INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
ai sensi dell’art. 13 del Regolamento UE 2016/679 (GDPR) e del D.Lgs.
196/2003 come modificato dal D.Lgs. 101/2018
- Titolare del trattamento
Il Titolare del trattamento dei dati personali è:
| Ragione sociale | Centro Catanese di Medicina e Chirurgia S.p.a. |
| Sede legale e operativa | Via Battello 48 – 95100 Catania (CT) |
| Telefono | +39 095 7323509 |
| info@ccmc.it | |
| PEC | ccmc@pec.ccmc.it |
| Codice Fiscale / P.IVA | 00496120874 |
2. Responsabile della Protezione dei Dati (RPD/DPO)
Ai sensi dell’art. 37 GDPR, il CCMC – trattando dati relativi alla salute su larga scala – ha nominato un Responsabile della Protezione dei Dati (RPD, noto anche come DPO – Data Protection Officer). Il RPD è il punto di contatto per tutte le questioni relative alla protezione dei dati personali.
| RPD designato | Dott.ssa Cristina Scilio |
| E-mail del RPD | dpo@ccmc.it |
L’interessato può contattare il RPD per qualsiasi questione relativa al trattamento dei propri dati personali e all’esercizio dei diritti garantiti dal GDPR.
3. Finalità del trattamento e relative basi giuridiche
Il CCMC tratta i dati personali per le finalità di seguito descritte, ciascuna con la propria base giuridica ai sensi degli artt. 6 e 9 GDPR.
| FINALITÀ | DESCRIZIONE | BASE GIURIDICA |
| Erogazione di prestazioni sanitarie (finalità di cura | Diagnosi, terapia, ricovero, interventi chirurgici, riabilitazione, lungodegenza, diagnostica per immagini, chirurgia refrattiva,gestione della cartella clinica e dei referti. | Art. 9, par. 2, lett. h) GDPR; art. 2-sexies D.Lgs. 196/2003 (trattamento necessario per finalità di medicina preventiva, diagnosi, assistenza e terapia sanitaria). NESSUN consenso è richiesto. |
| Gestione amministrativa e contabile del rapporto con il paziente | Prenotazione appuntamenti, accettazione, fatturazione, gestione dei pagamenti, rendicontazione verso il SSN per prestazioni in convenzione. | Art. 6, par. 1, lett. b) GDPR (esecuzione di un contratto di cui l’interessato è parte) e lett. c) (adempimento di obblighi legali e fiscali). |
| Adempimenti di legge e obblighi verso il SSN | Trasmissione dati alle autorità sanitarie regionali e nazionali, adempimenti normativi in materia di accreditamento istituzionale, obblighi di legge in materia fiscale e previdenziale. | Art. 6, par. 1, lett. c) GDPR; normativa sanitaria nazionale e regionale; D.Lgs. 502/1992 e s.m.i. |
| Gestione del modulo di contatto e richiesta di appuntamento (sito web) | Elaborazione delle richieste di informazioni e prenotazione pervenute tramite il modulo presente su www.ccmc.it, inclusa la ragione dell’appuntamento (es. esame, consulenza, intervento, ricovero). | Art. 6, par. 1, lett. b) GDPR (misure precontrattuali su richiesta dell’interessato). Per i dati di salute eventualmente comunicati: art. 9, par. 2, lett. h) GDPR. |
| Selezione del personale e gestione delle candidature spontanee | Valutazione dei profili professionali inviati spontaneamente a info@ccmc.it ai fini di una eventuale assunzione. | Art. 6, par. 1, lett. b) GDPR. Le candidature non attualmente utili sono conservate per un massimo di 12 mesi, salvo revoca del consenso al mantenimento. |
| Comunicazioni informative sui servizi della struttura (ove espressamente richieste) | Invio di comunicazioni informative sui servizi sanitari, solo a fronte di richiesta esplicita e consenso scritto dell’interessato. NON si tratta di marketing commerciale. | Art. 6, par. 1, lett. a) GDPR (consenso espresso e revocabile in qualsiasi momento). Per contenuti di natura sanitaria: art. 9, par. 2, lett. a) GDPR. |
| Tutela giuridica e difesa in giudizio | Gestione di eventuali
