Dichiarazione privacy

1. Dichiarazione sulla protezione dei dati

La tutela della protezione dei dati e della privacy rappresenta uno dei valori fondamentali dell'Ente Ospedaliero Cantonale (di seguito semplicemente “EOC” o anche “noi” / “ci”).

Ci impegniamo attivamente a trattare tutte le informazioni con la massima cura e responsabilità nell’osservanza delle disposizioni applicabili in materia di protezione dei dati personali, in particolare nel rispetto dei requisiti previsti dalla Legge svizzera e del Canton Ticino ed in linea con la normativa europea, se e nella misura in cui quest’ultima sia applicabile.
Lavoriamo costantemente per garantire la massima protezione dei dati personali che gestiamo, apportando le modifiche ed i miglioramenti necessari in conformità alle leggi vigenti.

La presente dichiarazione sulla protezione dei dati si rivolge a tutti coloro che entrano in contatto con l’EOC (es. utenti del sito web, pazienti, collaboratori dell’EOC, fornitori, medici ed operatori sanitari, cliniche, ospedali, ecc.) ed ha lo scopo di informare su come e perché raccogliamo, elaboriamo e utilizziamo i dati personali.

Quanto descritto di seguito si applica ad ogni elaborazione di dati personali raccolti dall’EOC nell’ambito dello svolgimento delle sue molteplici attività e indipendentemente dal modo in cui tali dati personali sono raccolti, ovvero online (ad es. tramite il nostro sito web www.eoc.ch, l’uso di applicazioni dell’EOC, e-mail), oppure fisicamente presso le nostre strutture e sedi (ad esempio mediante la compilazione di formulari/moduli o tramite altri strumenti).

Vi invitiamo a leggere attentamente questa dichiarazione sulla protezione dei dati e a controllare regolarmente questa pagina per tenervi aggiornati su eventuali modifiche apportate ai sensi di questa dichiarazione.

2. Definizioni utili, modifiche ed aggiornamenti

In conformità con l’art. 5 della LPD, nella presente Dichiarazione s’intende per:

A. dati personali: tutte le informazioni concernenti una persona fisica identificata o identificabile;

B. dati personali degni di particolare protezione:

• i dati concernenti le opinioni o attività religiose, filosofiche, politiche o sindacali,
• i dati concernenti la salute, la sfera intima o l’appartenenza a una razza o a un’etnia,
• i dati genetici,
• i dati biometrici che identificano in modo univoco una persona fisica,
• i dati concernenti perseguimenti e sanzioni amministrativi e penali,
• i dati concernenti le misure d’assistenza sociale;
   

C. trattamento: qualsiasi operazione relativa a dati personali, indipendentemente dai mezzi e dalle procedure impiegati, segnatamente la raccolta, la registrazione, la conservazione, l’utilizzazione, la modifica, la comunicazione, l’archiviazione, la cancellazione o la distruzione di dati;

D. comunicazione: la trasmissione di dati personali o il fatto di renderli accessibili;

E. persona o soggetto interessata/o: la persona fisica o giuridica i cui dati sono oggetto di trattamento da parte dell’EOC.

Possibili modifiche ed aggiornamenti
L’EOC si riserva il diritto di modificare la presente dichiarazione sulla protezione dei dati in qualsiasi momento e senza preavviso in ottemperanza degli aggiornamenti legislativi in materia di protezione dei dati e tutela della privacy.
Tali modifiche saranno efficaci non appena pubblicate sul sito web dell'EOC e in altri canali ufficiali dell’EOC. Tutti i destinatari di tale dichiarazione sono invitati a consultare periodicamente il presente documento per essere informati su eventuali aggiornamenti.

Ultimo aggiornamento eseguito in data 31 agosto 2023.

3. Chi è il titolare del trattamento?

Ai sensi delle disposizioni sulla protezione dei dati (in particolare si richiama l’art. 5, lett. j, LPD), il titolare del trattamento è l’Ente Ospedaliero Cantonale (EOC), in qualità di ente di diritto pubblico incaricato della direzione e gestione di ospedali pubblici del Canton Ticino, con sede della Direzione Generale in 

Viale Officina 3
CH-6500 Bellinzona
Tel. +41 (0)91 811 13 01
[email protected]

4. Quali dati raccogliamo e trattiamo?

Nell’esecuzione dei suoi mandati di diritto pubblico e di tutte le nostre ulteriori attività, nel rispetto della normativa vigente in materia di protezione dei dati, raccogliamo ed elaboriamo vari tipi di dati personali. In particolare:

A. Dati personali
Al Suo ingresso all’EOC - ed ogni volta che si entra in contatto con l’EOC - possono esser richiesti diversi tipi di dati personali. 

Alcuni esempi, a seconda delle necessità e del Suo rapporto con noi:

• appellativo, nome, cognome;
• data e luogo di nascita
• nazionalità
• indirizzo di residenza
• numeri di telefono, indirizzi email e altri dati di contatto
• indirizzo IP
• numeri identificativi dei documenti (es. tessera della cassa malati e/o di un’assicurazione, il numero o la tessera AVS)
• qualsiasi altro dato personale rientrante nella definizione di cui all’art. 5, lett. a, LPD.

