INFORMATIVA PRIVACY – FASCICOLO SANITARIO PERSONALE
ai sensi degli articoli 13 e 14 del Regolamento UE 2016/679 (“GDPR”)
- Premessa
Il Fascicolo Sanitario Personale (di seguito anche “FSP”) è un insieme di dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici, che riguardano Lei, riferiti a prestazioni erogate da strutture sanitarie pubbliche e private, da Lei volontariamente conferiti nel FSP stesso.
Lei può anche rilasciare delega a terzi (di seguito, “terzi delegati”) per le citate operazioni di gestione nel FSP di dati e documenti a Lei riferiti.
I citati dati e documenti sanitari possono eventualmente riguardare terzi, previa loro specifica e formale autorizzazione (di seguito, “terzi deleganti”). L’ambito della delega riguarda sia il caricamento nel FSP di dati e documenti riferiti ai terzi deleganti sia l’esercizio dei diritti loro spettanti su tali dati e documenti e può anche prevedere la delega alla fornitura del consenso alla consultazione degli stessi da parte di specifici terzi.
Nel caso in cui Lei e i terzi deleganti acconsentano all’accesso al FSP da parte di professionisti sanitari a cui Lei o il terzo delegante si rivolge (medico di famiglia, specialista, ecc.), il professionista sanitario può consultare il quadro clinico completo, migliorando così la qualità della cura.
- L’alimentazione del FSP
Il Suo FSP è da Lei direttamente alimentato, su base volontaria, con i dati degli eventi clinici relativi all’assistenza sanitaria ricevuta da Lei o dal terzo delegante.
2.1 I dati e i documenti del FSP
Nel FSP sono trattati dati e documenti sanitari relativi ad eventi sanitari che riguardano Lei e, eventualmente, i terzi deleganti (a titolo meramente esemplificativo, referti di diagnostica strumentale e specialistica, verbali di pronto soccorso, prescrizioni ed erogazioni specialistiche e farmaceutiche, cartelle cliniche, vaccinazioni, dati delle tessere per i portatori di impianto, lettere di invito per screening, fatture per prestazioni sanitarie). I dati e documenti del FSP sono corredati da informazioni aggiuntive che caratterizzano il documento, come i dati anagrafici dell’assistito cui il documento si riferisce, il tipo di documento, il tipo di struttura che ha prodotto il documento, ecc. Nel linguaggio tecnico-informatico, tali informazioni, necessarie per la gestione e l’utilizzo del documento, sono chiamate “metadati”.
2.2 Dati e documenti soggetti a maggiore tutela dell’anonimato
I seguenti dati e documenti ricevono dalla legge una maggiore tutela di anonimato: quelli relativi ad atti di violenza sessuale o di pedofilia, all’infezione da HIV o all’uso di sostanze stupefacenti, di sostanze psicotrope e di alcool, alle prestazioni erogate alle donne che si sottopongono a interventi di interruzione volontaria della gravidanza o che decidono di partorire in anonimato e ai servizi offerti dai consultori familiari. Non è consentito il caricamento di questi dati e documenti riferiti a terzi deleganti. Nell’eventualità che questi dati e documenti siano a Lei riferiti ed eventualmente da Lei caricati nel FSP, essi saranno presenti in modalità oscurata per impostazione predefinita e sono visibili solo a Lei.
Anche qualora Lei abbia fornito delega alla consultazione del FSP a un terzo delegato, tali dati e documenti sono visibili solo a Lei. Tuttavia, per i dati e documenti che La riguardano, Lei può revocare in ogni momento l’oscuramento, rendendoli visibili nel FSP ai terzi delegati (per maggiori informazioni si veda il paragrafo 7 “Oscuramento di dati e documenti”).
2.3 Utilizzo di strumenti di Intelligenza artificiale
Nel FSP potranno essere visualizzati dati elaborati con sistemi di Intelligenza artificiale (di seguito “IA”), utilizzati con riferimento alle funzionalità di: OCR (Optical Character Recognition), lettura dei dati presenti nei documenti resi disponibili sul FSP, estrazione dei dati per una rappresentazione oggettiva dei valori, anche in forma grafica (non è in ogni caso prevista la generazione di risposte a domande poste dall’utente).
