Policy privacy

1. Definizioni

Nel presente documento si intende per

  1. dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile direttamente o indirettamente;
  2. archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
  3. interessato: persona fisica identificata o identificabile, direttamente o indirettamente;
  4. trattamento: qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di strumenti elettronici, processi automatizzati e applicate a dati personali, come la raccolta, registrazione, organizzazione, strutturazione, conservazione, memorizzazione, adattamento o modifica, consultazione, elaborazione, uso, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione, distruzione di dati anche se non registrati in una banca dati;
  5. dato identificativo: dati personali che permettono l'identificazione dell'interessato;
  6. dato sensibile: dati personali idonei a rilevare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale;
  7. dato anonimo: dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile;
  8. pseudonimizzazione: trattamento di dati personali attribuibili all'interessato solo attraverso ulteriori informazioni aggiuntive, separatamente conservate e sottoposte ad adeguate misure tecniche che non ne consentano l'attribuzione ad una persona identificabile;
  9. misure di sicurezza o di protezione: complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dalla norma;
  10. strumenti elettronici: elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento;
  11. autenticazione informatica: insieme degli strumenti elettronici e delle procedure di verifica anche indiretta dell'identità;
  12. credenziali di autenticazione o di accesso: dati e dispositivi, in possesso di una persona, da questi conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica;
  13. profilo o livello di autorizzazione: insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti;
  14. sistema di autorizzazione: insieme di strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente;
  15. principio di non eccedenza di minimizzazione: utilizzo solo di dati sufficienti al perseguimento dei legittimi fini dichiarati, ma non eccedenti i fini stessi;
  16. principio di esattezza: obbligo del titolare di agire sui dati inesatti rispetto alla finalità dichiarate, di garantire e verificare l'esattezza, aggiornamento e la completezza dei dati trattati, rettificando con tempestività le anomalie riscontrate;
  17. analisi del rischio: utilizzo sistematico di informazioni per identificare le cause e stimare il rischio;
  18. organizzazione internazionale: un'organizzazione e gli organismi di diritto internazionale pubblico ad essa subordinati o qualsiasi altro organismo istituto sulla base di un accordo fra due o più stati;
  19. trattamento a rischio: trattamento di dati personali suscettibile di cagionare un danno fisico, materiale o morale in particolar modo se il trattamento comporta discriminazione, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione o qualsiasi altro danno economico o sociale importante. Viene inoltre considerato trattamento particolarmente a rischio il trattamento di dati sensibili, la valutazione della personalità, preferenze ed interessi personali, affidabilità o comportamento. Infine è trattamento a rischio il trattamento di una notevole quantità di dati personali e un vasto numero di interessati;
  20. tracciabilità: grado in cui i dati hanno attributi che forniscono una registrazione degli accessi ai dati e a tutte le modifiche effettuate ai dati in un contesto di utilizzo specifico.

2. Principi applicabili al trattamento di dati personali

  1. Principio di liceità: ogni trattamento deve trovare fondamento su una delle basi giuridiche indicate all'art. 6 del GDPR consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati. In caso di categorie particolari di dati, quali i dati idonei a rivelare lo stato di salute dell'interessato, il trattamento deve trovare fondamento in una delle basi giuridiche indicate dall'art. 9 del Regolamento.
  2. Principio di correttezza: le modalità di raccolta e di utilizzo dei dati devono essere corrette, come lo stesso trattamento dei dati in tutti i suoi aspetti. Il principio di correttezza è legato anche alla chiarezza e trasparenza delle informative e alla necessità che l'informazione fornita all'interessato sia tale da far comprendere in modo adeguato non solo le modalità del trattamento ma anche le sue conseguenze.
  3. Principio di trasparenza: tracciabilità del dato da parte dell'interessato e modalità operative che tengano conto della possibilità di disclosure in ogni momento a richiesta dell'interessato.
  4. Principio di limitazione delle finalità: gli scopi del trattamento devono essere determinati, espliciti e legittimi. I trattamenti successivi a quelli iniziali non devono avere, salvo eccezioni, finalità incompatibili a quelle originarie.
  5. Principio di minimizzazione dell'uso dei dati: i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità. Il principio di minimizzazione ha una efficacia trasversale e implica una riduzione al minimo del numero dei dati, del tipo di trattamenti, dei soggetti coinvolti e del periodo di conservazione.
  6. Principio di esattezza dei dati: i dati devono essere esatti e, se necessario, aggiornati. Devono essere adottate tutte le misure ragionevoli al fine di cancellare o rettificare tempestivamente i dati inesatti.
  7. Principio della limitazione della conservazione: i dati devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono stati trattati. Unitamente al tempo di conservazione è di dirimente importanza l'individuazione di modalità di conservazione distinte in funzione delle diverse fasi del trattamento.
  8. Principio dell'integrità e della riservatezza: deve essere garantita una adeguata sicurezza del dato personale. L'adozione di misure tecniche e organizzative adeguate protegge il dato da trattamenti non autorizzati o illeciti e lo assicura da perdita, distruzione o danno accidentale.
  9. Principio di accountability: il titolare del trattamento deve essere in grado di dimostrare di aver adottato un complesso di misure giuridiche, organizzative e tecniche idonee a proteggere i dati personali.
  10. Privacy by design e by default: la protezione dei dati personali deve essere garantita fin dalla progettazione e il titolare del trattamento deve tutelare il dato personale sin dalla predisposizione dei sistemi informatici che ne prevedano l'utilizzo. I sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità.