Questo tipo di informazioni sono conosciute anche come dati personali “comuni” perché sono dati comunemente utilizzati per svolgere tutte quelle operazioni necessarie e fondamentali nella gestione delle principali attività ospedaliere (ad esempio la sicura e corretta identificazione e registrazione della persona all’interno della struttura, la presa in carico dei servizi richiesti, la possibilità di comunicare con la persona per tenerla al corrente in caso di aggiornamenti sui risultati delle visite o degli esami svolti e così via).

In altri casi e circostanze possono esser utilizzati dati personali che emergono in relazione alla stipulazione o all’esecuzione o allo scioglimento di contratti. Tra questi dati, oltre a quelli sopra citati, possono figurare in particolare i dati delle persone giuridiche.

B. Dati sanitari 
L’EOC, nell’ambito delle sue attività, può richiedere o venire a conoscenza di dati che riguardano la salute (ad esempio, attraverso diversi documenti come referti, anamnesi, esiti diagnostici, esami del sangue, etc.), dati genetici, dati biometrici ed in generale informazioni che riguardano la sfera intima dei pazienti.

Questi dati sono conosciuti anche come dati personali “degni di particolare protezione” perché sono dati che devono essere protetti con la massima attenzione e sicurezza. 
Nel contesto delle finalità connesse alle varie attività svolte dall’EOC, il trattamento di questa tipologia di dati è indispensabile per poter svolgere nel miglior modo possibile le prestazioni sanitarie richieste e/o necessarie al trattamento medico o percorso di cura del paziente.

C. Dati di navigazione, cookie e altri strumenti di tracciamento
Per dati di navigazione e cookie intendiamo tutte quelle informazioni che non sono raccolte di per sé per essere associate a interessati identificati, ma che per loro stessa natura possono includere dati personali oppure potrebbero, attraverso elaborazioni ed associazioni, permettere di identificare gli utenti del sito, delle nostre App o di altri strumenti digitali.

Esempi sono:

• Il tipo di browser usato dall’Utente;
• Il sito web da cui si è raggiunto il nostro sito (sito web di riferimento);
• Il sistema operativo del computer;
• Il tipo di dispositivo usato;
• Il referrer URL (Uniform Resource Locator);
• L’indirizzo IP;
• Internet Service Provider (ISP);
• Il paese da cui ha avuto luogo l’accesso e le impostazioni linguistiche del browser dell’Utente;
• Il click rate o tasso di clic (tracciamento dei link);
• L’ora e la data di visualizzazione di una pagina.

Sul nostro sito possono inoltre esser utilizzati altri strumenti come i “pixel di tracciamento” ovvero elementi grafici (es. immagini) incorporati nei codici delle pagine web che servono a documentare come gli utenti navigano il sito web. In quest’ultimo caso l’unico trattamento effettuato riguarda la produzione di statistiche, con dati anonimizzati.

D. Riprese video, immagini, e videosorveglianza
Per finalità di sicurezza e per i connessi fini probatori, possiamo inoltre effettuare riprese video sia negli spazi esterni che negli spazi interni degli immobili da noi affittati (ad esempio degli istituti e delle strutture ospedaliere). Possiamo quindi ottenere informazioni sul comportamento tenuto nelle aree riprese, nel rispetto delle raccomandazioni e disposizioni di legge che specificatamente regolano la videosorveglianza. L’impiego di videocamere di sorveglianza è circoscritto ad aree limitate ed è opportunamente segnalato.

Oltre alle esigenze di sicurezza, l’EOC effettua riprese video a scopo di cura (ad esempio è il caso del monitoraggio delle cure intense tramite videosorveglianza a circuito chiuso) o riprese di immagini e/o video in ambito di cura (ad esempio in pronto soccorso la ripresa di un’immagina di una lesione). L’impiego di questa tipologia di videosorveglianza a scopo di cura è limitato e circoscritto ad aree e servizi specifici e definito in direttive e regolamenti interni in linea con quanto previsto e richiesto dalla Legge.

E. Altri dati degni di particolare protezione
Oltre al tipo di dato descritto alla lett. B del presente punto, l’EOC può, in circostanze particolari e nel rispetto delle disposizioni legali applicabili, venire a conoscenza anche di altre tipologie di dati personali degni di particolare protezione, ai sensi dell’art. 5, lett. c, LPD.

Ad esempio nel corso di procedure ufficiali di autorità o in esecuzione procedure o di atti derivanti da tribunali, possiamo venire a conoscenza di dati personali attinenti alla sfera privata ed intima, contenuti in documenti, atti o mezzi di prova. Per ragioni di sicurezza e di protezione della salute, possiamo rilevare altresì informazioni, ad esempio su chi e quando accede a un determinato stabile o possiede corrispondenti diritti di accesso (p. es. per il controllo accessi, sulla base di dati di registrazione o liste di visitatori, ecc.), oppure su chi e quando utilizza la nostra infrastruttura ed i nostri sistemi.

