Privacy

Caro Utente,

la normativa in materia di privacy (in particolare il Regolamento UE 2016/679, il “Regolamento Generale sulla Protezione dei Dati” – noto con l’acronimo inglese “GDPR”) richiede di fornirti le seguenti informazioni sul trattamento dei tuoi Dati Personali, ai sensi dell’art. 13 del GDPR.

Il “Trattamento di Dati Personali”, in parole semplici, è una qualsiasi operazione riguardante qualunque “informazione relativa a persona fisica, identificata o identificabile”. Ad esempio, nome e cognome, o un indirizzo e-mail con un “nome utente” che ti identifichi (es. mariorossi@….), è considerato “Dato Personale”, e l’atto di raccoglierlo e registrarlo è considerato “Trattamento”; così anche (sempre ad esempio) la comunicazione ad altri soggetti e la cancellazione.

Tu, in quanto “persona fisica a cui si riferiscono i Dati Personali“, sei definito “Interessato”, e hai diritto di ricevere le seguenti informazioni su chi tratta i tuoi dati, sul perché, su come e per quanto tempo, e su quali obblighi e diritti tu hai in merito.

CAROL S.r.l., CF/P.IVA 16350161002, con sede legale Via Eleonora Pimentel, 2 – 00195 Roma, REA RM-1651076, capitale sociale Euro 12.595 i.v., in persona del legale rappresentante pro tempore, di seguito per brevità anche “la Società“.

Gli Utenti e/o i Beneficiari dei servizi informatici forniti da Carol (via web o app), come definiti nei Termini e Condizioni, inclusi i loro familiari eventualmente aggiunti al nucleo di servizio.

I dati personali, compresi quelli di natura particolare, sono trattati per le seguenti finalità:

1. registrazione dell’utente alla piattaforma: soddisfare la tua richiesta di registrazione alla piattaforma, sulla base della necessità di adempimento di misure precontrattuali – art. 6 § 1.b GDPR;
2. utilizzare i servizi messi a disposizione via web o app, sulla base della necessità di eseguire i termini e condizioni del servizio – art. 6 § 1.b GDPR;
3. monitoraggio tecnico della piattaforma e miglioramento dell’esperienza utente: per garantire il corretto funzionamento tecnico del servizio, rilevare anomalie applicative e migliorare l’usabilità della piattaforma, Carol impiega strumenti di osservabilità (log monitoring e session replay su dispositivo mobile). Il session replay è configurato con opzioni di mascheramento dei campi sensibili; i log applicativi sono sottoposti a rilevazione e redazione automatica dei dati identificativi configurati (Sensitive Data Scanner). Tali trattamenti sono qualificabili come pseudonimizzazione/redazione parziale e non come anonimizzazione completa. La base giuridica è il legittimo interesse del titolare ex art. 6 § 1.f GDPR, ravvisabile nella necessità di garantire la qualità tecnica del servizio, con impatto sui diritti degli interessati contenuto in ragione delle misure di minimizzazione adottate;
4. svolgimento delle attività necessarie per la diagnosi, l’anamnesi, la cura, la terapia sanitaria, la riabilitazione o per qualsiasi altra prestazione di natura medica o sanitaria richiesta, anche farmaceutiche e specialistiche – art. 6 § 1.b GDPR e art. 9 § 2.h GDPR;
5. per la refertazione, per la consulenza, per consulti o collaborazioni per la gestione di problemi clinici — art. 6 § 1.b GDPR e art. 9 § 2.h GDPR;
6. attività amministrative connesse ai servizi alle prestazioni di natura medica o sanitaria (a mero titolo esemplificativo e non esaustivo l’invio di comunicazioni promemoria volte a ricordare al paziente registrato la data di prenotazione di appuntamenti e/o televisite; a fornire le indicazioni al paziente registrato per la preparazione agli appuntamenti e/o televisite; l’invio di comunicazioni relative alla disponibilità dei referti ecc.) – art. 6 § 1.b e art. 9 § 2 lettera i) GDPR art. 2-sexies comma 2 lett. t) d. lgs. n. 196/2003;
7. condivisione dei dati clinici mediante il Dossier Sanitario (vedi Glossario); la base giuridica è la necessità di perseguire finalità di diagnosi, assistenza o terapia sanitaria, sotto la responsabilità di un professionista soggetto al segreto professionale (art. 9 § 2.h GDPR (in combinato disposto con l’art. 6 § 1.f GDPR (legittimo interesse del titolare alla continuità assistenziale).
8. consultazione dei dati contenuti nel Dossier Sanitario qualora ciò sia ritenuto indispensabile per la salvaguardia della salute di un terzo o della collettività (ad esempio, nei casi di rischio di insorgenza di patologie su soggetti terzi) – art. 9 § 2.i GDPR.
9. statistiche relative all’effettivo utilizzo delle prestazioni di Carol da parte degli Utenti (in via esemplificativa in base a rilevazioni inerenti alle percentuali per età e genere, per tipologia familiare, per tipologia prestazionale, per giorni della settimana e fascia oraria etc.). Tale trattamento viene effettuato con misure tecniche e organizzative volte a garantire il principio della minimizzazione dei dati, con misure di aggregazione e minimizzazione volte a ridurre al minimo la reidentificabilità degli interessati; nella misura in cui i dati risultino effettivamente anonimi ai sensi del Considerando 26 GDPR, essi esulano dall’ambito di applicazione del GDPR;
10. invio della newsletter, di materiale informativo e/o promozionale, tramite e-mail, notifiche push e altri canali digitali, sulla base del consenso esplicito – art. 6 § 1.a GDPR;
11. individuare e definire le preferenze, le abitudini, i bisogni e le scelte della tua persona (cd. profilazione), sulla base del consenso esplicito ex art. 9 § 2.a GDPR, che potrà essere revocato in qualsiasi momento. Tale consenso è facoltativo. Si specifica che la profilazione non è basata sulla rilevazione diretta di dati di salute e/o riferibili alle prestazioni mediche.
12. adempiere ad obblighi previsti dalla Normativa Applicabile (contabili, fiscali, di sicurezza ecc.) e/o eseguire ordini impartiti da Autorità – art. 6 § 1.c GDPR.
13. accertare, esercitare e/o difendere un diritto nelle sedi competenti, sulla base del legittimo interesse – art. 6 § 1.f GDPR.

