Termini e Condizioni
NORME DI DISCIPLINA SULL’USO DEGLI STRUMENTI DELLA RETE PEDIATRICA
Regolamento della Fondazione dell’Ospedale Pediatrico Meyer O.N.L.U.S
INDICE
Art. 1 – Oggetto, ambito di applicazione e definizioni Art. 2 – Quadro Normativo
Art. 3 – Finalità degli strumenti della rete pediatrica Art. 4 – Finalità dei dati personali – Informativa Art. 5 – Tutela dei dati clinici
Art. 6 – Interscambio dei documenti Art. 7 – Trattamento dei dati
Art. 8 – Titolare, Responsabili ed incaricati del trattamento dei dati Art. 9 – Diritto di recesso
Art. 10 –Modalità di raccolta, conservazione dei dati e sicurezza Art. 11 – Installazione di ulteriori strumenti
Art. 12 – Entrata in vigore Art. 13 – Norma di rinvio
Art. 1 – Oggetto, ambito di applicazione e definizioni
Il presente regolamento disciplina l’uso degli strumenti informatici messi a disposizione della rete pediatrica all’interno ed all’esterno dell’Azienda Ospedaliero Universitaria Meyer denominati come progetto WePeopleattraverso tecnologia cloud con il partner commerciale Google.
Tutti questi strumenti sono rivolti esclusivamente ai:
● Dipendenti del servizio sanitario toscano e che ricoprano profili di pediatra di base
● Dipendenti del servizio sanitario toscano e che ricoprano profili di pediatri ospedalieri.
● Dipendenti dell’Ospedale Pediatrico Meyer di Firenze.
Per tutti coloro che rientrano in questi profili e che lo richiedano, sono disponibili i seguenti strumenti informatici:
Google Drive: Uno spazio di archiviazione su cloud per eseguire il backup, proteggere e condividere foto, video e file, accessibile da qualsiasi dispositivo. Con tale strumento è possibile l’interscambio di documenti fra i membri della rete pediatrica.
Google Doc: Strumento di editing via cloud di testi ed elaborati. E’ possibile elaborare i testi e direttamente dal web.
Google Calc: Strumenti di editing attraverso tecnologia cloud di fogli di calcolo
Google Hangout: Strumento di chat, video conference attraverso cloud.
Goolge Calendar: Strumento di gestione del calendario.
Ai fini del presente regolamento si forniscono le seguenti definizioni:
Cloud: si indica un paradigma di erogazione di risorse informatiche, come l’archiviazione, l’elaborazione o la trasmissione di dati, caratterizzato dalla disponibilità on demand attraverso Internet a partire da un insieme di risorse preesistenti e configurabili.
Art. 2 – Quadro Normativo
Al momento della stesura del seguente regolamento manca ancora un quadro normativo aggiornato a livello italiano – in tema di privacy, ma anche in ambito civile e penale – che tenga conto di tutte le novità introdotte dal cloud computing.
Si fa quindi riferimento:
alla normativa italiana in particolar modo ove applicabile al D.lgs. 30.06.2003 n.196 e alle indicazioni espresse nella brochure del Garante per la privacy “Proteggere i dati per non cadere dalle nuvole“.
Per quanto riguarda le informazioni sulla sicurezza del trattamento dei dati con i sistemi Google si fa riferimento alla specifiche tecniche indicate da Google ai seguenti link:
https://apps.google.com/faq/security/ In inglese:
https://static.googleusercontent.com/media/apps.google.com/en/US/files/google-apps-
security-and-compliance-whitepaper.pdf
Art. 3 – Finalità degli strumenti della rete pediatrica
Con l’art.33 bis della legge regionale n. 40/2005, così come modificata dalla L.R. 84/2015, la Rete pediatrica regionale trova nell’Azienda Ospedaliero Universitaria Meyer il punto di riferimento per le funzioni di riorganizzazione e coordinamento operativo e di raccordo con la programmazione di area vasta.
Per consolidare la comunità dei pediatri toscani e incentivare le occasioni di scambio e connessione, la Fondazione la quale sostiene l’Ospedale pediatrico Meyer di Firenze, mette a disposizione una serie di strumenti innovativi di Google for work che si basano sulla collaborazione e sulla condivisione in tempo reale di programmi, linee guida, e offrono la possibilità di confrontarsi ovunque e con qualsiasi dispositivo, computer, tablet, smartphone, attraverso video conferenze e chat, in maniera semplice e in sicurezza, con lo scopo di garantire agli assistiti in età pediatrica le migliori cure disponibili e di ottimizzare l’utilizzo delle risorse.
Alla luce di quanto sopra evidenziato ed ai sensi del D. Lgs. n. 196/2003 (Codice Privacy), la Fondazione Meyer effettua il trattamento dei dati attraverso gli strumenti della rete pediatrica p er permettere ai pediatri del servizio sanitario della toscana di comunicare e collaborare in maniera più efficiente.
Si ricordano le seguenti regole:
1. L’effettuazione di stoccaggio dei dati su sistemi cloud ha finalità di ricerca, formazione e comunicazione.
2. E’ consentito l’interscambio di informazioni di dati (documenti, immagini e filmati) cliniche in cui NON è identificabile il nome del paziente.