- TITOLARITà DEI TRATTAMENTI DI DATI PERSONALI
Titolare dei trattamenti oggetto di questa informativa è MEDICX Società Benefit S.r.l., con sede legale in via dei Valtorta, 47 – 20217 Milano (MI).
- BASI GIURIDICHE E Consensi RIGUARDO AL FSP
4.1 Base giuridica
Il FSP si alimenta con i dati e i documenti relativi alle prestazioni erogate a Lei ed – eventualmente – a terzi deleganti, da Lei volontariamente caricati nel FSP, ovvero dietro specifica autorizzazione da parte dei terzi deleganti. il FSP è da Lei consultabile.
Affinché il FSP sia consultabile da terzi delegati – come dal personale sanitario per le finalità di cura – è necessario che Lei esprima uno specifico consenso, eventualmente, anche per conto del terzo delegante.
4.2 Relazione tra finalità, base giuridica e facoltatività del rilascio dei dati personali.
I consensi, liberi, specifici, informati ed espliciti sono richiesti anche in relazione ai dati sulla salute e ai documenti caricabili sul FSP, per permettere in maniera disgiunta le finalità indicate nella tabella, in cui a ciascuna finalità d’uso viene riportato il riferimento normativo, la necessità o meno del conferimento dei dati per la fruizione del FSP, la conseguenza dell’eventuale diniego e la connessa durata di conservazione dei dati:
|
Finalità |
Base giuridica |
Rif. normativo |
Necessità del conferimento dei dati |
Conseguenza del diniego |
Durata conservazione |
|
Creazione/attivazione e gestione dell’account utente |
Consenso esplicito |
Artt. 6.1.a), 9.2.a), GDPR |
Necessario |
Non potranno essere erogati i servizi FSP |
Fino alla cancellazione dell’account |
|
Conservazione dei referti online sul FSP per un periodo superiore a 45 giorni |
Consenso esplicito |
Artt. 6.1.a), 9.2.a), GDPR |
Necessario |
Non potranno essere erogati i servizi FSP |
Fino a cancellazione dei dati da parte Sua |
|
Caricamento e consultazione sul FSP, anche in forma grafica, da parte Sua |
Consenso esplicito |
Artt. 6.1.a), 9.2.a) e 22.2.c), GDPR |
Necessario |
Non potranno essere erogati i servizi FSP |
Fino a cancellazione dei dati da parte Sua |
|
Tracciamento degli accessi e delle operazioni sul FSP |
Consenso esplicito |
Artt. 6.1.a), 9.2.a) e 22.2.c), GDPR |
Necessario |
Non potranno essere erogati i servizi FSP |
Fino a cancellazione dei dati da parte Sua |
|
Consultazione sul FSP, anche in forma grafica, per finalità di diagnosi, cura e riabilitazione, da parte di professionisti sanitari da Lei indicati |
Consenso esplicito |
Artt. 6.1.a) e 9.2.a) e 22.2.c), GDPR |
Facoltativo |
Non sarà permesso l’accesso ai contenuti del FSP |
Fino a revoca del consenso o oscuramento dei dati (per accesso), cancellazione dei dati da parte Sua |
|
Caricamento e consultazione sul FSP, mediante delega, da parte di terzi da Lei delegati |
Consenso esplicito |
Artt. 6.1.a) e 9.2.a) e 22.2.c), GDPR |
Facoltativo |
Terzi delegati non potranno accedere al FSP per caricare e consultare dati sanitari a Lei riferiti |
Fino a revoca della delega o oscuramento dei dati (per l’accesso), cancellazione dei dati da parte Sua |
|
Caricamento e consultazione sul FSP riguardo a terzi deleganti, da parte Sua, mediante delega |
Consenso esplicito del delegante |
Artt. 6.1.a) e 9.2.a) e 22.2.c), GDPR |
Facoltativo |
Lei non potrà accedere al FSP per caricare e consultare dati sanitari di terzi deleganti |
Fino a revoca della delega o oscuramento dei dati (per l’accesso), cancellazione dei dati da parte del delegante |
|
Trattamento per attività di marketing e comunicazioni di carattere informativo/ promozionale all’utente mediante canali di comunicazione automatizzati (es. email, chatbot, voicebot, sms), e tradizionali (es. telefono con operatore) |