L’Applicazione non fornisce a terzi i dati personali, se non nelle misure necessarie descritte di seguito.

I dati possono essere comunicati a:

• soggetti necessari per l’esecuzione delle attività connesse e conseguenti all’esecuzione del contratto (es. fornitori di servizi informatici) o partner tecnologici che supportano l’esecuzione di servizi accessori (es. prenotazione online presso strutture convenzionate) che agiscono come Responsabili del Trattamento;
• personale interno autorizzato, impegnato alla riservatezza o destinatari di un obbligo giuridico alla riservatezza;
• medici e professionisti sanitari operanti presso Carol S.r.l. che abbiano svolto o svolgano prestazioni in occasione di eventi clinici trattati all’interno della Società, mediante messa a disposizione tramite il Dossier Sanitario, limitatamente ai professionisti che hanno in cura il paziente nel momento specifico della prestazione e secondo il principio di segregazione per competenza specialistica;
• laboratori di Analisi, Centri Diagnostici, Poliambulatori nel caso in cui la prenotazione avvenga tramite i servizi Carol; 
• strutture del Servizio Sanitario Regionale e Nazionale e convenzionate;
• consulenti (a titolo esemplificativo studi legali, commercialisti, consulenti del lavoro, ecc.) che svolgono attività in outsourcing per conto del Titolare;
• compagnie di assicurazione, previdenza e assistenza;
• organizzazioni pubbliche e Autorità, se e nei limiti in cui ciò sia richiesto dalla normativa applicabile o da loro ordini, o per l’esercizio, l’accertamento e/o la difesa di un diritto in sede giudiziaria;
• amministratori di dominio e/o i rivenditori terzi che forniscono assistenza alla fruizione del servizio all’Utente.

Sì, come segue.