controversie, reclami, procedimenti arbitrali o giudiziari. |
Art. 6, par. 1, lett. f) GDPR (legittimo interesse del Titolare); art. 9, par. 2, lett. f) GDPR per dati sanitari. |
4. Categorie di dati personali trattati
4.1 Dati personali comuni
- Dati anagrafici e di identificazione: nome, cognome, data e luogo di nascita, codice fiscale
- Dati di contatto: indirizzo postale, numero di telefono, indirizzo e-mail
- Dati amministrativi: estremi del documento di identità, dati assicurativi, dati di fatturazione
4.2 Categorie particolari di dati (art. 9 GDPR)
In quanto struttura sanitaria, il CCMC tratta principalmente dati relativi alla salute ai sensi dell’art. 4, n. 15 e del Considerando 35 del GDPR, tra cui:
- Anamnesi, diagnosi, dati clinici e strumentali
- Risultati di esami di laboratorio e diagnostica per immagini (radiologia, ecografia, risonanza magnetica)
- Cartelle cliniche, referti medici, lettere di dimissione
- Dati relativi a interventi chirurgici, terapie e farmaci somministrati
- Dati relativi alla mobilità, alla disabilità o a stati di invalidità (per il reparto di riabilitazione e lungodegenza)
- Eventuali dati relativi allo stato psicologico o alla salute mentale
Trattamento di dati di minori: il CCMC eroga prestazioni sanitarie anche a pazienti di minore età. In tal caso, l’informativa e il consenso agli atti medici sono forniti e prestati dagli esercenti la responsabilità genitoriale o dal tutore legale, nel rispetto degli artt. 7 e 8 GDPR e dell’art. 2-quinquies D.Lgs. 196/2003.
5. Destinatari dei dati
I dati personali potranno essere comunicati, nei limiti strettamente necessari alle rispettive finalità, alle seguenti categorie di soggetti:
- Personale medico, infermieristico e amministrativo del CCMC, autorizzato al trattamento nell’ambito delle proprie mansioni
- Professionisti sanitari esterni (medici consulenti, specialisti, laboratori di analisi), in qualità di Responsabili del trattamento ex art. 28 GDPR o di Titolari autonomi
- Strutture sanitarie di riferimento per il ricovero o il trasferimento del paziente
- Regione Siciliana e Aziende Sanitarie Provinciali, per gli adempimenti connessi all’accreditamento SSN e alla rendicontazione delle prestazioni convenzionate
- Ministero della Salute, INPS, INAIL e altri enti previdenziali, per gli obblighi di legge
- Società di gestione dei pagamenti e istituti bancari, per la riscossione delle prestazioni a pagamento
- Studi legali e consulenti, nei limiti strettamente necessari alla difesa in giudizio
- Fornitore di servizi IT e hosting del sito web (in qualità di Responsabile del trattamento ex art. 28 GDPR)
Su richiesta dell’interessato, il CCMC fornirà l’elenco aggiornato dei destinatari o delle categorie di destinatari, ai sensi dell’art. 15, par. 1, lett. c) GDPR.
6. Trasferimento di dati verso Paesi terzi
I dati personali trattati dal CCMC non sono trasferiti verso Paesi terzi rispetto all’Unione Europea né verso organizzazioni internazionali. Qualora, in futuro, tale esigenza dovesse emergere (ad esempio per l’utilizzo di servizi cloud con server ubicati al di fuori del SEE), il Titolare si impegna a garantire che il trasferimento avvenga nel rispetto delle garanzie previste dagli artt. 44-49 GDPR (decisione di adeguatezza, clausole contrattuali standard, ecc.) e a darne comunicazione agli interessati tramite aggiornamento della presente informativa.
7. Periodo di conservazione dei dati
I dati sono conservati per il tempo strettamente necessario al conseguimento delle finalità per cui sono stati raccolti, nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e) GDPR), e comunque nel rispetto degli obblighi normativi vigenti.
