INFORMATIVA RELATIVA AL TRATTAMENTO DEI DATI PERSONALI DEGLI UTENTI AI SENSI DELL’ART. 13 DEL REGOLAMENTO (UE) 2016/679 (“GDPR”) – “PIATTAFORMA e APP”
CONTITOLARI DEL TRATTAMENTO
Le società italiane Titolari del trattamento, facenti parte del Gruppo Villa Maria S.p.A. (nel seguito, “GVM”), determinano congiuntamente alcune finalità e mezzi del trattamento, meglio specificati alla lettera A. (“Trattamenti condotti in regime di contitolarità”) di cui alla presente informativa e inerenti alla gestione e manutenzione della piattaforma (nel seguito, “Piattaforma”) e App mobile (nel seguito, “App”) “MyGVM”. Tali società, pertanto, operano in qualità di Contitolari del trattamento (nel seguito, “Contitolari”), ai sensi dell’art. 26 del Regolamento Generale sulla Protezione dei Dati UE n. 2016/679 (nel seguito, “GDPR”), in funzione della sottoscrizione di apposito accordo interno che disciplina i rispettivi obblighi e responsabilità.
I dati di contatto delle società Contitolari e Titolari autonomi del trattamento dei dati sono consultabili al seguente link: https://www.gvmnet.it/strutture.
Per le finalità indicate alla lettera B. (“Trattamenti condotti dalla struttura sanitaria prescelta in qualità di titolare autonomo del trattamento”), di cui alla presente informativa, il Titolare autonomo del trattamento è la struttura sanitaria presso cui – il giorno della prestazione, sulla base della propria agenda personale – si trovi ad operare il Medico da Lei selezionato in fase di prenotazione del servizio di visita in struttura, o del servizio di Videovisita erogato online, di volta in volta opportunamente indicato.
RESPONSABILE PER LA PROTEZIONE DATI (DPO)
Il Responsabile per la protezione dei dati può essere contattato ai seguenti indirizzi di posta elettronica:
- gvm-dpo@legalmail.it; e,
- dpo.st@ecosafety.it per le strutture: Anthea Hospital, Ospedale Santa Maria, Villa Luciam Hospital, Città di Lecce Hospital e D’Amore Hospital.
PRENOTAZIONE WEB e VIDEOVISITA
Prenotazione Web
Le strutture sanitarie di GVM offrono, ai propri Pazienti, un servizio per la prenotazione online di
visite mediche, da svolgersi in presenza presso le stesse strutture sanitarie, oppure a distanza, via web,
per mezzo del servizio di Videovisita.
Videovisita
Le strutture sanitarie di GVM offrono ai propri Pazienti un servizio di Videovisita a distanza, via
web, per mezzo di videochiamate non registrate.
Al termine del consulto così condotto, la struttura sanitaria che ha erogato la prestazione provvede
all’emissione della relativa fattura e di un semplice rapporto di visita, il quale non costituisce un
referto.
Termini e Condizioni
Per maggiori dettagli in merito ai servizi di Prenotazione Web e di Videovisita (nel seguito, anche
“Servizi”), si rimanda ai relativi Termini e Condizioni presenti sulla Piattaforma e sull’App.
DATI PERSONALI TRATTATI
Per “Dati” si intendono i dati personali così come definiti dall’art. 4 GDPR, relativi agli utilizzatori (nel seguito,
“Utenti” o “Interessati”) della Piattaforma e App di Prenotazione Web e di Videovisita. Tra i Dati trattati rientrano
anche quelli di famigliari degli Utenti e/o di ulteriori soggetti terzi ad essi connessi, eventualmente forniti dagli Utenti medesimi nell’ambito della fruizione dei Servizi.
I Dati sono raccolti direttamente presso l’Interessato, tramite compilazione del form di registrazione alla Piattaforma e/o App e, in ogni caso, attraverso tutte le modalità di comunicazione/interazione che la Piattaforma mette a disposizione dell’Interessato stesso.