Per l’erogazione di alcuni servizi tecnologici (gestione dell’identità e dell’autenticazione, messaggistica, videoconsulto, customer care, elaborazione pagamenti), Carol utilizza servizi di società stabilite al di fuori dello Spazio Economico Europeo, in particolare negli Stati Uniti. In tali casi, il trasferimento è effettuato sulla base di una o più delle seguenti garanzie: decisione di adeguatezza della Commissione Europea (es. Data Privacy Framework UE-USA del 10 luglio 2023); clausole contrattuali standard ai sensi dell’art. 46 § 2 lett. c GDPR (Decisione di esecuzione UE 2021/914); misure tecniche e organizzative supplementari conformi alle Raccomandazioni EDPB 01/2020.

In generale ci assicuriamo che i trasferimenti di dati avvengano unicamente verso paesi che garantiscano un livello di protezione adeguato, per i quali esista una decisione di adeguatezza della Commissione Europea, o sulla base di una delle altre garanzie previste dal capo V del GDPR. 

Alcuni dei nostri professionisti sanitari potrebbero operare da paesi al di fuori dello Spazio Economico Europeo. In tali casi, Carol garantisce che il trattamento avvenga esclusivamente attraverso i propri sistemi sicuri, senza alcun salvataggio locale dei dati, e che ogni trasferimento sia legittimato da adeguate garanzie come le Clausole Contrattuali Standard della Commissione Europea, corredate da rigorose misure di sicurezza tecniche e organizzative per assicurare un livello di protezione dei dati sostanzialmente equivalente a quello europeo. 

I dati personali saranno conservati secondo le seguenti tempistiche, relazionate alle finalità:

1. dati sanitari (referti, anamnesi, prescrizioni, contenuto del dossier sanitario): conservazione per il tempo necessario alla finalità di cura e, successivamente, per il periodo previsto dalla normativa per la responsabilità professionale sanitaria (dieci anni dalla cessazione del rapporto, ai sensi della disciplina sulla prescrizione applicabile – art. 2946 c.c.) o per la tutela dei diritti in sede giudiziaria; 
2. dati amministrativi e contabili (fatture): dieci anni, come da obbligo civilistico e fiscale (art. 2220 c.c.); 
3. dati legati ai consensi (marketing, profilazione): fino a revoca del consenso da parte dell’utente; 
4. dati di registrazione all’account: fino alla cancellazione dell’account da parte dell’utente. La cancellazione è eseguita in due fasi: disattivazione immediata dei dati (soft delete) ed eliminazione definitiva e irrecuperabile entro 30 giorni dalla richiesta, tramite procedura automatizzata. I dati soggetti a obblighi di conservazione normativa vengono nel frattempo conservati in forma anonimizzata e poi eliminati alla scadenza del termine applicabile, fatti salvi ulteriori obblighi di legge.

Il conferimento dei dati personali è necessario per la fruizione dei servizi offerti dall’Applicazione ed è finalizzato solo all’erogazione di questi. Un eventuale rifiuto di fornire i dati personali o di acconsentire al loro trattamento, determina l’impossibilità ad erogare i servizi oggetto del contratto.

Il conferimento dei dati per le finalità di Marketing è invece facoltativo: puoi decidere di non conferire alcun dato o di negare successivamente la possibilità di trattare dati già forniti.

Tu, in quanto persona a cui si riferiscono i dati (“Interessato”) hai il diritto di:

• accedere ai dati in possesso del Titolare, e di chiederne copia, salvo nel caso in cui l’esercizio del diritto leda i diritti e le libertà di altre persone fisiche;
• chiedere la rettifica dei dati eventualmente incompleti o inesatti;
• chiederne la cancellazione dei dati, salve le esclusioni o limitazioni stabilite dalla normativa applicabile (es. dall’art. 17 § 3 GDPR);
• chiedere la limitazione del trattamento, ove ricorrano i presupposti e salve le esclusioni stabilite dall’art. 18 § 2 GDPR;
• richiedere la portabilità dei dati (ossia riceverli in un formato strutturato, di uso comune e leggibile da dispositivo automatico, per poterli trasmettere ad altro Titolare senza impedimenti), nei limiti in cui il trattamento sia basato sul consenso o sulla necessità di esecuzione di un contratto, ove tecnicamente possibile e salvo nel caso in cui l’esercizio del diritto leda i diritti e le libertà di altre persone fisiche;
• proporre reclamo al Garante per la Protezione dei Dati Personali (in Italia, www.garanteprivacy.it), o all’Autorità Garante dello Stato dell’UE in cui risiede abitualmente o lavora, oppure del luogo ove si è verificata la presunta violazione.