3. Misure organizzative

Ai sensi dell'art. 4, par. 1, n. 7, FASCO e CAPIPECODE in quanto persone giuridiche che determinano le finalità e i mezzi del trattamento di dati personali, sono Titolari del trattamento.

Ad essi incombe l'obbligo di porre in essere tutte le attività previste dal Regolamento e poste direttamente a carico del Titolare dal GDPR medesimo. In particolare, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, di mettere in atto misure organizzative adeguate a garantire, ed essere in grado di dimostrare, il rispetto delle regole e dei principi stabiliti dal Regolamento.

Le misure organizzative riguardano

  1. la definizione di ruoli e responsabilità sia all'esterno, sia all'interno di FASCO e di CAPIPECODE e quindi:
    1. esternamente: la regolamentazione e l'assunzione di adeguate garanzie nei casi di:
      1. contitolarità;
      2. responsabilità del trattamento;
    2. internamente: definizione dei ruoli di
      1. incaricato del trattamento;
      2. responsabile interno del trattamento o data manager;
      3. responsabile della protezione dei dati (DPO);
  2. la definizione di regole di condotta rispetto:
    1. alla scelta più appropriata della base giuridica del trattamento;
    2. alle regole da osservare nell'acquisizione dei dati personali;
    3. alla gestione dei diritti degli interessati e di loro eventuali istanze;
    4. alla gestione di eventuali fenomeni di perdita, distruzione, accesso illegittimo e sottrazione di dati personali.

3.1 Contitolare del trattamento

FASCO e CAPIPECODE hanno stipulato con ANCD e SAGE un accordo di contitolarità e, in ragione dei rapporti istituzionali fra loro esistenti e di contratti di servizio tra le stesse esistenti stabiliscono congiuntamente le finalità e le modalità del trattamento e operano congiuntamente nel trattamento dei dati.

Gli accordi di Contitolarità devono risultare da un contratto. Può trattarsi di una clausola o di un articolo di un contratto più ampio, che regola il rapporto dal quale ha origine il rapporto di contitolarità.

Gli incaricati e i responsabili del trattamento anche se dipendenti di altri contitolari o prestatori di servizio incaricati da altri contitolari qualora trattino dati per le finalità proprie di FASCO e di CAPIPECODE devono comunque seguire la presente policy.

3.2 Responsabili del trattamento

In tutti i casi in cui un terzo soggetto, persona fisica o giuridica che non sia dipendente di FASCO e di CAPIPECODE o comunque sottoposto all'sua autorità gerarchica, tratti i dati per conto di FASCO e di CAPIPECODE il terzo deve essere nominato Responsabile del trattamento.

I trattamenti eseguiti dal Responsabile, ove non abbiano autonoma base giuridica, devono essere compatibili con le finalità del trattamento in forza del quale i dati furono originariamente acquisiti.

A mero titolo esemplificativo, sono nominati Responsabili del trattamento

  1. le compagnie di assicurazione che operano come gestore delle posizioni dei soci di FASCO e di CAPIPECODE;
  2. i fornitori dei servizi amministrativi trasversali a tutta l'attività di FASCO e di CAPIPECODE quali quelli di amministrazione, contabilità e legali;
  3. i prestatori di servizi informatici, in particolare quelli che prevedono l'archiviazione di dati personali in archivi gestiti dal prestatore di servizi (c.d. in cloud);
  4. i professionisti sanitari chiamati ad esprimere un giudizio di conformità tra la prestazione sanitaria di cui si chiede il rimborso e il trattamento sanitario;

La nomina di un Responsabile esterno deve essere fatta secondo il modello allegato alla presente policy. Il modello può essere riprodotto all'interno del contratto con il prestatore di servizi oppure essere contenuto in un atto separato.

Qualora non sia possibile per qualunque ragione utilizzare il modello allegato l'atto di nomina deve comunque indicare e stabilire:

  1. la durata del trattamento;
  2. la natura e la finalità del trattamento;
  3. il tipo di dati personali e le categorie di interessati;
  4. gli obblighi e i diritti in capo a FASCO e a CAPIPECODE.

Il contratto deve altresì prevedere l'impegno del Responsabile:

  1. a trattare i dati personali nel rispetto delle Regole interne e delle politiche generali adottate da FASCO e da CAPIPECODE e seguendo le istruzioni specifiche e particolari date da quest'ultima;
  2. a trattare i dati personali esclusivamente per le finalità previste dal contratto o dalla convenzione;
  3. a compilare e tenere aggiornato il registro dei trattamenti di FASCO e di CAPIPECODE, ovvero a tenerne uno proprio, rendendolo accessibile alla predetta società;
  4. a nominare i soggetti incaricati del trattamento e garantire che i dati trattati siano portati a conoscenza soltanto del personale incaricato del trattamento salvo che sia diversamente previsto da un obbligo inderogabile di legge;
  5. a garantire e documentare che le persone incaricate del trattamento dei dati personali si siano impegnate alla riservatezza ovvero abbiano un obbligo legale o deontologico alla riservatezza;
  6. a garantire e documentare l'adozione di misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio connesso al trattamento; la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
  7. a garantire i diritti degli interessati ovvero a provvedere direttamente a soddisfare eventuali richieste degli stessi che siano manifestazione di un diritto loro attribuito dalla normativa vigente;
  8. a cancellare o restituire a FASCO e a CAPIPECODE tutti i dati personali alla scadenza del contratto salvo che vi sia un obbligo stabilito da una diposizione inderogabile di legge che preveda la conservazione dei dati da parte del Responsabile esterno;
  9. a consentire le attività di audit, comprese le ispezioni, da parte di FASCO e di CAPIPECODE o da un altro soggetto da questo incaricato.