Il Servizio è disponibile sia sul web che attraverso apposita App (Andorid e IoS), liberamente scaricabile dagli store di riferimento.
Per usufruire dei servizi tramite App, l’App le potrà richiedere le seguenti autorizzazioni per accedere a:
- la sua posizione per poter trovare il centro GVM più vicino a Lei
- il suo calendario per poter aggiungere/rimuovere dal Suo calendario personale gli appuntamenti prenotati
- i suoi file e contenuti multimediali per poter caricare sulla Piattaforma file, foto o altri documenti presenti nel dispositivo
- accedere alla sua fotocamera per acquisire immagini da caricare sulla Piattaforma o per poter permettere la trasmissione video durante la Videovisita
- accedere al suo microfono per poter permettere la trasmissione audio durante la Videovisita
I Dai trattati per mezzo della Piattaforma e App si ascrivono all’interno delle seguenti categorie:
- Dati Personali comuni, quali: nome, cognome, sesso, data di nascita, luogo di nascita, codice fiscale, indirizzo postale o di posta elettronica, numero di telefono, fisso o mobile, username, password, domicilio, residenza e P.IVA.
- Dati di localizzazione, relativi alla posizione dell’Utente. La posizione può essere determinata con vari gradi di accuratezza, tramite: GPS, indirizzo IP e Dati provenienti dai sensori del dispositivo impiegato dall’Interessato per l’utilizzo della Piattaforma e App.
- Dati relativi alla fornitura di un servizio di comunicazione elettronica, quali: Dati di traffico, Dati relativi alla navigazione internet, indirizzo IP, MAC address, cookie, ecc.
- Categorie Particolari di Dati, idonei a rivelare lo stato di salute, la vita sessuale, l’origine razziale o etnica, le convinzioni religiose dell’Interessato, nonché Dati genetici (ex art. 9 del GDPR).
A. TRATTAMENTI CONDOTTI IN REGIME DI CONTITOLARITÀ
A.1
FINALITÀ DEL TRATTAMENTO
- Registrazione Utente e creazione di un account a questi dedicato per godere dei Servizi presenti sulla Piattaforma e App MyGVM.
- Gestione delle attività accessorie che la Piattaforma e App mettono a disposizione dell’Utente, quali
segnalazioni e reclami, customer care, ecc.
BASE GIURIDICA DEL TRATTAMENTO
Esecuzione di un contratto di cui Lei è parte, ex art. 6, co. 1, lett. b) del GDPR e, per le Categorie Particolari di Dati, ex art. 9, co. 2, lett. h) del GDPR, come previsto dal provvedimento dell’Autorità Garante n. 55 del 7 marzo 2019.
PERIODO DI CONSERVAZIONE DEI DATI
Per tutta la durata contrattuale, fino
alla cancellazione della Sua utenza e,
in seguito, per il periodo di
prescrizione ordinario pari a 10 anni.
A.2
FINALITÀ DEL TRATTAMENTO
Indicazione all’Utente delle
strutture sanitarie a lui più vicine,
fornita sulla base della sua posizione
geografica.
BASE GIURIDICA DEL TRATTAMENTO
Esecuzione di un contratto di cui Lei è
parte, ex art. 6, co. 1, lett. b) del
GDPR.
PERIODO DI CONSERVAZIONE DEI DATI
I Dati di localizzazione non sono
soggetti a conservazione.
A.3
FINALITÀ DEL TRATTAMENTO
Adempimento di obblighi previsti
dai regolamenti e dalla normativa
nazionale e sovranazionale
applicabili.
BASE GIURIDICA DEL TRATTAMENTO
Necessità di adempiere obblighi legali
cui sono soggetti i Contitolari, ex art. 6,
co. 1, lett. c) del GDPR e, per le
Categorie Particolari di Dati, ex art. 9,
co. 2, lett. h) del GDPR.