5. Da dove provengono i dati personali che trattiamo?

L’EOC raccoglie preferibilmente i dati personali direttamente presso le persone interessate in occasione del primo contatto con noi. A seconda delle diverse e specifiche circostanze, raccogliamo e trattiamo i dati personali dei soggetti rientranti in una delle seguenti categorie:

• pazienti, familiari dei pazienti (p. es. coniugi attuali e precedenti, partner conviventi, genitori e figli) e altre persone che accompagnano i pazienti o sono persone di riferimento per i pazienti;
• persone che visitano il nostro sito web o altri servizi digitali (es. le nostre App);
• persone che visitano i nostri uffici o che usufruiscono di altri nostri servizi;
• dipendenti e collaboratori dell’EOC e persone che si candidano alle nostre offerte di lavoro;
• studenti, allievi, apprendisti, praticanti e partecipanti/volontari al servizio civile; 
• fornitori e partner, datori di lavoro e le loro persone di contatto;
• società di assicurazioni sociali e sanitarie e loro persone di contatto;
• medici e/o operatori sanitari privati e/o appartenenti ad altri ospedali/istituti di cura e loro persone di contatto;
• liberi professionisti, procuratori (p. es. rappresentanti legali);
• persone che ci scrivono o ci contattano a vario titolo (es. inquilini e persone di contatto delle imprese per l’affitto di proprietà residenziali e commerciali);
• membri dei nostri organi e persone appartenenti alle autorità e/o uffici pubblici; 
• …e chiunque rientri nella definizione di cui al punto 2, lettera E, della presente dichiarazione.

Desideriamo chiarire che, in queste occasioni, anche qualora vengano forniti dati riferiti ad altre persone (come parenti, amici, il contatto di una persona di riferimento e/o del rappresentante legale oppure di altri prestatori di servizi sanitari), si presume che chi fornisce questi dati abbia l'autorizzazione per farlo e che tali dati siano accurati. Ci aspettiamo inoltre che abbia informato tali soggetti riguardo alla presente dichiarazione, in conformità a quanto previsto dalla normativa vigente.

Dati relativi a minori o persone incapaci di discernimento
Nel caso di pazienti minorenni di età inferiore ai 16 anni o maggiorenni incapaci di discernimento, il consenso è dato dai genitori o dal rappresentante legale.

Il trattamento giustificato dal consenso dell’interessato è di principio lecito ove il minore che abbia manifestato il consenso abbia almeno 16 anni. Qualora il minore abbia un’età inferiore ai 16 anni, il trattamento dei dati personali è lecito soltanto e nella misura in cui il consenso sia prestato o autorizzato dal rappresentante legale. L’EOC potrà adoperarsi in ogni modo ragionevole per verificare che il consenso prestato dal rappresentante legale sia effettivo. Tuttavia l’EOC non sarà in alcun modo responsabile di eventuali dichiarazioni mendaci che dovessero essere fornite dal minore e, in ogni caso, qualora si accertasse la falsità della dichiarazione, si provvederà alla cancellazione immediata di ogni dato personale e di qualsivoglia materiale acquisito. Il titolare del trattamento agevolerà le richieste inerenti i dati personali dei minori provenienti dal rappresentante legale, come da punto 10.

A. Dati comunicati direttamente dai soggetti interessati

Spesso è Lei a comunicarci direttamente i dati personali, per esempio quando ci trasmette dati o comunica con noi in persona, recandosi presso le nostre strutture o tramite telefono, e-mail, compilazione di moduli e/o formulari cartacei o online sul nostro sito web o mediante App. La trasmissione dei dati a noi è fondamentalmente volontaria, ma in alcuni casi è assolutamente necessaria per poter usufruire deli nostri servizi o in adempimento di obblighi legali e/o contrattuali.

In linea di principio, specifichiamo quali dati personali sono obbligatori.
Ad esempio, la presenza di campi obbligatori, che trova su formulari da compilare, indica che quella determinata informazione è necessaria per permetterci di garantire la prestazione dei servizi richiesti. L’indicazione di altre informazioni non contrassegnate come obbligatorie è invece opzionale, ovvero non influisce sull’attività, ad esempio sull’uso del nostro sito web, delle App o di altri servizi. Attraverso l’attività di compilazione ed invio di moduli e/o formulari di contatto, Lei volontariamente ci fornisce i suoi dati personali e questi dati vengono usati al solo scopo di perseguire le connesse finalità

Invio di candidature online
In tale contesto si ricomprende, ad esempio, anche l’ipotesi in cui i dati personali sono trasmessi dall’Utente per il tramite della compilazione moduli/formulari di candidatura online accessibili dall’apposita sezione dedicata sul nostro sito web. I dati possono essere trattati in funzione di posizioni aperte, che possono includere sia una singola e specifica posizione, sia ulteriori posizioni. L’Utente è tenuto ad inserire nel formulario online le informazioni richieste dal sistema ed indicate come obbligatorie, Ad esempio, la presenza di campi obbligatori, che trova su alcuni formulari, indica che quel determinato tipo di informazione è necessaria per permetterci di svolgere le attività di ricerca e selezione del personale EOC. I dati personali oggetto di trattamento sono le informazioni presenti nel Curriculum Vitae trasmesso e relative a generalità anagrafiche, titoli di studio, esperienze professionali e di lavoro, inquadramento contrattuale, referenze, mansione, motivazioni al cambiamento, aspirazioni, preferenze ecc. L’Utente ha libera facoltà di allegare ulteriori documenti per integrare le informazioni fornite, quali diplomi, certificati di lavoro e altri documenti inerenti la posizione.

L’EOC ha la facoltà di utilizzare i dati personali del candidato per verificare le informazioni fornite in qualsiasi momento del processo di candidatura e di selezione. Ciò può includere verifiche con i precedenti datori di lavoro, istituzioni accademiche e/o professionali e altri enti e/o agenzie, sia pubbliche, sia private. I dati personali vengono utilizzati e trattati solo nella misura strettamente necessaria e con modalità e procedure idonee al perseguimento delle finalità relative al reclutamento, selezione e valutazione del personale EOC.