3.2.1 Sub Responsabili del trattamento

Il GDPR all'art. 28, par. 4 consente ai Responsabili del trattamento la nomina di sub-responsabili per specifiche attività di trattamento.

Nel contratto tra FASCO e CAPIPECODE e il Responsabile deve prevedersi che questa nomina, nel rispetto del principio di minimizzazione, deve essere consentita solo qualora la nomina del Sub Responsabile riguardi attività o parti di attività e quindi di trattamento resi necessari dagli obblighi contrattuali che legano FASCO e CAPIPECODE e Responsabile primario e purché il Responsabile garantisca che il Sub Responsabile assicuri l'adempimento di tutti gli obblighi e rilasci la medesima garanzie e assicurazioni di cui al contratto tra FASCO e CAPIPECODE e Responsabile.

Resta una scelta di FASCO e CAPIPECODE consentire la nomina di un Sub-Responsabile mediante autorizzazione generale ovvero sottoporla ad autorizzazione di volta in volta. È tuttavia raccomandabile che l'autorizzazione generale sia data solo a Responsabili che diano sufficienti garanzie di affidabilità o in ragione di rapporti pregressi con FASCO e CAPIPECODE o per la reputazione di cui il Responsabile gode nel mercato.

Il contratto tra FASCO e CAPIPECODE e Responsabile del trattamento deve comunque prevedere l'obbligo del Responsabile di comunicare il nominativo e i dati di contatto del Sub-Responsabile

4. Principi di organizzazione interna

4.1 Incaricati del trattamento.

Ogni dipendente di FASCO e di CAPIPECODE e delle altre contitolari preposto ad un determinato servizio che implichi il trattamento di Dati Personali deve ricevere un incarico.

L'atto di incarico

  1. deve individuare l'ambito del trattamento consentito in stretta relazione alla funzione svolta, alla qualifica ricoperta e alle mansioni assegnate all'incaricato;
  2. deve essere aggiornato in occasione del mutamento delle mansioni o del profilo funzionale dell'incaricato;
  3. è efficace fino alla sua revoca ovvero fino alla cessazione del rapporto di collaborazione con la Società di muto soccorso;
  4. deve essere reiterato in presenza di ogni rinnovo o di un nuovo incarico all'interno della società.

FASCO e CAPIPECODE, d'intesa con i Contitolari, devono verificare gli atti di incarico con cadenza annuale per eventuali adeguamenti riguardanti le fonti normative o regolamentari, le mutate esigenze, le modifiche procedurali, i mutamenti dei ruoli, le cessazioni dall'incarico.

L'Incaricato, nello svolgimento delle operazioni strettamente connesse all'adempimento delle sue funzioni, deve attenersi alle istruzioni impartite dal dalla Società anche per il tramite di altri Contitolari.

Gli incaricati devono comunque assicurare che, nel rispetto delle istruzioni ricevute, i dati personali:

  1. siano raccolti e registrati per scopi determinati, espliciti e legittimi, conformemente alla base giuridica che legittima il trattamento dei dati;
  2. esatti e, se necessario, aggiornati, pertinenti, completi, non eccedenti rispetto al conseguimento delle finalità per le quali il dato viene raccolto e, ove si tratti di dati sensibili, indispensabili rispetto alle finalità per le quali sono raccolti o successivamente trattati;
  3. conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

Della possibilità di nomina da parte del Responsabile di un Sub-Responsabili deve essere data notizia all'interessato nell'informativa. Nel sito web di FASCO e CAPIPECODE deve essere reso possibile per l'interessato accedere al nominativo dei Sub-Responsabili.

4.2 Responsabile della protezione dei dati/Data Protection Officer (DPO)

Il DPO può essere nominato fra i dipendenti di FASCO e di CAPIPECODE, fra i Dipendenti dei contitolari ovvero mediante un contratto di prestazione di servizi che ne definisca i compiti coerentemente con le regole interne, l'organizzazione, la tipologia e la quantità di dati trattati.

In ogni caso il DPO deve essere individuato tra persone che abbiano competenze specialistiche in materia di protezione dei dati personali e adeguata conoscenza del GDPR e delle prassi nazionali in materia di protezione dei dati personali.

Ove si tratti di dipendente di FASCO e di CAPIPECODE o dei contitolari

  1. devono essergli fornite le risorse necessarie per assolvere i propri compiti, per accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.
  2. deve esserne assicurata la possibilità di riferire direttamente al Consiglio di amministrazione e, se previsto, del Collegio Sindacale della Società;
  3. deve essere adibito a mansioni che non implichino direttamente o sotto la sua diretta responsabilità il trattamento di dati in maniera significativa e continuativa.