Consenso esplicito |
Artt. 6.1.a), 9.2.a), GDPR |
Facoltativo |
Non sarà effettuata attività di promozione e comunicazione commerciale |
Fino a revoca del consenso e, in ogni caso, non oltre il periodo di 24 mesi dall’acquisizione del consenso per finalità commerciali |
|
Profilazione commerciale per erogare un servizio personalizzato, fornire proposte e indicazioni, nonché comunicazioni di carattere informativo/promozionale coerenti con la Sua situazione sanitaria |
Consenso esplicito |
Artt. 6.1.a), 9.2.a) e 22.2.c), GDPR |
Facoltativo |
Non sarà effettuata la profilazione commerciale |
Fino alla revoca del consenso e, in ogni caso, non oltre il periodi di 12 mesi dall’acquisizione del consenso per finalità di profilazione |
In caso di mancato consenso per l’accesso da parte di terzi delegati, i dati e i documenti contenuti nel FSP sono caricabili da Lei e visibili soltanto a Lei e non saranno acceduti per altre finalità.
Lei può esprimere e revocare i consensi in modo disgiunto alle indicate finalità, indirizzando la richiesta ai dati di contatto riportati al paragrafo 9.
La revoca di ciascun consenso impedisce la consultazione dei dati e documenti del FSP, per le finalità e nei confronti dei soggetti di cui al pertinente consenso, senza pregiudicare la consultazione e visibilità di dati e documenti da parte Sua.
Lei può, successivamente, esprimere nuovi consensi alla consultazione dei dati e dei documenti del FSP, rendendo nuovamente disponibili alla consultazione tutti i dati e documenti del FSP, per le specifiche finalità per le quali sono stati espressi tali consensi.
4.2.1 Espressione dei consensi dei minori e dei soggetti sottoposti a tutela
Nel caso di un minorenne i consensi sono espressi da chi esercita la responsabilità genitoriale, previa identificazione dello/degli stesso/i.
Al raggiungimento della maggiore età, i consensi devono essere confermati da un’espressa manifestazione di volontà del neomaggiorenne, dopo aver preso visione dell’Informativa, anche per via telematica.
Per i soggetti sottoposti alle forme di tutela previste dal Codice civile nei casi di incapacità totale o parziale a provvedere ai propri interessi, i consensi sono espressi dal tutore, dal curatore o dall’amministratore di sostegno, ove ciò rientri tra i poteri loro conferiti in base ai provvedimenti emessi dall’Autorità Giudiziaria.
5. Accesso, CARICAMENTO e consultazione da parte dell’utente
5.1 Caricamento e consultazione
Lei può caricare dati e documenti sanitari che la riguardano nel Suo FSP, nonché consultarlo, in forma protetta e riservata mediante l’accesso ai servizi in rete, previa identificazione e autenticazione informatica.
Lei potrà anche modificare, oscurare e cancellare dati e documenti del Suo FSP.
Se l’assistito è minorenne, il FSP può essere consultato da coloro che esercitano la responsabilità genitoriale attraverso le loro credenziali. Al compimento della maggiore età dell’assistito, in automatico il sistema disabiliterà l’accesso dell’esercente la responsabilità genitoriale ai dati del minore e lo stesso potrà accedere con le proprie credenziali.
Se l’assistito è sottoposto alle forme di tutela previste dal Codice civile nei casi di incapacità totale o parziale a provvedere ai propri interessi, il FSP può essere consultato dal tutore, dal curatore o dall’amministratore di sostegno ove ciò rientri tra i poteri loro conferiti in base ai provvedimenti emessi dall’Autorità Giudiziaria e per il periodo di validità previsto.