I dati personali saranno conservati per il tempo strettamente necessario al corretto adempimento delle finalità sopra indicate. Nello specifico, in caso di assunzione, i dati personali trasmessi dall’Utente vengono condivisi all’interno dell’unità Risorse Umane dell’EOC e delle funzioni operative e manageriali per valutare quanto la candidatura sia in linea con la posizione per la quale l’Utente si è candidato o con possibili altre posizioni, qualora quest’ultimo abbia acconsentito.
L’amministrazione del personale utilizza tali informazioni per la creazione di un archivio (dossier) relativo al nuovo collaboratore, a scopo di gestione dei successivi adempimenti derivanti dal contratto di lavoro. In caso di non assunzione, i dati personali sono conservati nel sistema di regola per un periodo massimo di 12 mesi dal loro ricevimento/ultimo aggiornamento del profilo, dopodiché verranno distrutti e cancellati. Il periodo potrebbe essere più lungo, nel caso l’interessato abbia prestato il proprio consenso alla possibilità di utilizzare e quindi trattare i dati anche per eventuali posizioni differenti e/o future in EOC rispetto a quelle per le quali l’interessato si è originariamente candidato.

L’utente ha la possibilità di registrarsi al fine di ricevere regolarmente notifiche automatiche sulle posizioni inserite sulla piattaforma. In ogni momento l’Utente può cancellarsi dalla lista dei destinatari ti tali notifiche. La mancata iscrizione al servizio di notifica oppure la cancellazione dalla lista dei destinatari non pregiudicano, né riducono in alcun modo la fruizione della piattaforma.
Con l'eliminazione dell'ultima candidatura presente sul profilo dell'Utente, anche il profilo viene automaticamente, definitivamente ed integralmente cancellato. L’Utente può richiedere in ogni momento la cancellazione sicura e definitiva, parziale e/o definitiva, dei dati personali. Alla richiesta viene dato seguito senza ritardo, ma in ogni caso entro 30 giorni dall’esercizio del diritto alla cancellazione.

In ogni caso, i criteri utilizzati per determinare il periodo di conservazione possono esser legati al consenso espresso dell’Utente/interessato, alla durata delle attività di ricerca e selezione del personale, allo svolgimento di studi e ricerche statistiche oppure sono prescritti dalla Legge. Il Titolare del trattamento, anche mediante controlli periodici, verificherà regolarmente la stretta pertinenza, non eccedenza e indispensabilità dei dati personali conservati rispetto alle finalità indicate, anche con riferimento alle ulteriori informazioni fornite di propria iniziativa dai soggetti interessati.

B. Dati provenienti da terzi 

A determinate condizioni, è possibile che l’EOC raccolga anche dati non presso gli interessati. In questi casi raccogliamo esclusivamente i dati utili per la fornitura di prestazioni sanitarie, di assistenza e per la preparazione e l'esecuzione dei contratti anche da altri fornitori di servizi, assicurazioni sociali o private, autorità, altri operatori sanitari, suoi familiari e parenti o altri terzi.

Possiamo anche raccogliere dati da fonti pubblicamente disponibili (ad es. registro delle esecuzioni, registro fondiario, registro di commercio, media o Internet, compresi i social network) o riceverli (i) dalle autorità, (ii) dal suo datore di lavoro o committente che ha un rapporto d'affari con noi o che è in altro modo in contatto con noi, e (iii) da altri terzi (ad es. istituti di credito, fornitori di indirizzi, associazioni, appaltatori, servizi di analisi Internet). Ciò comprende in particolare i dati che elaboriamo in relazione alla preparazione, alla conclusione e all'esecuzione di contratti, nonché i dati provenienti dalla corrispondenza e dai colloqui con terzi, nei limiti posti dalla legge. 

6. Per quali finalità e secondo quali basi legali trattiamo i dati personali?

A. Obiettivo: la cura dei pazienti
L’EOC, in quanto ente di diritto pubblico cantonale titolato alla gestione degli ospedali pubblici nel Canton Ticino, raccoglie, organizza, struttura e conserva i dati personali con l’obiettivo primario di garantire alla popolazione le strutture stazionarie ed i servizi medici necessari.

B. Finalità del trattamento
Il trattamento dei dati personali avviene soltanto per scopi determinati, riconoscibili ed in modo compatibile con tali scopi. 
Tutte le informazioni sono trattate dall’EOC nel rispetto dei principi fondamentali in materia di protezione dei dati personali (art. 6, LPD) e per il perseguimento di una o più delle seguenti finalità di trattamento e motivi giustificativi:

• erogazione delle prestazioni medico-sanitarie necessarie e degli altri servizi richiesti ai fini della cura del paziente;
• prevenzione e tutela della salute (segnatamente attività di diagnosi, cura, riabilitazione, assistenza o terapia sanitaria o sociale);
• attività amministrativo-contabili strettamente connesse e strumentali alle prestazioni erogate e, in generale, alla gestione dei rapporti con il paziente (accettazione, prenotazione di visite ed esami, gestione incassi e pagamenti, ecc.);
• attività amministrative inerenti la gestione dei rapporti con il collaboratore professionisti della salute;
• pianificazione e gestione delle attività sanitarie sul territorio;
• eventuali attività di ricerca e sperimentazione scientifica in ambito medico, biomedico ed epidemiologico – previo specifico consenso del Paziente per ciascun protocollo di ricerca - salvo per quei pazienti di cui l’EOC dispone già di un consenso generale. In particolare, si specifica che per tale particolare finalità, in ogni caso i dati raccolti saranno successivamente resi anonimi per l’utilizzo ai fini di ricerca medico-scientifica;
• attività didattiche e di formazione professionale, inclusa la possibile consultazione da parte di studenti autorizzati e/o tirocinanti, adeguatamente istruiti e resi edotti sulle conseguenze di un uso inadeguato dei dati, coinvolti nell’erogazione di prestazioni sanitarie;
• attività di verifica, promozione e miglioramento della qualità e sicurezza dei pazienti;
• per la preparazione, gestione, esecuzione e conclusione di rapporti contrattuali, includendo identità, contatti, dati sanitari e informazioni di terzi;
• per comunicare tramite vari mezzi, inclusi contenuti, dati di contatto e registrazioni audio/video;
• per scopi di relazioni pubbliche e promozione della salute pubblica;
• per analizzare comportamenti e preferenze anonimamente, al fine di migliorare servizi;
• per gestire il sito web e le nostre tecnologie digitali in modo sicuro
• per offerte e servizi specifici che richiedono registrazione;
• per garantire la sicurezza informatica e prevenire abusi;
• per rispettare leggi, normative e standard interni;
• per la gestione del rischio;
• per valutare profili lavorativi (candidature);
• per far valere e difendere diritti legali.

C. Quadro giuridico di riferimento
Nel trattare i suoi dati personali, operiamo principalmente in conformità con la Legge sulla protezione dei dati personali del Cantone Ticino (LPDP), la Legge sull'EOC (LEOC), la Legge sulla promozione della salute e il coordinamento sanitario (LSan) e in relazione ai mandati di servizio assegnati dal Cantone Ticino. Siamo altresì vincolati dalle disposizioni della Legge federale sulla protezione dei dati (LPD) per le attività regolate dal diritto privato. A seconda delle circostanze, potremmo anche essere soggetti al Regolamento (UE) 2016/679 (RGPD). L'applicabilità di queste leggi dipende dalla specificità di ogni singolo caso.

D. Basi legali
L’EOC, in particolare, tratta i dati personali se

• la persona interessata ha fornito il proprio consenso al trattamento;
• il trattamento sia necessario per l’adempimento di obblighi e doveri derivanti dalla Legge;
• il trattamento è necessario per la preparazione e la conclusione di contratti e per la loro amministrazione ed esecuzione;
• il trattamento è necessario per l'adempimento di interessi legittimi perseguiti da noi o da terzi da noi incaricati;
• il trattamento è essenziale per l'esecuzione di un compito di interesse pubblico o relativo alla forza pubblica che ci è stato affidato;
• il trattamento è prescritto o autorizzato dal diritto del SEE o degli Stati membri;
• il trattamento è essenziale per salvaguardare gli interessi vitali della persona interessata o quelli di altre persone fisiche;

7. Chi sono i destinatari dei dati?

Spesso il rapporto tra terapeuta e paziente necessita del coinvolgimento anche di terzi soggetti quali ad es. laboratori, servizi informatici, servizi di fatturazione e valutazione delle richieste assicurative, l'accesso a competenze mediche specifiche tramite altri professionisti che operano nel contesto sanitario. La comunicazione e la condivisione di informazioni tra gli operatori e i professionisti della salute costituiscono presupposti essenziali per permettere la migliore interoperabilità dei dati in modo da fornire ai pazienti cure e trattamenti di qualità ed un’assistenza efficace ed efficiente.

Per questo l’EOC può condividere informazioni e dati personali non solo internamente, ma anche con altre figure professionali che lavorano in stretto coordinamento con le attività svolte preso le nostre strutture.
In particolare, l'EOC può comunicare o condividere dati previo consenso del paziente oppure nell'adempimento di specifici obblighi di legge con le seguenti categorie di soggetti destinatari:

A.    destinatari interni all’EOC (lista non esaustiva):

• personale operativo specializzato interno facente parte del cerchio di cura del paziente (medici, infermieri, farmacisti, fisioterapisti, biologi, chimici, psicologi, logopedisti ed ogni altro operatore sanitario, compresi i loro ausiliari, studenti ed apprendisti);
• personale amministrativo interno incaricato dell’esercizio di specifiche attività di gestione e direzione (es. Servizi di qualità, Segretariati medici, Servizio del medico di fiducia EOC, Risorse Umane, Servizi di finanze e controlling, Gruppo Legal & Compliance, Servizi di sicurezza, Servizi ICT);
• soggetti che forniscono servizi per la gestione dei sistemi informativi e di telecomunicazione usati dal titolare del trattamento per l’organizzazione, la programmazione, la realizzazione, l’esecuzione delle attività di gestione.