Nel contratto di prestazione di servizi deve essere espressamente previsto che non costituisce causa di risoluzione del rapporto la mancata esecuzione di istruzioni ricevute dal titolare o dai contitolari. Analogamente il contratto di lavoro del dipendente nominato DPO deve essere integrato con una pattuizione aggiuntiva che escluda la possibilità di applicare sanzioni disciplinari e non costituisce giusta causa di licenziamento qualunque atto compiuto dal dipendente nella veste di DPO.

4.3 Definizione dell'ambito di intervento

FASCO e CAPIPECODE assicurano che il DPO sia coinvolto in tutte le questioni relative alla protezione dei dati personali e sia posto in condizioni di esercitare concretamente una attività di vigilanza e controllo sul rispetto da parte di contitolari, responsabili e incaricati delle politiche adottate da FASCO e da CAPIPECODE, della presente policy e del GDPR.

Il DPO deve in particolare intervenire:

  1. nella definizione e nella gestione dei rapporti con i contitolari e i responsabili e in tutti i rapporti che comportino il trasferimento di dati personali;
  2. nella definizione delle istruzioni date agli incaricati e nella definizione della necessità formative degli stessi;
  3. nella definizione della regolamentazione dei Fondi sanitari e nella progettazione delle prestazioni sanitarie;
  4. nella valutazione preliminare dei trattamenti da sottoporre a valutazione di impatto (c.d. DPIA) e nell'esecuzione della stessa;
  5. in tutti i casi in cui sia richiesta una consulenza specialistica in merito agli obblighi derivanti dal GDPR;
  6. nella valutazione delle politiche generali adottate dal titolare dai responsabili in materia di protezione dei dati personali;
  7. nelle attività che comportino rapporti con l'Autorità̀ di controllo e con l'Organismo di vigilanza;
  8. nella gestione delle istanze degli interessati che possono rivolgersi direttamente a lui per l'esercizio dei propri diritti.

5. Base giuridica del trattamento nella gestione dell'assistenza sanitaria integrativa.

L'attività di assistenza sanitaria integrativa comporta il trattamento di dati idonei a rivelare lo stato di salute degli interessati. Ai sensi dell'art. 9, par. 2, lett. a) del GDPR il trattamento di tali dati per tale finalità deve fondarsi sul consenso esplicito degli assistiti/soci di FASCO e di CAPIPECODE.

Il consenso deve essere richiesto una sola volta per tutte le attività di trattamento aventi la medesima finalità di prestazione del servizio di assistenza sanitaria integrativa come definite dall'art. 1, comma 1, lett. a) e b) della legge 3818/1886 e lo stesso deve ritenersi valido fintanto che dura il rapporto associativo tra interessato e FASCO e CAPIPECODE.

Ferma la possibilità di utilizzare i dati per adempiere ad obblighi inderogabili di legge, ai sensi dell'art. 6 par. 4 del GDPR, i dati degli interessati, ivi inclusi quelli idonei a rivelarne lo stato di salute, possono essere altresì utilizzati per finalità compatibili con quelle per i quali sono stati raccolti.

Sono compatibili con quella di assistenza sanitaria integrativa e non richiedono pertanto un consenso separato e distinto o l'utilizzo di una diversa base giuridica, ma la sola informazione agli interessati circa:

  1. le finalità di carattere istituzionale, relative alla gestione del rapporto associativo, a norma di legge, di Statuto e di Regolamento in quanto inscindibile dalla prestazione dell'attività di assistenza sanitaria;
  2. il trattamento dei dati a fini amministrativi e contabili ivi inclusi gli adempimenti dovuti a fini fiscali e la comunicazione di dati alle autorità fiscali in quanto dovuti per legge;
  3. la tutela dei legittimi interessi di FASCO e di CAPIPECODE in relazione alla gestione dei rapporti contrattuali, anche con terze parti, e ad eventuali contenziosi (quali ad esempio recupero crediti per contributi associativi non pagati, diniego o erogazione parziale di sussidi, eventuali contenziosi con contitolari, responsabili del trattamento ecc.)
  4. l'elaborazione di statistiche e di valutazione delle performance della Società e/o di singole unità operative della stessa (se esistenti);
  5. l'elaborazione di nuovi sussidi, la modifica di quelli esistenti, l'aggiunta o la rimozione di servizi connessi e l'utilizzo dei dati di contatto per la loro comunicazione ai soci/interessati tramite posta, posta elettronica, telefono, fax o altre modalità previste dallo Statuto o dai regolamenti interni di FASCO e di CAPIPECODE per la comunicazione delle delibere degli organi sociali della Società.

Nelle ipotesi di cui alle lettere d) ed e) i dati sono utilizzati in forma anonima o mediante utilizzo di tecniche di anonimizzazione o pseudonimizzazione.

5.1 Caratteristiche del consenso

L'art. 4 del GDPR definisce il consenso come: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato con la quale lo stesso manifesta il proprio assenso mediante dichiarazione o azione positiva inequivocabile che i dati personali che lo riguardano siano oggetto di trattamento

Il consenso per essere valido deve essere:

  1. informato, ovvero preceduto da una informativa sintetica, chiara e completa;
  2. inequivocabile deve presuppone un'azione di tipo positivo. Il silenzio e l'inattività dell'interessato non possono ritenersi mai forme di manifestazione del consenso;
  3. specifico e granulare, ovvero non cumulativo per trattamenti aventi finalità diverse;
  4. libero, ovvero scevro da condizionamenti morali e/o materiali.