In particolare, l’attivazione del FSP – dopo l’identificazione del richiedente attraverso l’Area Riservata del sito web di Centralino Sanitario (https://centralino.it) – avviene mediante Multi Factor Authentication (MFA), ossia con autenticazione con credenziali individuali e riservate, seguite da un codice unico trasmesso di volta in volta, utilizzabile una sola volta e noto al solo utente registrato.
5.2 Servizi per l’Utente
Il FSP Le consente di accedere alla documentazione sanitaria da Lei volontariamente inserita nel FSP.
I servizi a cui può accedere Le consentono di:
- inserire, oscurare, modificare, consultare e cancellare dati e documenti nel FSP;
- visualizzare l’elenco dei Suoi documenti presenti nel FSP;
- caricare, oscurare, modificare, consultare e cancellare dati e documenti di un terzo delegante;
- permettere ad un soggetto che Lei ha delegato di caricare, modificare e consultare (qualora non siano oscurati) dati e documenti sanitari a Lei riferiti;
- visualizzare i dati amministrativi Suoi, del terzo delegante o di un soggetto che ha delegato;
- consultare le informazioni relative agli accessi e alle operazioni effettuate sui documenti del suo FSP, definite al paragrafo 10 “Registrazione delle operazioni sul FSP” della presente Informativa;
- ricevere sui canali scelti, notifiche e avvisi riguardo a eventi e scadenze relativi al Suo FSP e ai Suoi dati clinici;
- gestire i consensi presenti nel FSP per sé, per un terzo delegante o per un soggetto a cui ha conferito delega;
- visualizzare i pagamenti effettuati in relazione alle Sue prestazioni.
6. Accesso, CARICAMENTO e consultazione in base a DELEGA
6.1 Titolari del trattamento
Qualora Lei acconsenta alla consultazione del FSP da parte di professionisti o strutture sanitarie, titolari del trattamento dei dati e documenti del FSP per finalità di cura sono i seguenti soggetti che La prendono in cura: le aziende sanitarie, gli esercenti le professioni sanitarie, anche convenzionati con il SSN, quando operano in autonomia.
6.2 Dati e i documenti trattati a fini di cura – accesso alle informazioni del FSP
I dati e i documenti trattati per finalità di cura sono tutti quelli del FSP, secondo le autorizzazioni di accesso da Lei attribuite a diverse tipologie di professionisti sanitari. Il trattamento dei dati sanitari contenuti nel FSP per finalità di cura rientra nell’esclusiva titolarità del professionista sanitario a cui Lei ha rilasciato autorizzazione all’accesso; MEDICX Società Benefit S.r.l., pertanto, non effettua alcuna attività e non assume alcuna responsabilità al riguardo.
Sono comunque sottratti al trattamento per finalità di cura i dati da Lei oscurati.
6.3 Trattamenti in base a delega ricevuta
Lei potrà ricevere delega scritta da parte di terzi deleganti al caricamento e alla consultazione di dati e documenti sanitari a loro riferiti nel FSP. In tal caso, non potranno essere caricati dati e documenti soggetti a maggiore tutela dell’anonimato, come indicato al paragrafo 2.2 sopra.
Questa informativa, per quanto applicabile, si riferisce anche ai terzi deleganti.
La delega dovrà includere il rilascio dei pertinenti consensi necessari per l’erogazione del servizio del FSP.
Il caricamento e la consultazione di dati e documenti sanitari riferiti a terzi deleganti saranno possibili sino a revoca della delega.
6.4 Trattamenti in base a delega concessa
Lei potrà delegare terzi al caricamento e alla consultazione di dati e documenti che La riguardano, nel FSP. Sono sottratti alla consultazione i dati oscurati.
La delega dovrà contenere i pertinenti consensi necessari per il caricamento e la consultazione da parte dei soggetti delegati, di dati e documenti che La riguardano nel FSP.
Il caricamento e la consultazione di dati e documenti sanitari da parte dei terzi delegati potranno essere effettuati sino a revoca della delega.