| TIPOLOGIA DI DOCUMENTO/DATO | PERIODO DI CONSERVAZIONE E RIFERIMENTO NORMATIVO |
| Cartelle cliniche e referti diagnostici | Illimitata – Circolare Ministero della Sanità n. 61/1986; DPR 14 gennaio 1997 |
| Documentazione radiologica (lastre, immagini) | Minimo 10 anni – D.Lgs. 187/2000 e circolari attuative |
| Documentazione per idoneità sportiva agonistica | Minimo 5 anni – DM 18 febbraio 1982 e s.m.i. |
| Documentazione contabile e fiscale | 10 anni – Art. 2220 c.c. e normativa fiscale vigente |
| Dati del modulo di contatto web | 12 mesi dalla prima comunicazione, salvo instaurazione del rapporto di cura |
| Candidature spontanee | 12 mesi, salvo consenso espresso al mantenimento per un periodo maggiore |
| Dati per comunicazioni informative (con consenso) | Fino alla revoca del consenso |
| Dati per difesa in giudizio | Fino alla definitività del giudizio o alla prescrizione del diritto |
8. Misure di sicurezza
Il CCMC adotta misure tecniche e organizzative adeguate, ai sensi dell’art. 32 GDPR, per garantire un livello di sicurezza proporzionato al rischio, tenendo conto della natura dei dati sanitari trattati. Tali misure comprendono:
- Sistemi di autenticazione e profilazione degli accessi al sistema informativo sanitario, differenziati per ruolo e mansione del personale
- Formazione periodica del personale sugli obblighi di riservatezza e sulle procedure di sicurezza informatica
- Procedure per la gestione delle violazioni dei dati personali (data breach) ai sensi dell’art. 33 GDPR
- Archiviazione fisica della documentazione cartacea in armadi e archivi ad accesso controllato
- Tenuta del Registro delle attività di trattamento ai sensi dell’art. 30 GDPR
9. Diritti dell’interessato
Ai sensi degli artt. 15-22 GDPR, l’interessato ha il diritto di:
- Accedere ai propri dati personali e ottenerne copia (art. 15 GDPR)
- Ottenere la rettifica di dati inesatti o l’integrazione di dati incompleti (art. 16 GDPR)
- Richiedere la cancellazione dei dati nei casi previsti dall’art. 17 GDPR (diritto all’oblio), fermo restando l’obbligo di conservazione della documentazione clinica imposto dalla legge
- Richiedere la limitazione del trattamento nelle ipotesi previste dall’art. 18 GDPR
- Opporsi al trattamento per motivi connessi alla propria situazione particolare, ai sensi dell’art. 21 GDPR
- Ricevere i dati forniti in formato strutturato e leggibile (portabilità), ai sensi dell’art. 20 GDPR, limitatamente ai trattamenti basati sul consenso o sul contratto e svolti con strumenti automatizzati
- Revocare il consenso in qualsiasi momento, senza che ciò pregiudichi la liceità del trattamento effettuato prima della revoca (art. 7, par. 3 GDPR)
- Non essere sottoposto a decisioni basate esclusivamente su trattamenti automatizzati (art. 22 GDPR)
L’interessato può esercitare i propri diritti inviando una richiesta scritta al Titolare del trattamento o al RPD ai recapiti indicati ai punti 1 e 2. Il CCMC risponde entro 30 giorni dalla ricezione della richiesta (art. 12, par. 3 GDPR), salvo proroga di ulteriori 60 giorni in caso di richieste complesse o numerose.
10. Trattamento dei dati di navigazione e cookie
Il sito web www.ccmc.it utilizza cookie tecnici essenziali al suo corretto funzionamento e, previo consenso dell’utente, cookie di funzionalità e analitici. Il sito dichiara di non utilizzare cookie di profilazione pubblicitaria di terze parti.
I sistemi informatici e le procedure software deputati al funzionamento del sito acquisiscono, nel corso del loro normale esercizio, alcuni dati la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet (indirizzo IP, tipo di browser, sistema operativo, pagine visitate, orari di accesso). Tali dati sono trattati al solo fine di ricavare informazioni statistiche anonime sull’uso del sito e di controllarne il corretto funzionamento.
Per la gestione del consenso ai cookie, il CCMC si avvale di uno strumento dedicato (Consent Management Platform) raggiungibile tramite l’apposito banner al primo accesso al sito. Per ulteriori informazioni sui cookie utilizzati, si rinvia alla Cookie Policy disponibile su www.ccmc.it/privacy-policy/.
11. Assenza di trattamenti automatizzati e profilazione
Il CCMC non effettua trattamenti basati su decisioni automatizzate, né attività di profilazione degli utenti o dei pazienti ai sensi dell’art. 22 GDPR.
12. Aggiornamenti dell’informativa
La presente informativa può essere aggiornata in seguito a modifiche normative, provvedimenti del Garante o variazioni nelle modalità di trattamento. Eventuali aggiornamenti saranno pubblicati su www.ccmc.it con indicazione della data di revisione. Si invita a consultare periodicamente questa pagina.
| Versione | Data di pubblicazione | Principali modifiche |
| 1.0 | Marzo 2026 | Prima redazione conforme GDPR per struttura sanitaria |