3. Il normale interscambio di informazioni sanitarie quali referti medici non può avvenire con gli strumenti della rete pediatrica, ma deve transitare secondo i normali canali istituzionali.
4. E’ consentito l’interscambio o lo stoccaggio di filmati degli interventi chirurgici per il trattamento di particolari patologie con finalità scientifiche, anche nell’ambito di specifici progetti di ricerca, e per lo sviluppo delle attività di didattica solo se anonimizzate;
5. I sistemi di della rete pediatrica non possono essere utilizzati per lo stoccaggio di dati personali non inerenti alla attività lavorativa o dati coperti da copyright.
6. Se l’utente non fa un accesso almeno una volta l’anno l’account sarà disattivato.
7. Dopo 24 mesi di non utilizzo degli strumenti della rete pediatrica è facoltà del Titolare del trattamento cancellare i dati connessi l’account.
8. Tali strumenti devono essere utilizzati nel rispetto delle disposizioni contenute nel D. Lgs. 30 giugno 2003 n. 196
Art. 4 – Finalità dei dati personali – Informativa
Ai sensi dell’Art. 13 del D.Lgs n.196/2003 sul trattamento dei Dati Personali, ai fini dell’accreditamento, per il successivo uso dei servizi online, sarà richiesto di fornire alcuni dati personali il cui trattamento avverrà nel rispetto delle disposizioni contenute nel decreto legislativo 30 giugno 2003, n. 196 e sue successive modificazioni ed integrazioni.
In applicazione del sopra citato decreto legislativo, ai sensi dell’art. 13, si informa che: l’acquisizione dei dati che potranno essere richiesti è il presupposto indispensabile per la stipulazione e la gestione dell’accreditamento dei servizi. I dati personali, raccolti e conservati in banche dati, verranno trattati da responsabili del trattamento e incaricati e, qualora non sia stato dato espresso consenso, non saranno oggetto di diffusione o comunicazione a Terzi, se non nei casi previsti dalla presente informativa e/o dalla legge e, comunque, con le modalità da questa consentite.
Il soggetto interessato ha facoltà di esercitare i diritti previsti dall’art. 7 del suddetto decreto legislativo ed in particolare di:
– ottenere la conferma dell’esistenza o meno dei propri dati personali, anche se non ancora registrati, e la loro comunicazione in forma intelligibile;
– ottenere l’indicazione:
a) dell’origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’art. 5 comma 2 del D. Lgs. 196/2003, nonché dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di incaricati;
– ottenere:
a) l’aggiornamento, la rettificazione ovvero, quando il ne abbia interesse, l’integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;
– opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta.
In ogni momento, inoltre, esercitando il diritto di recesso da tutti i servizi richiesti, l’utente potrà chiedere la cancellazione totale di tutti i dati forniti. In tal caso il responsabile tratterrà i dati relativi alle transazioni effettuate e quelli la cui conservazione è richiesta da esigenze di sicurezza o da obblighi di legge.
Art. 5 – Tutela dei dati clinici
In considerazione della necessità di tutelare la riservatezza dei pazienti e la difficoltà di normare l’utilizzo degli strumenti cloud, come espresso nel documenti del Garante per la privacy “Cloud computing: indicazioni per l’utilizzo consapevole dei servizi”, non è ammesso l’utilizzo di tali strumenti per la gestione dei dati clinici dove è riportata l’indicazione del nominativo del paziente.
E’ quindi possibile l’utilizzo di tali strumenti solo se il dato clinico viene anonimizzato.
Art. 6 – Interscambio dei documenti
L’interscambio dei documenti può avvenire solo all’interno della rete pediatrica.
Gli strumenti del progetto we people della rete pediatrica sono configurati per la possibilità di condivisione dei dati solo fra i membri della rete pediatrica.
Art. 7 – Trattamento dei dati
Con il termine “dati”, ai fini della presente disciplina, si intende l’insieme delle immagini, documenti e filmati prodotti o stoccati dai sistemi indicati nell’art. 1.
Il “trattamento dei dati”, ai sensi del disposto del Codice della Privacy, è rappresentato dalle attività che abbiano ad oggetto la raccolta, la registrazione, la conservazione, la visione e la cancellazione dei dati.
Il trattamento dei dati avviene nel rispetto delle vigenti norme in materia, in conformità ai principi generali di liceità, necessità, proporzionalità e finalità, di seguito enunciati.
Principio di liceità: il trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali ai sensi degli artt. 18-22 del Codice.
Principio di necessità: il sistema di accreditamento è configurato per l’utilizzazione al minimo di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità.
Principio di proporzionalità: nel commisurare la necessità del sistema al grado di rischio concreto, l’attività è commisurata al grado di rischio concreto del sistema.
Art. 8 – Titolare, Responsabili ed incaricati del trattamento dei dati
Il Titolare del trattamento dei dati raccolti con i sistemi della rete pediatrica è la Fondazione dell’Ospedale Pediatrico Meyer O.N.L.U.S. nella persona del suo legale rappresentante pro- tempore.