PERIODO DI CONSERVAZIONE DEI DATI
Per il periodo di tempo strettamente
necessario all’assolvimento degli
obblighi legali cui sono soggetti i
Contitolari, o per il tempo più lungo
previsto dalla normativa stessa.
A.4
FINALITÀ DEL TRATTAMENTO
Se necessario, per accertare,
esercitare o difendere i diritti dei
Contitolari in sede giudiziaria e
stragiudiziale.
BASE GIURIDICA DEL TRATTAMENTO
Interesse legittimo (tutela giudiziaria e
stragiudiziale), ex art. 6, co. 1 lett. f) del
GDPR e, per le Categorie Particolari di
Dati, ex art. 9, co. 2, lett. f) del GDPR.
PERIODO DI CONSERVAZIONE DEI DATI
Nel caso di contenzioso giudiziale
e/o stragiudiziale, per tutta la durata
dello stesso, fino all’esaurimento dei
termini di esperibilità delle azioni di
impugnazione.
A.5
FINALITÀ DEL TRATTAMENTO
Customer satisfaction: su base
volontaria e facoltativa, per
permettere la partecipazione degli
Utenti che hanno usufruito dei
Servizi a campagne di customer
satisfaction finalizzate
esclusivamente al monitoraggio e alla
valutazione della qualità percepita dei
servizi sanitari.
BASE GIURIDICA DEL TRATTAMENTO
Esecuzione di un compito di interesse
pubblico, ex art. 6, co. 1, lett. e) del
GDPR e, per le Categorie Particolari di
Dati, ex art. 9, co. 2, lett. g) del GDPR.
PERIODO DI CONSERVAZIONE DEI DATI
Per il tempo strettamente necessario
allo svolgimento dell’indagine di
gradimento e comunque non oltre la
contestuale registrazione dei Dati
contenuti nei questionari.
A.6
FINALITÀ DEL TRATTAMENTO
Marketing diretto: invio di
comunicazioni promozionali e
commerciali relative ai servizi offerti
attraverso la Piattaforma (con
modalità automatizzate di contatto
come sms, e-mail) e/o realizzazione
di studi di mercato e di analisi
statistiche, sempre limitatamente alle
evidenze dei Dati di utilizzo della
Piattaforma.
BASE GIURIDICA DEL TRATTAMENTO
Consenso (facoltativo e revocabile in
qualsiasi momento), ex art 6, co. 1, lett.
a) del GDPR e, per le Categorie
Particolari di Dati, ex art. 9, co. 2, lett.
a) del GDPR.
PERIODO DI CONSERVAZIONE DEI DATI
I Dati Personali comuni verranno
trattati sino al momento
dell’eventuale revoca del consenso da
parte dell’Interessato.
I Dati relativi ai Servizi acquistati
sulla Piattaforma saranno conservati
per 24 mesi, decorrenti dal momento
del loro conferimento o, in ogni
caso, sino al momento dell’eventuale
revoca del consenso da parte
dell’Interessato.
B. TRATTAMENTI CONDOTTI DALLA STRUTTURA SANITARIA PRESCELTA IN QUALITÀ DI TITOLARE AUTONOMO DEL TRATTAMENTO
B.1
FINALITÀ DEL TRATTAMENTO
- Gestione, da parte della struttura
sanitaria ove operi il medico
prescelto dal Paziente, della
prenotazione effettuata via
Piattaforma e/o App dal Paziente
stesso (ad es., calendarizzazione della
visita, notifiche, reminder degli
appuntamenti, ecc.).
- Erogazione del Servizio di
Videovisita da parte del medico
prescelto dal Paziente e redazione
del relativo rapporto di visita,
nonché attività di segnalazione,
reclamo, customer care.
- Gestione dei pagamenti della
prestazione erogata e relativa
fatturazione.