Diritti specifici relativi al Dossier Sanitario

Con riferimento al Dossier Sanitario, hai i seguenti diritti specifici:

1. opporti alla condivisione degli eventi clinici con i professionisti sanitari operanti in Carol, opponendoti al trattamento inizialmente o in qualsiasi momento successivo;
2. oscurare singoli eventi clinici (cd. “oscuramento”): puoi negare la visibilità, a professionisti diversi da quelli che li hanno prodotti, dei dati relativi a singoli eventi clinici presenti nel tuo Dossier. In tal caso, i soggetti abilitati all’accesso non potranno venire automaticamente a conoscenza del fatto che hai effettuato tale scelta (cd. “oscuramento dell’oscuramento”);
3. conoscere chi ha consultato il tuo Dossier: puoi richiedere l’elenco completo di chi ha consultato il tuo Dossier sanitario. Carol S.r.l. fornirà tale elenco entro il termine massimo di 15 giorni dalla richiesta, indicando: autore dell’accesso, data, ora e documento consultato.

Diritto di opposizione

Puoi opporti al trattamento basato:

1. sul consenso per le finalità di marketing e profilazione, a semplice richiesta, inviando un’e-mail all’indirizzo indicato al punto successivo e, successivamente, utilizzando la funzione di revoca presente in ciascuna comunicazione ricevuta;
2. sul legittimo interesse per la condivisione dei dati mediante il Dossier Sanitario, per motivi connessi alla tua situazione particolare, inviando un’e-mail all’indirizzo indicato al punto successivo. Si avverte che l’opposizione al Dossier Sanitario potrà comportare l’impossibilità per i professionisti sanitari di accedere alla tua storia clinica pregressa, con possibili limitazioni nella qualità del percorso di cura;
3. sul legittimo interesse per altre finalità, per motivi connessi alla tua situazione particolare, salva la dimostrazione da parte del titolare di un interesse legittimo cogente e prevalente a norma dell’art. 21 § 1 GDPR.

L’esercizio dei diritti di cui sopra può essere inoltre ritardato, limitato o escluso nei casi previsti dall’art. 2-undecies d. lgs. 196/2003.

Puoi esercitare i tuoi diritti nelle seguenti modalità:

1. Inviando una e-mail all’indirizzo: privacy@carol.health 
2. scrivendo a mezzo posta all’indirizzo: Carol S.r.l., Via Eleonora Pimentel 2, 00195 Roma, all’attenzione del referente privacy.

Il Titolare ha inoltre designato un Responsabile della Protezione dei Dati (“RPD” o “DPO”) che è disponibile per ogni richiesta inerente alla privacy all’indirizzo dpo@carol.health. 

Carol si riserva il diritto di apportare modifiche alla presente Privacy Policy in qualunque momento, dandone pubblicità agli Utenti. Si prega dunque di consultare spesso la specifica sezione del sito e/o della piattaforma, prendendo come riferimento la data di ultima modifica ivi indicata.

Le versioni precedenti della presente informativa sono consultabili nell’archivio dell’Area legale e privacy.

“Dossier Sanitario”: l’insieme dei dati personali generati da eventi clinici presenti e trascorsi che ti riguardano, messi in condivisione logica dai professionisti sanitari che ti assistono, al fine di documentare la tua storia clinica e offrirti un migliore processo di cura. Tale strumento è costituito presso Carol S.r.l. in qualità di unico titolare del trattamento, al cui interno operano più professionisti sanitari (cfr. linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario del 16 luglio 2009, doc. web n. 1634116, e aggiornamento del 4 giugno 2015, doc. web 4084632).

Clicca qui per consultare le versioni precedenti della nostra Privacy Policy.