5.2 Contenuto dell'informativa

FASCO e CAPIPECODE prima o all'atto di acquisire il consenso devono sottoporre agli interessati una informativa trasparente, intelligibile per l'interessato, facilmente accessibile e che sia scritta in un linguaggio chiaro e semplice.

L'informativa deve contenere almeno le seguenti indicazioni:

  1. l'identità del Titolare e i dati di contatto dei Responsabili del trattamento, se nominati, e di eventuali Sub-Responsabili;
  2. la tipologia e la finalità del trattamento per cui i dati vengono acquisiti e la tipologia e la finalità dei trattamenti ulteriori, anche solo prevedibili o possibili, che FASCO e CAPIPECODE potrebbero porre in essere;
  3. le eventuali conseguenze del mancato consenso qualora il trattamento sia basato sul consenso;
  4. le misure di sicurezza utilizzate in caso di trattamenti ulteriori; aventi cioè finalità diverse, ancorché compatibili, con quelle per le quali il consenso è stato acquisito;
  5. la natura dei dati trattati;
  6. le categorie dei destinatari cui i dati possono essere trasmessi, le ragioni di tale trasmissione;
  7. l'eventuale presenza o assenza di un processo decisionale automatizzato, compresa la profilazione;
  8. la durata del trattamento oppure, se non è possibile indicarla, i criteri per determinarla;
  9. il periodo di conservazione dei dati personali oppure, se non è possibile indicarlo, i criteri utilizzati per determinare tale periodo ovvero la conservazione per un tempo illimitato dei dati;
  10. il diritto degli interessati:
    1. a chiedere l'accesso ai propri dati personali;
    2. a chiedere la rettifica o la cancellazione degli stessi e i casi in cui non è possibile in tutto o in parte richiederla;
    3. a chiedere la limitazione del trattamento;
    4. di opporsi ad un determinato trattamento;
    5. alla portabilità dei dati;
    6. la possibilità di revocare il consenso in qualsiasi momento con l'avvertenza che questo non farà venire meno la liceità del trattamento basata sul consenso prestato prima della revoca;
    7. le modalità per esercitarli oltre ai casi e le ragioni per le quali l'esercizio di tali diritti è limitato ovvero non è possibile.
  11. le conseguenze eventualmente derivanti dall'esercizio dei diritti previsti dal Regolamento sui trattamenti in corso;
  12. il diritto di proporre reclamo ad un'autorità di controllo;
  13. la necessità di comunicare i dati personali in base a un obbligo legale o contrattuale oppure se si tratta di un requisito necessario per la conclusione di un contratto, nonché la natura obbligatoria o facoltativa del conferimento, nonché le possibili conseguenze della mancata comunicazione di tali dati.
  14. Il contenuto di un eventuale accordo di contitolarità ovvero il luogo dove detto accordo è reperibile.

L'informativa deve altresì dare avviso all'interessato che durante tutto il periodo di durata del rapporto, in base alle convenzioni stipulate da FASCO e CAPIPECODE con terzi soggetti erogatori delle prestazioni soggette a rimborso o a sussidio da parte di FASCO e CAPIPECODE questi ultimi riceveranno da detti terzi dati idonei a rivelare stato di salute dell'interessato e/o dei suoi familiari e conviventi e che l'acquisizione di tali dati è necessaria per l'erogazione del sussidio o del rimborso.

5.2.1 Informativa sull'utilizzo di cookies nel sito web

L'informativa sull'utilizzo dei cookies deve immediatamente comparire in primo piano un banner di idonee dimensioni ossia di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando contenente le seguenti indicazioni:

  1. che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete;
  2. che il sito consente anche l'invio di cookie "terze parti" (laddove ciò ovviamente accada);
  3. il link all'informativa estesa, ove vengono fornite indicazioni sull'uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;
  4. l'indicazione che alla pagina dell'informativa estesa è possibile negare il consenso all'installazione di qualunque cookie;
  5. l'indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un'immagine o di un link) comporta la prestazione del consenso all'uso dei cookie.

Il banner, oltre a dover presentare dimensioni sufficienti a ospitare l'informativa, seppur breve, deve essere parte integrante dell'azione positiva nella quale si sostanzia la manifestazione del consenso dell'utente. Il superamento della presenza del banner al video deve essere possibile solo mediante un intervento attivo dell'utente. È necessario in ogni caso che dell'avvenuta prestazione del consenso dell'utente sia tenuta traccia mediante apposito cookie tecnico.

La presenza di tale "documentazione" delle scelte dell'utente consente poi di non riproporre l'informativa breve alle successive visite del medesimo utente

All'interno di tale informativa, deve essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali ha stipulato accordi per l'installazione di cookie tramite il proprio sito.

5.2.2 Modalità di raccolta del consenso.

Il consenso deve essere raccolto sulla base di modulistica che contenga l'informativa redatta secondo quanto sopra previsto ovvero contenete l'indicazione di dove reperire l'informativa.

Il modulo deve riguardare esclusivamente il consenso al trattamento dei dati sanitari e in esso non possono essere contenute altro tipo di comunicazioni all'interessato né consensi relativi a materie diverse al trattamento dei dati personali.

