PRIVACY
RESPONSABILE PER LA PROTEZIONE DEI DATI
AVV. GABRIELE BORGHI
Viale Forlanini, 95
20024 Garbagnate Milanese
Telefono: 0522.922837 - 340.3640427
Email: responsabileprotezionedati@asst-rhodense.it
Responsabile Settore Gestione Documentale/Privacy
AVV. ELISA PINI
Telefono: 02.994302971
Email: privacy@asst-rhodense.it
L’ASST Rhodense garantisce il trattamento e la protezione dei dati personali, ai sensi del GDPR 25
maggio 2018.
I dati personali saranno:
• trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
• raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo
che non siano incompatibili con tali finalità;
• adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per i quali sono
trattati;
• esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per
rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
• conservati per l’arco temporale previsto dalla normativa di riferimento (Massimario di scarto
Regionale);
• trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la
protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e
dalla perdita, distruzione o danno accidentale.
MODULISTICA EMERGENZA COVID-19
» Informativa Vaccinazione Covid-19 2021
» Informativa e Consenso ai test sierologici Covid-19 2021
» Informativa e Consenso per invio referti via mail per emergenza Covid-19 2021
» Informativa Rilevazione Temperatura corporea 2021
» Informativa e Consenso ai test sierologici Covid-19 2021
» Informativa e Consenso per invio referti via mail per emergenza Covid-19 2021
» Informativa Rilevazione Temperatura corporea 2021
INFORMATIVE E CONSENSI
» Modulo delega accompagnamento minore per prestazioni ambulatoriali
» Nomina Responsabile esterno del trattamento (ipotesi passiva)
» Informativa candidato ad un avviso o concorso
» Informativa ex art. 13 del GDPR_logo e/o patrocinio aziendale
» Nomina responsabile esterno del trattamento
» Informativa ex art. 13 del GDPR_prestazioni sanitarie e finalità correlate
» Consegna saturimetro e privacy
» Delega ritiro referti post dimissione
» Consegna e restituzione strumentazione sanitaria
» Dati genetici
» Donazione di sangue
» Dossier sanitario elettronico
» Fascicolo sanitario elettronico
» Prenotazione e disdetta visite ed esami
» Ricerca scientifica
» Ritiro referti post dimissione ospedaliera
» Sperimentazioni cliniche
» U.R.P.
» Associazione di volontariato
» Scelta e Revoca
» Utilizzo immagini per social networking o similari
» Volontariato
» Convenzioni SDS Università
» Modulo delega per invio segnalazione di varia natura
» Modulo invio segnalazione di varia natura
» Modulo autocertificazione per invio segnalazione di varia natura
» Nomina Responsabile esterno del trattamento (ipotesi passiva)
» Informativa candidato ad un avviso o concorso
» Informativa ex art. 13 del GDPR_logo e/o patrocinio aziendale
» Nomina responsabile esterno del trattamento
» Informativa ex art. 13 del GDPR_prestazioni sanitarie e finalità correlate
» Consegna saturimetro e privacy
» Delega ritiro referti post dimissione
» Consegna e restituzione strumentazione sanitaria
» Dati genetici
» Donazione di sangue
» Dossier sanitario elettronico
» Fascicolo sanitario elettronico
» Prenotazione e disdetta visite ed esami
» Ricerca scientifica
» Ritiro referti post dimissione ospedaliera
» Sperimentazioni cliniche
» U.R.P.
» Associazione di volontariato
» Scelta e Revoca
» Utilizzo immagini per social networking o similari
» Volontariato
» Convenzioni SDS Università
» Modulo delega per invio segnalazione di varia natura
» Modulo invio segnalazione di varia natura
» Modulo autocertificazione per invio segnalazione di varia natura
POLICY/PROCEDURE
» Cookie Policy
» Rapporto Privacy e Amministrazione Trasparente
» Modulo esercizio diritti
» Rapporto tra diritto di accesso e Privacy
» Data breach
» Data Protection Transfer Assessment
» Diritti interessato
» DPIA
» Privacy by design e by default
» Utilizzo di un servizio ICT o di Cloud Computing
» Diritti del soggetto interessato
» Rapporto Privacy e Amministrazione Trasparente
» Modulo esercizio diritti
» Rapporto tra diritto di accesso e Privacy
» Data breach
» Data Protection Transfer Assessment
» Diritti interessato
» DPIA
» Privacy by design e by default
» Utilizzo di un servizio ICT o di Cloud Computing
» Diritti del soggetto interessato
COOKIE POLICY
AZIENDA SOCIO-SANITARIA TERRITORIALE RHODENSE, (P. IVA: 09323530965) (infra “ASST RHODENSE”), in persona del suo legale rappresentante pro tempore, con sede legale in Garbagnate Milanese (MI), viale Forlanini, 95, in qualità di Titolare del trattamento ex artt. 4 n. 7) e 24 del Regolamento UE n. 2016/679 (GDPR), illustra, di seguito, la cookie policy (“Policy”) riferibile soltanto al presente sito internet www.asst-rhodense.it (Sito).
