sostituisce integralmente il precedente, approvato con Decreto del D.G. Welfare n. 11466 del 17.12.2015 e ss.mm.ii., adottato dalla Regione Lombardia che si applica a tutto il Sistema Sociosanitario Lombardo e che si intende nella presente informativa integralmente richiamato.

Maggiori informazioni sono disponibili presso il Titolare.

Comunicazione dei dati

Nel perseguimento delle finalità di cui al paragrafo 4, i Dati Personali potrebbero essere comunicati e/o comunque condivisi con soggetti terzi, e con pubbliche amministrazioni ai sensi di legge.

Alcuni dei soggetti indicati al paragrafo che precede tratteranno i Dati Personali in qualità di responsabili del trattamento del Titolare, in forza di una nomina a responsabile esterno conferita dal Titolare stesso ai sensi e per gli effetti di cui all’art. 28 del GDPR. L’elenco nominativo dei responsabili del trattamento, ai sensi dell’art. 28 del GDPR, è a disposizione degli Interessati.

I Dati Personali potrebbero essere comunicati a società controllate e collegate del Titolare, ai sensi dell’art. 6, par. 1, lett. f) e dei Considerando 47 e 48 del GDPR, per finalità amministrative e contabili, intendendosi per tali quelle connesse all’attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati, fra le quali le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali e alla gestione del rapporto di lavoro in tutte le sue fasi.

Tali soggetti agiranno, di regola, quali autonomi Titolari delle rispettive operazioni di trattamento, salvo il caso in cui agiscano per conto del Titolare in qualità di Responsabili del trattamento e abbiano pertanto sottoscritto un apposito contratto che disciplini puntualmente i trattamenti loro affidati, ai sensi dell’art. 28 del GDPR.

Altri soggetti (quali, ad esempio, le autorità legittimate dalla legge, organismi sanitari di controllo o altri organi di vigilanza e controllo, organi della pubblica amministrazione) potrebbero trattare i Dati Personali, ricevuti dal Titolare, in qualità di autonomi titolari. Le persone fisiche, dipendenti e collaboratori del Titolare, di responsabili o di terzi, autorizzate a trattare i Dati Personali forniti dagli Interessati, agiscono sotto le istruzioni del Titolare, dei responsabili o dei terzi, e dietro vincolo di riservatezza.

Trasferimento dei dati fuori dall’Unione Europea

I Dati Personali non sono soggetti a diffusione ovvero a trasferimento verso Paesi terzi rispetto all’Unione europea od organizzazioni internazionali. Qualora tale trasferimento dovesse rendersi necessario e/o inevitabile per esigenze organizzative del Titolare, si rende noto che esso avverrà esclusivamente verso Paesi considerati sicuri dalla Commissione Europea o, in ogni caso, secondo una delle modalità consentite dalla legge vigente e in particolare nel rispetto delle adeguate garanzie di cui all’art. 46 del Regolamento, ad esempio tramite la sottoscrizione delle Clausole Standard approvate dalla Commissione ovvero sulla base di una delle deroghe previste dall’art. 49, quali ad esempio il consenso degli Interessati.

Diritti degli Interessati

Ai sensi degli art. dal 15 al 22 del GDPR, l’Interessato ha il diritto di ottenere, a cura del Titolare, la conferma che sia o meno in corso un trattamento di Dati Personali che la riguardano e in tal caso, di ottenere l’accesso ai suoi dati.

Inoltre l’Interessato ha diritto a:

  1. Conoscere le finalità del trattamento;
  2. Conoscere le categorie dei dati in questione;
  3. Conoscere i destinatari o le categorie di destinatari cui i dati sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
  4. Conoscere, quando possibile, il periodo di conservazione dei dati previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  5. Chiedere al titolare del trattamento la rettifica o la cancellazione dei dati o la limitazione del trattamento dei dati che la riguardano;
  6. Opporsi al trattamento dei dati, fatto salvo il diritto del titolare di valutare la Sua istanza, che potrebbe non essere accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui Suoi interessi, diritti e libertà;
  7. Proporre reclamo ad un’autorità di controllo;
  8. Qualora i dati non siano raccolti presso l’Interessato, ricevere tutte le informazioni disponibili sulla loro origine;
  9. Revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca;
  10. Essere messo a conoscenza dell’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’art. 22, par. 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’Interessato;
  11. Nei casi e con i limiti previsti dal GDPR e dalla Normativa Privacy Applicabile, ottenere la portabilità dei dati, ossia riceverli dal Titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad un altro titolare del trattamento senza impedimenti.

Le richieste vanno rivolte per iscritto al Titolare ovvero al DPO ai recapiti sopraindicati.

Qualsiasi modifica o cancellazione o limitazione al trattamento effettuata su richiesta dell’Interessato, ovvero a seguito di revoca del consenso – a meno che ciò non sia impossibile o comporti uno sforzo sproporzionato – sarà comunicata dal Titolare del trattamento a ciascuno dei destinatari cui sono stati comunicati i Dati Personali.

Ultimo aggiornamento dicembre 2022.