BASE GIURIDICA DEL TRATTAMENTO
Esecuzione di un contratto di cui Lei
è parte, ex art. 6, co. 1, lett. b) del
GDPR e, per le Categorie Particolari
di Dati, ex art. 9, co. 2, lett. h) del
GDPR, come previsto dal
provvedimento dell’Autorità Garante
n. 55 del 7 marzo 2019.
PERIODO DI CONSERVAZIONE DEI DATI
Per tutta la durata contrattuale, fino
alla cancellazione della Sua utenza e, in
seguito, per il periodo di prescrizione
ordinario pari a 10 anni.
B.2
FINALITÀ DEL TRATTAMENTO
Adempimento di obblighi previsti
dai regolamenti e dalla normativa
nazionale e sovranazionale
applicabili (ad esempio, in materia di
fatturazione).
BASE GIURIDICA DEL TRATTAMENTO
Necessità di adempiere agli obblighi
legali cui è soggetto il Titolare, ex art.
6, co. 1, lett. c) del GDPR e, per le
Categorie Particolari di Dati, ex art. 9,
co. 2, lett. h) del GDPR
PERIODO DI CONSERVAZIONE DEI DATI
Per il periodo di tempo strettamente
necessario all’assolvimento degli
obblighi legali cui è soggetto il Titolare,
o per il tempo più lungo previsto dalla
normativa.
B.3
FINALITÀ DEL TRATTAMENTO
Se necessario, per accertare,
esercitare o difendere i diritti del
Titolare in sede giudiziaria e
stragiudiziale.
BASE GIURIDICA DEL TRATTAMENTO
Interesse legittimo (tutela giudiziaria
e stragiudiziale), ex art. 6, co. 1, lett.
f) del GDPR e, per le Categorie
Particolari di Dati, ex art. 9, co. 2,
lett. f) del GDPR.
PERIODO DI CONSERVAZIONE DEI DATI
Nel caso di contenzioso giudiziale, per
tutta la durata dello stesso, fino
all’esaurimento dei termini di
esperibilità delle azioni di
impugnazione.
Decorsi i termini di conservazione sopra indicati, i Dati saranno distrutti o resi anonimi, compatibilmente: i) con le
procedure tecniche di cancellazione e di backup; e, ii) con le esigenze di accountability dei Contitolari e/o del Titolare
del trattamento.
NATURA DEL CONFERIMENTO DEI DATI
Il conferimento dei Dati richiesti dai campi contrassegnati da un asterisco è necessario ai fini della registrazione dell’utenza e della conseguente fruizione dei Servizi offerti dalla Piattaforma e App. Pertanto, in mancanza di tale conferimento, non sarà possibile per la struttura sanitaria prescelta (Titolare autonomo del trattamento) erogare i Servizi di Prenotazione Web e di Videovisita. La compilazione dei campi non contrassegnati da un asterisco, invece, è del tutto facoltativa ed il mancato conferimento dei Dati non inciderà in alcun modo sull’utilizzo della Piattaforma e App. Rimane a totale discrezione del Paziente effettuare il caricamento di documentazione personale (esami, referti, ecc.) in vista del Videovisita. Il conferimento dei Dati per la finalità di cui al punto 7 A (Marketing diretto) è del tutto facoltativo: tale attività di trattamento sarà svolta solo a fronte di Suo espresso ed inequivocabile consenso. Resta fermo il Suo diritto di revocare il consenso prestato in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.
DESTINATARI DEI DATI
I Dati possono essere trattati da ulteriori soggetti operanti in qualità di titolari autonomi del trattamento, quali, a titolo esemplificativo: gestori di pagamenti online, autorità ed organi di vigilanza e controllo e, in generale, soggetti, pubblici o privati, legittimati a richiedere i Dati. I Dati possono altresì essere trattati, per conto dei Contitolari, per le finalità di cui al punto A, e per conto del solo Titolare autonomo, per le finalità di cui al punto B, da soggetti esterni designati come responsabili del trattamento (ai sensi dell’art. 28 del GDPR), a cui sono impartite adeguate istruzioni operative. Tali soggetti sono essenzialmente ricompresi nelle seguenti categorie:
- società che forniscono, gestiscono ed effettuano la manutenzione della Piattaforma;
- società che offrono servizi di invio e-mail;
- società interne o esterne a GVM, incaricate della fornitura di servizi strumentali al perseguimento delle finalità indicate nella presente informativa (media agency, IT supplier, ecc.);
- società che offrono supporto nella realizzazione di studi di mercato.