B.    destinatari esterni all’EOC (lista non esaustiva):

• medici esterni (es. medico di famiglia, medici aggiunti);
• enti assicurativi e previdenziali e servizi di incasso; 
• altri enti sanitari e ospedalieri pubblici e privati;
• fornitori di prodotti e servizi (con contratto di fornitura di personale a prestito); 
• ditte farmaceutiche e/o ditte produttrici di dispositivi medici;
• liberi professionisti che prestano servizi al titolare del trattamento in qualità di mandatari del trattamento oppure che operano in qualità di titolari autonomi;
• soggetti appartenenti ad autorità di vigilanza e di controllo;
• tutti i soggetti rientranti in un contratto di mandato o di appalto e non rientranti nelle categorie sopra elencate per i quali esiste un obbligo legale di comunicazione da parte dell'EOC o altri soggetti di cui si acquisiscono specifiche autorizzazioni sulla base di apposite richieste (es. in base alla legge oppure da parte degli interessati).

In ogni caso, tutti i destinatari dei dati personali hanno accesso esclusivamente ai dati necessari per lo svolgimento delle proprie attività e dei propri compiti e sono obbligati, per legge o in base a specifici accordi di riservatezza, a mantenere la confidenzialità riguardo qualsiasi informazione appresa in ragione della propria funzione lavorativa.

Inoltre l’EOC tratta i dati personali principalmente e preferibilmente sul territorio svizzero. Tuttavia è possibile che i dati personali siano trattati anche all'estero, in altri Paesi (es. strumenti Microsoft e sistemi Cloud) a condizione che questi presentino gli adeguati livelli di sicurezza previsti dalla legge oppure forniscano adeguate garanzie a tutela dei dati personali.

Ogni scambio di informazioni o trasferimento di dati viene realizzato nel rispetto delle disposizioni di legge sulla protezione dei dati e/o di leggi speciali applicabili e coinvolgono solo terze parti che aderiscono a standard rigorosi di sicurezza volti a tutelare e garantire gli interessi ed i diritti fondamentali degli interessati. 
 

8. Come gestiamo i dati personali nel contesto dei servizi digitali? 

A. Sito web dell’EOC: Cookie e tecnologie simili
In generale il trattamento dei dati personali sul nostro sito web è limitato ai dati necessari per la fornitura di un sito web funzionale con contenuti e servizi di facile utilizzo. Durante la visita del sito web dell’EOC, i sistemi informatici e le procedure software preposte al suo funzionamento acquisiscono nel corso del loro normale esercizio – ovvero in automatico, senza necessità che l’Utente compia un’azione specifica - alcuni dati che riguardano l’Utente in navigazione. L’utilizzo di tali dati è implicito nell'uso dei protocolli di comunicazione Internet oppure può esser finalizzato al miglioramento della qualità del servizio offerto, ad esempio possiamo utilizzare i dati di navigazione, cookie e altre tecniche simili (come i “pixel di tracciamento”, v. punto 4, lett. C) per riconoscere i visitatori del nostro sito web, valutare il loro comportamento e identificare le loro preferenze.

Durante la visita sul sito web dell’EOC, i sistemi informatici e le procedure software preposte al suo funzionamento acquisiscono nel corso del loro normale esercizio – ovvero in automatico, senza necessità che l’Utente compia un’azione specifica - alcuni dati personali che la riguardano la cui trasmissione è implicita nell'uso dei protocolli di comunicazione Internet oppure è utilizzata per migliorare la qualità del servizio offerto.

Inoltre possiamo utilizzare dati di navigazione, cookie e altre tecniche simili (v. punto 4, lett. C) per riconoscere i visitatori del nostro sito web, valutare il loro comportamento e identificare le loro preferenze. 

Questi dati ed informazioni sono utilizzati per:

• garantire la corretta visualizzazione dei contenuti del nostro sito web;
• analizzare statisticamente questi dati in formato anonimo al fine di migliorare i servizi offerti e la sicurezza dei dati stessi;
• garantire la funzionalità duratura della nostra infrastruttura IT e della tecnologia del nostro sito web;
• migliorare e ottimizzare i contenuti del nostro sito web;
• tenere traccia dei dati di un utente e della sua navigazione nella pagina web in cui è situato;
• esser in grado di – in caso di attacchi informatici –fornire alle forze dell’ordine le informazioni necessarie per le indagini, ispezioni, ecc.

I dati tecnici che raccogliamo e i cookie che utilizziamo non contengono, di norma, dati personali. Tuttavia, i dati personali memorizzati da noi o da terzi incaricati (ad esempio, quando l'utente dispone di un account utente presso di noi o presso un determinato fornitore) possono essere combinati con i dati tecnici o con i cookie memorizzati e con le informazioni che lo riguardano, il che può consentire di stabilire una relazione con l'utente.

Utilizziamo anche social plug-in. Si tratta di piccole estensioni che stabiliscono una relazione tra la visita dell’utente al nostro sito web e un altro provider. Il social plug-in informa il provider che ha visitato il nostro sito web e può inviare loro i cookie che sono stati precedentemente memorizzati nel browser dell’utente. Per saperne di più su come questi fornitori utilizzano i suoi dati personali raccolti tramite i loro social plug-in, consulti le loro dichiarazioni sulla protezione dei dati.