La Fondazione dell’Ospedale Pediatrico Meyer O.N.L.U.S sarà nominato responsabile esterno del trattamento l’Azienda Ospedaliero Universitaria Meyer nella persona del suo legale rappresentante pro-tempore.
La Fondazione dell’Ospedale Pediatrico Meyer O.N.L.U.S sarà nominato responsabile esterno del trattamento l’azienda Noovle Srl con sede presso Via della Giustizia 10, nella persona del suo legale rappresentante pro-tempore, in virtù dell’accordo per la realizzazione di un laboratorio congiunto Fondazione Meyer e Google/Noovle.
La Fondazione dell’Ospedale Pediatrico Meyer O.N.L.U.S sarà nominato responsabile esterno del trattamento la società Google Inc, nella persona del suo legale rappresentante pro-tempore, in virtù dell’accordo per la realizzazione di un laboratorio congiunto Fondazione Meyer e Google/Noovle.
Il Titolare e i responsabili devono rispettare pienamente quanto previsto in tema di trattamento dei dati personali dalle leggi vigenti, per impedire appropriazioni o usi indebiti dei dati.
I Responsabili devono conformare la propria azione al pieno rispetto di quanto prescritto dalle leggi vigenti in tema di trattamento dei dati personali, ivi incluso il profilo della sicurezza, e dalle disposizioni del presente Regolamento.
I Responsabili procedono al trattamento attenendosi alle istruzioni impartite dal Titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni normative e regolamentari.
Spetta al Responsabile la custodia dei sistemi per l’accesso ai sistemi, nonché la custodia delle password per l’utilizzo dei sistemi.
I Responsabili del Trattamento designano a loro volta i soggetti incaricati del trattamento i quali, a norma dell’art. 30 del codice della Privacy, operano sotto la diretta autorità dei Responsabili.
L’accesso al sistema di amministrazione è permesso esclusivamente ai Responsabili del trattamento, agli incaricati addetti ai servizi ed ai tecnici incaricati per l’assistenza, la configurazione e la manutenzione, interni ed esterni individuati nominativamente dal Responsabile con atto scritto.
Gli Incaricati, opportunamente formati, operano sulla base dei compiti loro attribuiti dal Responsabile e non possono eseguire operazioni di trattamento per fini non individuati tra quelli loro assegnati. A tal fine a tutti gli Incaricati deve essere comunicato l’ambito del trattamento consentito in ragione dell’effettiva necessità per gli stessi di accedere ai dati per lo svolgimento dei rispettivi compiti e mansioni.
Gli Incaricati del materiale oggetto di trattamento devono elaborare i dati personali ai quali hanno accesso, attenendosi scrupolosamente alle istruzioni del Responsabile che saranno fornite al momento della nomina. Nello svolgimento della loro attività gli Incaricati devono scrupolosamente osservare i principi di liceità, necessità e proporzionalità, limitando i dettagli delle immagini alle reali necessità.
Gli Incaricati sono obbligati a non utilizzare gli strumenti per fini personali o per violazione del copyright.
La mancata osservanza degli obblighi previsti dal presente articolo comporterà la disattivazione del relativo account e la cancellazione dei dati connessi.
Il Titolare vigila sulla puntuale osservanza, da parte dei soggetti dianzi indicati, delle disposizioni di legge e del presente regolamento. I Responsabili dovranno, altresì, impedire che gli stessi dati siano divulgati a soggetti estranei all’attività di trattamento, salvo che non si tratti di organi dell’Autorità Giudiziaria che ne facciano richiesta per motivi di indagine.
Art. 9 – Diritto di recesso
Gli interessati, ossia i membri che si sono accreditati sulla rete pediatrica possono comunicare in qualsiasi momento la cancellazione dei propri account e la cancellazione dei dati presenti nei sistemi cloud attraverso l’invio di una mail retepediatrica@meyer.it.
Art. 10 –Modalità di raccolta, conservazione dei dati e sicurezza
I dati personali disciplinati dal presente regolamento vengono: trattati in modo lecito e secondo correttezza, conservati ed eventualmente utilizzati in un lasso di tempo strettamente necessario per conseguire gli scopi per cui sono raccolti, nel rispetto del principio di proporzionalità, ai sensi dell’art. 11 del codice della Privacy.
Art. 11 – Installazione di ulteriori strumenti
Qualora si rendesse necessaria l’installazione di ulteriori strumenti oltre a quelli già esistenti, le relative operazioni dovranno essere autorizzate dal Titolare del trattamento, tutti gli utenti accreditati dovranno essere tempestivamente informati.
Art. 12 – Entrata in vigore
Il presente regolamento entrerà in vigore con decorrenza dal 12 Aprile 2016.
La fondazione Meyer si riserva di apportare le modifiche alle presenti disposizioni regolamentari, rese necessarie dall’eventuale emanazione di nuove norme legislative in materia.
Art. 13 – Norma di rinvio
Per tutti gli aspetti non espressamente disciplinati dalla presente normativa si rinvia al D. Lgs. 30 giugno 2003 n. 196 nonché a tutte le norme di Legge vigenti in materia.