SOGGETTI AUTORIZZATI AL TRATTAMENTO
I Dati potranno essere trattati dai dipendenti e/o collaboratori dei Contitolari, del Titolare, e/o dei responsabili del trattamento, deputati al perseguimento delle finalità sopra indicate, i quali siano stati espressamente autorizzati al trattamento e abbiano ricevuto adeguate istruzioni operative.
TRASFERIMENTO DEI DATI PERSONALI IN PAESI NON APPARTENENTI ALL’UNIONE EUROPEA
I Suoi Dati, anche appartenenti a Categorie Particolari, potranno essere trasferiti al di fuori dell’Unione Europea e/o dello Spazio Economico Europeo solo in presenza dei requisiti di cui agli artt. 44 e ss. del GDPR.
DIRITTI DELL’INTERESSATO – RECLAMO ALL’AUTORITÀ DI CONTROLLO
Gli Interessati possono contattare, rivolgendosi all’attenzione del Referente Privacy, l’Ufficio Privacy di ciascun Contitolare e Titolare autonomo, per le finalità di cui rispettivamente ai punti A e B. I dati di contatto di ciascun Contitolare e Titolare autonomo sono raggiungibili al seguente link: https://www.gvmnet.it/strutture. In ogni caso, è possibile scrivere ai seguenti indirizzi di posta elettronica:
- privacy-respamm@gvmnet.it;
- dpo.st@ecosafety.it, per le strutture: Anthea Hospital, Ospedale Santa Maria, Villa Lucia Hospital, Città di Lecce Hospital e D’Amore Hospital.
Gli Interessati, limitatamente a quanto previsto dalla normativa, possono chiedere l’accesso ai Dati che li riguardano, la loro cancellazione, la rettifica dei Dati inesatti, l’integrazione dei Dati incompleti, la limitazione del trattamento nei casi previsti dall’art. 18 GDPR, nonché fare opposizione al trattamento, per motivi connessi alla propria situazione particolare, nelle ipotesi di legittimo interesse del titolare.
Gli Interessati, inoltre, nel caso in cui il trattamento sia basato sul consenso o sul contratto e sia effettuato con strumenti automatizzati, hanno il diritto di ricevere i Dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico, nonché, se tecnicamente fattibile, di trasmetterli ad altro titolare senza impedimenti.
Gli Interessati hanno il diritto di revocare il consenso prestato in qualsiasi momento per finalità di marketing, nonché di opporsi al trattamento dei Dati per finalità di marketing. Resta ferma la possibilità per l’Interessato che preferisca essere contattato per la suddetta finalità esclusivamente tramite modalità tradizionali, di manifestare la sua opposizione solo alla ricezione di comunicazioni attraverso modalità automatizzate.
Gli Interessati hanno il diritto, ai sensi dell’art. 77 del GDPR, di proporre reclamo all’Autorità di controllo competente nello Stato membro in cui risiedono abitualmente o lavorano, o dello Stato in cui si è verificata la presunta violazione, qualora ritengano che il trattamento dei loro Dati sia in contrasto con la normativa in vigore.
In ultimo, si ricorda agli Interessati che hanno la possibilità di revocare l’autorizzazione da parte dell’App all’acceso alla sua posizione, al suo calendario, ai suoi file e contenuti multimediali, alla sua fotocamera e/o microfono. Nel momento in cui dovessero essere compiute determinate disattivazioni, l’App potrebbe non funzionare nella maniera corretta.