Il consenso ancorché prestato mediante la compilazione dello stesso modulo deve essere prestato separatamente per i trattamenti aventi la finalità di:

  1. erogazione dell'attività di assistenza sanitaria integrativa;
  2. erogazione di servizi di assistenza familiare o di contributi economici ai familiari dei soci deceduti;
  3. erogazione di contributi economici e di servizi di assistenza ai soci che si trovino in condizione di gravissimo disagio economico a seguito dell'improvvisa perdita di fonti reddituali personali e familiari e in assenza di provvidenze pubbliche.
  4. attività di carattere educativo e culturale dirette a realizzare finalità di prevenzione sanitaria e di diffusione dei valori mutualistici.
  5. ogni altra attività consentita a FASCO e CAPIPECODE dalla normativa tempo per tempo vigente e che non sia compatibile con quelle sopra indicate ai sensi dell'art. 6 par. 4 del GDPR

5.2.3 Consenso per il familiare convivente

Qualora ai sensi dell'art. 1, comma 1, della legge 3818/1886 le prestazioni ivi previste vengano erogate anche in favore dei familiari conviventi dei soci, prima di iniziare il trattamento deve essere acquisto il consenso anche di detti familiari.

Il consenso può essere prestato per il familiare dal socio, purché questo fornisca a FASCO e a CAPIPECODE idonea delega.

La delega deve contenere:

  • l'incarico al socio di ricevere l'informativa sul trattamento dei dati personali;
  • l'indicazione di un indirizzo email personale del familiare al quale inoltrare le comunicazioni di FASCO e di CAPIPECODE relative al trattamento medesimo.

Qualora il familiare sia un minore il consenso è prestato da persona esercente la potestà genitoriale. L'esercizio della potestà genitoriale è documentato mediante autocertificazione resa ai sensi dell'art. 46 del d.P.R. 445/2000. L' informativa è resa al solo dichiarante.

5.2.4 Consenso prestato on line.

L'accesso ai servizi on-line prestati da FASCO e da CAPIPECODE deve essere consentito solo a utenti registrati ovvero in possesso di credenziali univoche di accesso precedentemente rilasciate da FASCO e da CAPIPECODE ovvero dai Contitolari.

La registrazione deve poter avvenire solo a titolo personale mediante emissione di codici identificativi e chiavi di accesso univoche e deve essere confermata mediante procedura che offra garanzie sull'identità dell'interessato quali l'invio di una mail all'indirizzo dichiarato nel form di registrazione dell'interessato con indicazione di un link attraverso il quale confermare l'iscrizione o di un messaggio su utenza di telefonia mobile con invio di un codice di conferma da inserire per l'iscrizione o sistemi similari.

Al fine di assicurare una corretta acquisizione del consenso

  1. nessuna delle caselle deve essere preimpostata;
  2. l'interessato deve aver selezionato la casella di presa visione dell'informativa che deve essere distinta da quella per la prestazione del consenso;
  3. le caselle del consenso devono avere funzione esclusiva e devono essere distinte per ogni trattamento avente finalità diversa;
  4. la mancata prestazione del consenso deve impedire l'accesso al servizio on line esclusivamente se è omesso in relazione ai dati che sono necessari all'esecuzione del servizio medesimo.

Qualora la registrazione ai servizi on-line avvenga anche per conto di familiari, ivi inclusi i minori, la documentazione di cui al punto 1.6.1.3 è acquisita mediante upload di copia digitale della stessa o altro sistema di trasmissione telematica.

Resta salva la facoltà di FASCO e di CAPIPECODE di predisporre un account personale per ogni familiare convivente, purché maggiore di età.

5.2.5 Acquisizione di dati anagrafici dai datori di lavoro

Nelle ipotesi in cui vengano trasmessi dai datori di lavoro i dati anagrafici dei dipendenti, FASCO e CAPIPECODE devono inviare agli interessati l'informativa entro 30 giorni dalla ricezione dei dati ovvero all'atto della prima comunicazione con l'interessato.

In ogni caso, il consenso al trattamento dei dati sanitari deve essere acquisito al più tardi al momento dell'inoltro da parte dell'interessato o di chi ne ha la rappresentanza della prima richiesta di sussidio o rimborso.

5.3 Dati personali dei lavoratori

Ai fini della gestione dei dati personali dei lavoratori dipendenti valgono le regole stabilite nel regolamento condiviso con i Contitolari.

5.4 Principio di minimizzazione nella comunicazione di dati personali a soggetti diversi dai Contitolari e Responsabili.

La trasmissione di dati personali a terzi può avvenire:

  1. ove sia indispensabile all'adempimento della prestazione dovuta nei confronti dell'interessato;
  2. ove sia necessario per adempiere ad un obbligo di legge;
  3. ove vi sia legittimo interesse di FASCO e di CAPIPECODE prevalente rispetto a quello dell'interessato, ivi inclusi quelli:
    1. dalla tutela del patrimonio, materiale e immateriale, della Società;
    2. alla necessità di difesa della Società in giudizio;
  4. ove vi sia un ordine dell'Autorità Amministrativa e Giudiziaria competente.

Rientrano nelle ipotesi contemplate alla lettera b) le comunicazioni di dati ad autorità pubbliche competenti nel settore del diritto del lavoro e della protezione sociale.

Fuori dalle ipotesi di cui sopra la comunicazione di dati a terzi soggetti può avvenire solo dietro esplicito consenso dell'interessato da prestarsi in maniera separata e distinta da quello per il quale i dati furono originariamente raccolti.