Sul nostro sito web utilizziamo anche strumenti e servizi di fornitori terzi (che possono anch'essi utilizzare i cookie), per migliorare alcune funzionalità ed alcuni contenuti (ad esempio per integrare video o mappe o tramite collegamenti alle nostre pagine sui social media, LinkedIn, Instagram e Facebook), produrre statistiche o collegare pubblicità. Tali fornitori terzi possono avere sede al di fuori della Svizzera. Le informazioni sulla comunicazione dei dati all'estero sono riportate al punto 7, lett. B. Ulteriori informazioni sono contenute nelle dichiarazioni sulla protezione dei dati dei singoli terzi. Un esempio in tal senso può esser l’utilizzo dei social plug-in, ovvero di piccoli moduli software con i quali è possibile stabilire un collegamento del nostro sito web ai social media. Il social plug-in informa il provider che ha visitato il nostro sito web e può inviare loro i cookie che sono stati precedentemente memorizzati nel browser dell’Utente. Per saperne di più su come questi fornitori utilizzano i dati personali raccolti possono consultarsi le loro dichiarazioni sulla protezione dei dati.

I dati raccolti vengono elaborati solo per gli scopi dichiarati e successivamente cancellati o resi anonimi.

Per maggiori informazioni ed ulteriori dettagli vi invitiamo a leggere la nostra Cookie Policy.

B. Pagine di social network
Sui social network e su altre piattaforme gestite da terzi, gestiamo pagine e manteniamo una presenza online. In questo contesto, possiamo trattare i dati che la riguardano. Possiamo ricevere dati da lei (ad esempio, quando comunica con noi o commenta i nostri contenuti) o dalla piattaforma (ad esempio, statistiche). 

Gli operatori della piattaforma possono analizzare l'utilizzo della piattaforma da parte dell'Utente ed elaborare questi dati insieme ad altri dati in loro possesso. Inoltre, elaborano questi dati per i loro scopi (ad esempio, analisi di marketing e di mercato, gestione delle loro piattaforme). In questo modo, agiscono sotto la propria responsabilità. Le dichiarazioni sulla protezione dei dati di ciascuna piattaforma forniscono ulteriori informazioni in merito.

Abbiamo il diritto, ma non l'obbligo, di controllare i contenuti di terzi dopo che sono stati pubblicati sulle nostre pagine online, di cancellare i contenuti senza preavviso e, se del caso, di segnalarli al gestore della piattaforma.

Alcuni gestori di piattaforme possono avere sede al di fuori della Svizzera. Per informazioni sul trasferimento dei dati all'estero, consultare il punto 7, lett. B.

9. In che modo proteggiamo i dati personali e come tuteliamo la privacy?

A. Protezione dei dati personali
Adottiamo misure di sicurezza di natura tecnica e organizzativa per garantire la sicurezza dei dati personali, per proteggerli da trattamenti non autorizzati o illeciti e per contrastare il pericolo di perdita, alterazione accidentale, divulgazione involontaria o accesso non autorizzato, nei limiti consentiti dalla natura e dalla gestione del rischio.

Ad esempio, in generale, utilizziamo misure di sicurezza tecniche come la crittografia, l’anonimizzazione e la pseudo-anonimizzazione dei dati, la registrazione dei logs, le limitazioni di accesso tramite password ed il salvataggio di copie di sicurezza (back-up). Invece le misure di sicurezza di tipo organizzativo solitamente comprendono contratti e clausole di riservatezza, direttive e protocolli interni, formazioni mirate e controlli periodici. Inoltre selezioniamo i soggetti terzi, nostri responsabili del trattamento, obbligandoli a garantire un adeguato livello di sicurezza dei dati ed in generale assicurandoci il loro impegno al rispetto della normativa sulla protezione dei dati.

Le nostre misure di sicurezza corrispondono allo stato attuale della tecnica e tengono conto degli standard internazionali generalmente riconosciuti.

B. Tutela della privacy
Nell'ambito delle attività dell'EOC, riconosciamo che la privacy va ben oltre la semplice protezione dei dati. All'interno delle nostre strutture, la tutela della sfera privata e intima di ogni individuo è di fondamentale importanza. La nostra responsabilità estende la protezione non solo ai pazienti, ma anche ai collaboratori, visitatori e a chiunque interagisca all'interno dei nostri spazi.

La sfera privata di un individuo non si limita alla protezione dei dati personali. Essa include anche la protezione dell’individuo contro eventuali intrusioni fisiche, come la cattura non autorizzata di immagini, video o registrazioni. Pertanto, comportamenti che possono violare la privacy, come la fotografia, la registrazione video o sonora, sono severamente proibiti all'interno delle nostre strutture, indipendentemente dal mezzo utilizzato, inclusi telefoni cellulari, fotocamere o qualsiasi altro dispositivo elettronico.

Si evidenzia che le nostre strutture sono primariamente luoghi di cura. Come tale, ogni individuo ha il diritto di sentirsi al sicuro, rispettato e protetto. Questo significa che qualsiasi comportamento, inclusi post sui social media (media sociali), che può ledere la dignità, l'intimità o la personalità di una persona, è strettamente e severamente vietato.

Nelle strutture dell'EOC, la tutela della sfera privata è essenziale per garantire un ambiente sicuro e curativo. In presenza di situazioni non conformi alle nostre normative, il personale dell'EOC è autorizzato a intraprendere azioni adeguate allo scopo di mantenere il rispetto e la sicurezza. Si richiede la collaborazione di ogni individuo per assicurare l'integrità dell'ambiente all'interno delle nostre strutture. 