1. Quadro giuridico di riferimento.
1.1. La Policy si ispira ai seguenti provvedimenti normativi (di primo e/o di secondo livello) comunitari e/o nazionali: (i) Direttiva n. 2002/58/CE del 12.7.2012 (cd. Direttiva ePrivacy), così come modificata dalla Direttiva n. 2009/136/CE; (ii) art. 122 del novellato D.Lgs. n. 196/2003 (Codice Privacy), il quale ha recepito, all’interno dell’ordinamento giuridico nazionale, la Direttiva ePrivacy; (iii) GDPR: artt. 4 n. 11), 7, 12, 13, 25 e 95 (oltre, in particolar modo, al Considerando n. 30, 32 e 173); (iv) Linee Guida n. 5/2020 adottate il 4.5.2020 dall’EDPB, in sostituzione delle Linee Guida del 10.4.2018 a firma del WP Art. 29; (v) Provvedimento n. 231 del 10.6.2021 [doc. web n. 9677876] a firma dell’Autorità Garante per la protezione dei dati personali (Garante Privacy); (vi) Raccomandazione n. 2/2001 del WP Art. 29; (vii) Parere n. 2/2010 del WP Art. 29; (viii) Parere n. 4/2012 del WP Art. 29; (ix) Linee Guida n. 8/2020 dell’EDPB; (viii) Provvedimenti n. 224 del 9.6.2022 [doc. web n. 9782890],
n. 243 del 7.7.2022 [doc. web n. 9806053] e n. 254 del 21.7.2022 [doc. web n. 9808698] a firma del Garante Privacy.
2. Cookie e altri strumenti di tracciamento: definizione e classificazione.
2.1. I “cookie”1 sono, di regola, delle stringe di testo che un sito internet (“publisher” o di “prima parte”) visitato dall’utente ovvero un sito web differente (di “terza parte”) posiziona ed archivia, direttamente (nel caso del sito internet di prima parte) o indirettamente (tramite quest’ultimo, nell’ipotesi del sito internet di terza parte), all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo: in merito, il Garante Privacy ha specificato il fatto che le informazioni, codificate nei cookie, possono includere sia dati personali ex art. 4 n. 1) del GDPR (es. indirizzo IP; nome utente; indirizzo email; identificativo univoco) sia dati non personali ex art. 3 n. 1) del Regolamento UE n. 1807/2018 (es. lingua; tipologia del dispositivo utilizzato).
A fianco (o oltre) di essi, possono sussistere (ed essere, dunque, utilizzati) gli “altri strumenti di tracciamento”, suddivisibili in “attivi” (i quali possiedono pressoché le medesime caratteristiche dei cookie) e in “passivi” (es. finger printing).
2.2. Al di là delle descritte caratteristiche intrinseche, i cookie (e gli altri strumenti di tracciamento) possono registrare peculiarità differenti sotto il profilo temporale (e, dunque, essere considerati di “sessione”2 o “permanenti”3 , in ragione della loro durata), dal punto di vista soggettivo (a seconda che il publisher agisca autonomamente o per conto di una “terza parte”) nonché, infine (ma in particolar modo), in base alla finalità di trattamento perseguita, così da poter essere suddivisi in due differenti (macro) categorie:
3.1. All’interno del Sito, sono state installate (o possono essere installate, previo ottenimento dello specifico consenso da parte dell’utente) le seguenti tipologie di cookie:
4. Impostazioni del browser.
4.1. ASST RHODENSE evidenzia la possibilità, in capo all’utente, di cancellare e di bloccare l’operatività dei cookie descritti al precedente art. 3 in qualsiasi momento utilizzando le apposite funzionalità di impostazione presenti all’interno del browser utilizzato: al riguardo, ASST RHODENSE aggiunge che, laddove l’utente decida di disattivare i cookie tecnici di cui all’art. 2.2. punto i), la qualità e la rapidità dei servizi e delle funzionalità offerte e messe a disposizione del Sito potrebbero peggiorare.