7. Oscuramento di dati e documenti
La possibilità di non rendere visibili sul FSP i dati relativi a una prestazione sanitaria si definisce “diritto all’oscuramento”. L’oscuramento avviene con modalità tali da garantire che nessun soggetto abilitato alla consultazione del FSP, anche per le finalità di cura, venga a conoscenza del fatto che sia stata effettuata tale scelta e che esistano dati oscurati (c.d. oscuramento dell’oscuramento). In ogni caso, i dati e i documenti oscurati rimangono visibili a Lei.
Il diritto di oscuramento può essere esercitato tramite un’apposita funzionalità online resa disponibile nel FSP ed è garantito l’immediato oscuramento del dato o documento.
L’oscuramento delle prescrizioni specialistiche e farmaceutiche determina l’oscuramento automatico dei documenti relativi all’erogazione delle stesse, nonché ai referti riferiti alle medesime prestazioni.
In ogni caso può comunque revocare l’oscuramento rendendo i dati e i documenti nuovamente visibili, con le medesime modalità previste per l’esercizio del diritto di oscuramento.
8. Altri diritti dell’interessato
Oltre ai diritti di delega e oscuramento, di cui rispettivamente ai precedenti paragrafi 6 e 7, Lei può esercitare in ogni momento i seguenti diritti:
- diritto di accesso (art. 15, GDPR), ossia ottenere dal titolare la conferma che sia o meno in corso un trattamento dei Suoi dati, nonché l’accesso ai dati stessi incluse le operazioni di tracciamento;
- diritto di rettifica e aggiornamento (art. 16, GDPR), ossia ottenere dal titolare la rettifica dei dati inesatti e/o l’integrazione di quelli incompleti, anche fornendo una dichiarazione integrativa;
- diritto di limitazione al trattamento (art. 18, GDPR), ossia ottenere dal titolare la limitazione del trattamento.
Lei ha altresì il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.gpdp.it).
9. Modalità di esercizio dei diritti
Lei potrà esercitare i Suoi diritti di cui al punto precedente nei confronti del titolare del trattamento, contattandolo al seguente indirizzo: privacy@medicx.it.
10. Registrazione delle operazioni sul FSP
Il titolare del FSP registra le seguenti tipologie di operazioni effettuate in relazione a ogni dato e documento del FSP:
- alimentazione del FSP;
- oscuramento dei dati e documenti soggetti a maggiore tutela dell’anonimato;
- oscuramento e revoca dello stesso dei dati e documenti del FSP;
- consultazione da parte di un suo delegato e/o da parte di altro soggetto.
Le informazioni registrate sono le seguenti:
- dato o documento oggetto di alimentazione del FSP;
- tipologia di operazione (alimentazione e cancellazione);
- data e ora dell’operazione.
11. Periodo di conservazione dei dati
Considerato che la gestione dei dati e documenti del Suo FSP è sotto il Suo diretto controllo, sarà Lei stesso a determinare il periodo di loro conservazione. Dati e documenti possono essere da Lei cancellati in autonomia. Si rinvia, per completezza, alla tabella del paragrafo 4 “Basi giuridiche e consensi riguardo al FSP”.
12. Il Responsabile della Protezione dei Dati personali (RPD)
Il Responsabile della Protezione dei Dati personali (o Data Protection Officer – DPO) è un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e vigilanza, consultive, formative e informative relativamente all’applicazione della normativa sulla protezione dei dati personali, e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.
Il DPO nominato dal Titolare è contattabile all’indirizzo e-mail: dpocoporate@covisian.com.
13. Soggetti autorizzati al trattamento e ambito di comunicazione dei dati
I Suoi dati personali sono trattati dal personale del titolare e del/i responsabile/i del trattamento previamente autorizzato/i ai trattamenti di dati personali effettuati, a cui sono impartite idonee istruzioni in ordine a misure, accorgimenti, modus operandi, tutti volti alla concreta tutela dei Suoi dati personali.
I Suoi dati personali non sono in alcun caso soggetti a diffusione.
14. Trasferimento dei dati personali verso paesi non appartenenti all’Unione Europea
In nessun caso i dati del Suo FSP sono trasferiti verso Paesi che non appartengono all’Unione Europea.
MEDICX Società Benefit S.r.l.
Ultimo aggiornamento: 22 maggio 2025.