La trasmissione di dati è sempre fatta in maniera non eccedente le prescrizioni stabilite dalle norme vincolanti che le dispongono e, ove ciò non contrasti con le stesse o con le finalità da esse perseguite, previa anonimizzazione o pseudonimizzazione dei dati dei dati.

Le comunicazioni eseguite nel perseguimento del legittimo interesse di FASCO e di CAPIPECODE o di suoi dipendenti sono fatte in maniera non eccedente le necessità che le hanno determinate e sono precedute dall'adozione di misure di protezione di anonimizzazione e pseudonimizzazione dei dati non necessari avuto particolarmente riguardo ai dati relativi ad interessati diversi da quelli rispetto ai quali è sorta la necessità di tutela.

L'informativa indica i soggetti terzi o le categorie di soggetti terzi diversi dai Contitolari e dai Responsabili ai quali è certo o prevedibile che i dati vengano trasmessi.

5.5 Conservazione dei dati

I dati personali devono essere conservati per un periodo non eccedente la salvaguardia di legittimi interessi di FASCO e di CAPIPECODE e pertanto

  1. i dati identificativi, anagrafici e di contatto dei soci ed eventuali familiari conviventi sono conservati fintanto che dura il rapporto associativo ferma restando la conservazione in perpetuo dei dati trasfusi in delibere e altri atti formali della Società;
  2. i dati idonei a rivelare lo stato di salute possono essere conservarti per un periodo di dieci anni decorrente dall'ultimo atto di interruzione della prescrizione da parte dell'interessato relativamente al diritto al sussidio;
  3. i restanti dati sono conservati in via ordinaria per il periodo di dieci anni dalla loro acquisizione salvo il caso in cui tempi maggiori siano richiesti da disposizioni di legge.

5.6 Registro dei trattamenti

FASCO e CAPIPECODE tengono un registro dei trattamenti condiviso con i contitolari. Il Registro è preferibilmente tenuto in formato elettronico mediante sistema che consenta di tenere traccia delle modifiche ad esso apportate.

I Responsabili del trattamento devono curare che il Registro sia costantemente aggiornato in relazione ai trattamenti posti in essere sotto la loro responsabilità ovvero tenere un proprio registro e condividerne i contenuti con FASCO e CAPIPECODE.

Il registro, ai sensi dell'art. 30 del GDPR, deve necessariamente indicare

  1. il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  2. le finalità del trattamento;
  3. una descrizione delle categorie di interessati e delle categorie di dati personali;
  4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  5. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  6. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

Fermi gli obblighi inderogabili posti dal Regolamento e compatibilmente con le risorse economiche disponibili è tuttavia raccomandato alle Società di muto soccorso di maggiori dimensioni di utilizzare il registro dei trattamenti come strumento di organizzazione nel trattamento dei dati personali, di adeguato presidio dei rischi e di buona gestione dei rapporti con gli interessati.

A tal fine e a titolo esemplificativo possono essere inserite nel registro le seguenti informazioni:

  1. l'elenco nominativo degli interessati che rientrano in una specifica categoria e un motore di ricerca interno che consenta di interrogare il registro in riscontro alle istanze degli interessati o comunque di abbinare un interessato ai trattamenti che lo riguardano e di individuare i documenti che lo riguardano;
  2. un link di accesso in corrispondenza dei trattamenti alla copia digitale dei contratti e degli altri atti giuridici che regolano i rapporti con i contitolari e con i responsabili del trattamento;
  3. l'indicazione della sede, direzione, funzione o ufficio della Società che esegue il trattamento;
  4. il nominativo degli incaricati che trattano determinate categorie di dati con link di accesso alla copia digitale degli atti di nomina e delle istruzioni ad essi impartiti e la registrazione degli accessi compiuti al medesimo;
  5. i soggetti terzi dai quali i dati sono stati acquisiti;
  6. la base giuridica del trattamento di ciascun trattamento con link di accesso diretto
    1. alla copia digitale degli atti o dei log di sistema da cui risulta lo stesso, ovvero le deleghe e le dichiarazioni richieste per i familiari conviventi e i minori;
    2. al contratto o altro atto giuridico in base al quale è svolto il trattamento, ivi inclusi i contratti di lavoro;
    3. le norme di legge o i provvedimenti delle autorità che comportano un obbligo di trattamento di dati personali ed in particolare alla trasmissione dei dati a destinatari terzi;
  7. gli applicativi informatici utilizzati nel trattamento;
  8. ove applicabile, l'indicazione se è stata eventualmente eseguita una DPIA con possibilità di accesso diretto agli esiti della stessa;

In linea generale e ove possibile sarebbe comunque ottimale integrare il sistema di protocollazione e archivio con il registro dei trattamenti.

Nel caso in cui più trattamenti siano necessari per conseguire una identica finalità ovvero rientrino in procedimenti complessi, cui possono partecipare più sedi, funzioni o direzione, uffici ovvero incaricati la registrazione del trattamento dovrebbe essere organizzata in un sistema di trattamenti e sub trattamenti.

Il registro del trattamento deve essere aggiornato al mutare di uno qualunque degli elementi sopra indicati.

6. Misure tecniche

Le misure tecniche relative alla gestione delle infrastrutture informatiche e dei documenti cartacei sono quelle indicate nelle policy condivise con i contitolari.