10. Quali sono i diritti delle persone interessate?

Ogni persona interessata (v. punto 2, lett. E) dispone di alcuni diritti in relazione al trattamento dei propri dati personali.
In particolare, a seconda della legge applicabile, ogni soggetto interessato ha il diritto di:

• richiedere l’accesso ai propri dati personali (diritto di accesso)
• richiedere l’aggiornamento/modifica/correzione dei propri dati personali inesatti o incompleti (diritto di rettifica);
• richiedere la cancellazione o l’anonimizzazione dei propri dati personali (diritto alla cancellazione);
• richiedere la limitazione del trattamento dei propri dati personali, qualora il trattamento non sia (più) necessario (diritto di limitazione); 
• richiedere di ricevere i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico (diritto alla portabilità dei dati);
• revocare il consenso con effetto per il futuro, se i dati personali siano sulla base di un consenso (diritto di revoca);
• richiedere l’interruzione della trasmissione/comunicazione dei propri dati personali, nelle ipotesi consentite (diritto di opposizione).

Si prega di notare che l’esercizio di questi diritti può essere soggetto a limitazioni o esclusioni a seconda dei casi previsti dalla Legge (p. es. qualora vi siano dubbi sull’identità del Richiedente o se dall’esercizio del diritto possano derivare lesioni dei diritti di altre persone o per salvaguardare interessi degni di protezione o semplicemente per rispettare alcuni obblighi legali).

Per esercitare tali diritti occorre farne richiesta per iscritto. Si avvisa che, per rispondere alle richieste relative all’esercizio dei diritti summenzionati, L’EOC ha la facoltà di prendere misure adeguate per identificare il Richiedente (ad esempio, se necessario, tramite una copia del documento d'identità) e quest’ultimo è tenuto a cooperare. In linea con la Legge sulla protezione dei dati, le informazioni vengono di norma fornite a titolo gratuito ma possono essere presi in considerazione dei costi laddove la comunicazione richiedesse un onere sproporzionato.

In ogni caso qualora vi siano dubbi o domande sull’esercizio dei diritti o sul contenuto del presente documento Vi invitiamo preventivamente a mettervi in contatto con noi (v. punto 12). Qualora si fosse residenti nel SEE, si può ricorrere anche alle relative autorità per la protezione dei dati del proprio Paese. L'elenco di tali autorità è disponibile sul sito https://edpb.europa.eu/about-edpb/about-edpb/members_fr.

11. Per quanto tempo conserviamo i dati personali?

Per principio conserviamo i dati personali per un periodo di tempo non superiore a quello necessario al conseguimento delle finalità per le quali i dati sono stati raccolti (v. punto 6). Tuttavia in alcuni casi è la Legge stessa ad indicarci quali sono i periodi di conservazione dei dati personali oppure abbiamo facoltà di far valere nostri specifici interessi legittimi che possono prevedere un allungamento dei termini di conservazione.

I criteri ed i termini legali di conservazione dei dati personali possono variare. Alcuni esempi sono:

• nel caso di dati contenuti nel dossier personale, nei certificati di salario o nelle registrazioni dell’orario di lavoro il periodo di conservazione previsto per Legge è di 5 anni (art. 330a CO in combinato disposto con l’art. 128 CO/art. 46 Legge sul lavoro (LL) e art. 73 Ordinanza 1 concernente la legge sul lavoro (OLL 1), mentre nei documenti inerenti la medicina del lavoro devono esser conservati per 40 anni (Allegato 4 al Codice deontologico della FMH);
• I dati contenuti nei documenti aziendali (come fatture, documenti relativi alle imposte o giustificativi delle spese) possono esser conservati per almeno 10 anni (artt. 958 e 958f CO), mentre le registrazioni del log di accesso sono conservati per almeno un anno e sono accessibili esclusivamente agli organi e alle persone incaricate di verificare l’applicazione delle disposizioni in materia di protezione dei dati o di salvaguardare o ripristinare la confidenzialità, l’integrità, la disponibilità e la tracciabilità dei dati e sono utilizzati soltanto a tale fine; la conservazione dei dati degni di particolare protezione inclusi nella cartella sanitaria devono esser conservati per almeno 20 anni (combinato disposto art. 128a CO e art. 67, cpv 4, LSan) tratta i dati personali nel rispetto dei principi di buona fede, proporzionalità e di minimizzazione, per tutto il tempo necessario al raggiungimento delle finalità.

Premesso quanto sopra, in assenza di obblighi legali o contrattuali o di ragioni tecniche e/o di sicurezza contrarie, al termine del periodo di conservazione i dati personali saranno cancellati o resi completamente anonimi.

12. Come mettersi in contatto con noi?

Per le domande generiche relative alla protezione dei dati personali, il titolare del trattamento può essere contattato
tramite indirizzo e-mail [email protected]. 

Per le richieste relative all’esercizio dei diritti, nella specie il diritto d’accesso (art. 25 LPD) ed il diritto alla portabilità dei dati (art. 28 LPD), possono esser inoltrate allegando copia del proprio documento d’identità:

• per iscritto tramite posta ordinaria al seguente indirizzo:
  Data Protection Compliance Officer (DPCO) c/o Direzione generale EOC, Viale Officina 3 - CP 1437, CH-6501 Bellinzona;
• oppure al seguente indirizzo di posta elettronica: [email protected].

Si avvisa che, per ragioni di sicurezza, nell’elaborare le richieste l’EOC può adottare misure appropriate al fine di verificare preventivamente l’identità del soggetto interessato istante (Art 16, co 5, OPDa).