È possibile reperire informazioni su come gestire i cookie con alcuni dei browser più diffusi visitando le seguenti pagine web:
» https://support.google.com/chrome/answer/95647?hl=it
» https://support.mozilla.org/it/kb/Gestione dei cookie?redirectlocale=enUS&redirectslug=Cookies
» https://support.microsoft.com/it-it/help/17442
» https://support.microsoft.com/it-it/help/4468242/microsoft-edge-browsing-data-and-privacy-microsoft-privacy
» https://support.apple.com/it-it/guide/safari/sfri11471/mac
» https://support.apple.com/it-it/HT201265
» https://help.opera.com/en/latest/security-and-privacy/#clearBrowsingData
5. Diritti del soggetto interessato.
5.1. In relazione ai dati personali dell’utente, ASST RHODENSE informa che il relativo soggetto interessato ex art. 4 n. 1) del GDPR possiede la facoltà di esercitare i seguenti diritti eventualmente soggetti alle limitazioni previste dagli artt. 2 undecies e 2 duodecies del Codice Privacy: diritto di accesso ex art. 15 del GDPR: diritto di ottenere la conferma che sia o meno in corso un trattamento di dati personali che riguardano l’interessato, oltre che le informazioni di cui all’art. 15 del GDPR (es. finalità di trattamento, periodo di conservazione); diritto di rettifica ex art. 16 del GDPR: diritto di correggere, aggiornare o integrare i dati personali; diritto alla cancellazione ex art. 17 del GDPR: diritto di ottenere la cancellazione o distruzione o anonimizzazione dei dati personali, laddove tuttavia ricorrano i presupposti elencati nel medesimo articolo; diritto di limitazione del trattamento ex art. 18 del GDPR: diritto con connotazione marcatamente cautelare, teso ad ottenere la limitazione del trattamento laddove sussistano le ipotesi disciplinate dallo stesso art. 18; diritto alla portabilità dei dati ex art. 20 del GDPR: diritto di ottenere i dati personali, forniti a ASST RHODENSE, in un formato strutturato, di uso comune e leggibile da un sistema automatico (e, ove richiesto, di trasmetterli, in modo diretto, ad un altro Titolare del trattamento), laddove sussistano le specifiche condizioni indicate dal medesimo articolo (es. base giuridica del consenso e/o esecuzione di un contratto; dati personali forniti dall’interessato); diritto di opposizione ex art. 21 del GDPR: diritto di ottenere la cessazione, in via permanente, di un determinato trattamento di dati personali; diritto di proporre reclamo all’Autorità di Controllo (ossia, Garante Privacy italiano) ex art. 77 del GDPR: diritto di proporre reclamo laddove si ritiene che il trattamento oggetto d’analisi violi la normativa nazionale e comunitaria sulla protezione dei dati personali.
5.2. In aggiunta ai diritti descritti al precedente art. 5.1., ASST RHODENSE precisa che, in relazione ai dati personali dell’interessato, sussiste, ove possibile e conferente, la facoltà di esercitare, da un lato, il (sotto) diritto previsto dall’art. 19 del GDPR (“Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell’articolo 16, dell’articolo 17, paragrafo 1, e dell’articolo 18, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all’interessato tali destinatari qualora l’interessato lo richieda”), da considerarsi connesso e collegato all’esercizio di uno o più diritti regolamentati agli artt. 16, 17 e 18 del GDPR; dall’altro lato, ASST RHODENSE precisa che, in relazione ai dati personali dell’interessato, sussiste, ove possibile e conferente, la facoltà di esercitare il diritto previsto dall’art. 22 paragrafo 1) del GDPR (“L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”), fatte salve le eccezioni previste dal successivo paragrafo 2).
5.3. In ossequio all’art. 12 paragrafo 1) del GDPR, ASST RHODENSE si impegna a fornire all’utente le comunicazioni di cui agli artt. da 15 a 22 e 34 del GDPR in forma concisa, trasparente, intellegibile, facilmente accessibile e con un linguaggio semplice e chiaro: tali informazioni saranno fornite per iscritto o con altri mezzi eventualmente elettronici ovvero, su richiesta dell’utente, saranno fornite oralmente purché sia comprovata, con altri mezzi, l’identità di quest’ultimo.