7. Diritti degli interessati

Gli interessati, rispetto ai dati personali che li riguardano, hanno diritto di:

  1. ottenere la conferma che sia in corso un trattamento di dati personali che li riguardano e, in tal caso, ottenere l'accesso ai dati personali e informazioni sui trattamenti;
  2. ottenere la rettifica dei dati personali inesatti che lo riguardano ovvero se pertinente rispetto al trattamento l'integrazione dei dati personali incompleti,
  3. ottenere la limitazione dei trattamenti;
  4. ricevere copia elettronica dei dati personali che lo riguardano e da lui forniti;
  5. opporsi in qualsiasi momento, per motivi connessi alla loro situazione particolare, al trattamento automatizzato di dati.

Le richieste degli interessati di limitazione dei trattamenti e di cancellazione dei dati possono essere respinte qualora:

  1. il trattamento sia necessario per adempiere ad un obbligo di legge, di regolamento o ad un ordine della pubblica autorità;
  2. l'esercizio dei diritti dell'interessato sia in contrasto con gli impegni contrattuali assunti da FASCO e da CAPIPECODE con terze parti;
  3. l'esercizio dei diritti dell'interessato possa arrecare un pregiudizio, anche economico, alla Società;

La Società comunica all'interessato entro 30 giorni le misure adottate in riscontro alla sua richiesta e, nel caso di rifiuto, i motivi del rifiuto.

8. Violazione dei dati (data breach)

FASCO e CAPIPECODE devono adeguatamente gestire ogni evento che comporti in modo accidentale o illecito la distruzione, la perdita, la modifica, la divulgazione o l'accesso non autorizzato ai dati personali trasmessi, conservati o comunque trattati da e per conto la società medesima (data breach).

In caso di violazione dei dati personali le Società in qualità di titolare del trattamento, sono tenute ad informare l'Autorità di Garante per la protezione dei dati senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.

Il titolare è "a conoscenza" di una violazione quando abbia ragionevole grado di certezza in merito alla verificazione di un incidente di sicurezza. Nei casi dubbi deve esser effettuato senza indugio un audit mediante:

  1. somministrazione di questionari ai Responsabili e agli incaricati in cui sia richiesta la descrizione dettagliata degli eventi sospetti, delle loro manifestazioni, della tempistica e della frequenza degli stessi, delle persone eventualmente coinvolte;
  2. verifica tecnica sugli applicativi informatici;
  3. verifica dell'integrità degli archivi cartacei;
  4. verifica di integrità degli spazi fisici in cui gli archivi cartacei e informatici sono conservati;
  5. ogni altra verifica che sia ritenuta possibile e opportuna al fine di accertare l'eventuale violazione.

Devono essere così verificati i seguenti aspetti:

  • raccolta delle evidenze oggettive dell'evento;
  • analisi di sicurezza;
  • escalation (se l'impatto dell'incidente è alto);
  • tutte le attività di risposta devono essere adeguatamente registrate per una successiva analisi;
  • identificazione dell'origine dell'incidente.

La notifica all'Autorità può essere omessa nel caso sia improbabile che la violazione dei dati personali rappresenti un rischio per i diritti e le libertà delle persone fisiche. Al fine di compiere questa valutazione FASCO e CAPIPECODE tengono in considerazione i seguenti elementi:

  1. tipo di violazione;
  2. la natura, la sensibilità, e il volume dei dati coinvolti nella violazione;
  3. la effettiva possibilità che dai dati sottratti sia possibile risalire a persone determinate o determinabili;
  4. le conseguenze che possono derivare agli interessati dalla violazione dei dati (i.e. l'incidenza sui loro diritti e libertà);
  5. eventuali condizioni particolari degli interessati;
  6. il numero di interessati coinvolti;

La notifica all'Autorità deve indicare:

  1. la natura della violazione dei dati personali e le possibili cause;
  2. le categorie e il numero approssimativo di interessati e/o delle registrazioni dei dati personali in questione;
  3. le probabili conseguenze della violazione dei dati personali;
  4. le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione dei dati personali e per attenuarne i possibili effetti negativi.

Qualora le Società non siano in possesso di tutte le informazioni relative alla violazione precedentemente elencate, comunicano entro il termine di cui sopra all'Autorità di controllo la sola violazione subita e poi forniscono in un successivo momento tutte le informazioni, motivando le ragioni del ritardo.

Qualora dalle analisi compiute emerga un elevato rischio per i diritti e le libertà degli interessati ovvero qualora lo richieda l'Autorità di controllo, la violazione dei dati deve essere notificata anche agli interessati coinvolti.

La notifica della violazione all'interessato deve almeno contenere:

  • la comunicazione dei dati di contatto del titolare del trattamento;
  • la descrizione delle probabili conseguenze delle violazioni dei dati personali;
  • la descrizione delle misure adottate per porre rimedio alla violazione dei dati e per attenuare i possibili effetti negativi.

La comunicazione è effettuata con il mezzo che dia maggiore garanzia di ricezione da parte dell'interessato quali email, sms o contatto diretto. Deve essere evitato l'invio di informazioni solo nel contesto di update generali o newsletter.

Nel caso la segnalazione diretta richieda sforzi sproporzionati in ragione del numero di destinatari coinvolti, questa può essere effettuata attraverso una comunicazione pubblica.