5.4. In ossequio all’art. 12 paragrafo 3) del GDPR, ASST RHODENSE informa che si impegna a fornire all’utente le informazioni relative all’azione intrapresa riguardo ad una richiesta ai sensi degli artt. da 15 a 22 del GDPR senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa; tale termine può essere prorogato di n. 2 mesi se necessario, tenuto conto della complessità e del numero delle richieste (in tal caso, il Titolare si impegna ad informare l’utente di tale proroga e dei motivi del ritardo, entro un mese dal ricevimento della richiesta).
5.5. L’utente può esercitare, in qualsiasi momento, i sopra descritti diritti (fatta eccezione per il diritto ex art. 77 del GDPR) mediante l’utilizzo dei dati di contatto illustrati all’art. 6.
6. Dati di contatto.
6.1. ASST RHODENSE può essere contattata al seguente recapito: privacy@asst-rhodense.it
6.2. Il Responsabile della protezione dei dati (RPD/DPO) ex art. 37 del GDPR, nominato da ASST RHODENSE, è l’avv. Gabriele Borghi, il quale può essere contattato al seguente recapito: responsabileprotezionedati@asst-rhodense.it
7. Social plug-in.
7.1. Nel rispetto delle Linee Guida n. 8/2020 dell’EDPB, ASST RHODENSE precisa, altresì, di rivestire la qualifica di co-Titolare del trattamento ex artt. 4 n. 7) e 26 del GDPR con alcuni social media provider (es. YouTube; Instagram; Youtube), in ragione dell’installazione, all’interno del Sito, dei relativi social plug-in, facilmente visionabili e fruibili nel Sito.
Garbagnate Milanese (MI), lì 06/10/2022 (data di ultimo aggiornamento).
AZIENDA SOCIO-SANITARIA TERRITORIALE RHODENSE
(in persona del suo legale rappresentante pro tempore)
1 Cfr. Considerando n. 30) del GDPR (“Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”), ed art. 122 commi 1) e 2) del Codice Privacy (“1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente. 2. Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente…”); cfr., altresì, pag. 15) del Provvedimento n. 231 del 10.6.2021 a firma del Garante Privacy: “…non esiste ancora, ad oggi, un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento che consenta di distinguere oggettivamente, ad esempio, quelli tecnici dagli analitycs o da quelli di profilazione, se non basandosi sulle indicazioni rese dal titolare stesso nella privacy policy […] l’auspicio che si addivenga in tempi rapidi ad una codifica di carattere generale”.
2 Cookie progettati per raccogliere e memorizzare dei dati mentre un’utente accede ad un sito internet, e scompaiono una volta che quest’ultimo abbia chiuso la relativa sessione di navigazione.
3 Cookie idonei a durare per un periodo di tempo prestabilito (es. minuti; mesi; anni).
4 I cookie analitici vengono, di solito, utilizzati per valutare l’efficacia di un servizio della società dell’informazione fornito da un publisher, per la progettazione di un sito internet o, infine, per contribuire a misurarne il traffico (ossia, il numero dei visitatori, anche eventualmente ripartiti per area geografica, fascia oraria della connessione).
5 Cfr. Provvedimento n. 231 del 10.6.2021 a firma del Garante Privacy, pag. 13/14: “La struttura del cookie analytics dovrà allora prevedere la possibilità che lo stesso sia riferibile non soltanto ad uno, bensì a più dispositivi, in modo da creare una ragionevole incertezza sull’identità informatica del soggetto che lo riceve. Di regola questo effetto si ottiene mascherando opportune porzioni dell’indirizzo IP all’interno del cookie. Tenuto conto della rappresentazione degli indirizzi IP versione 4 (IPv4) a 32 bit, che sono usualmente rappresentati e utilizzati come sequenza di quattro numeri decimali compresi tra 0 e 255 separati da un punto, una delle misure implementabili al fine di beneficiare dell’esenzione consiste nel mascheramento almeno della quarta componente dell’indirizzo, opzione che introduce una incertezza nell’attribuzione del cookie ad uno specifico interessato pari a 1/256 (circa 0,4%). Analoghe procedure dovrebbero essere adottate in riferimento agli indirizzi IP versione 6 (IPv6), che hanno una differente struttura e uno spazio di indirizzamento enormemente superiore (essendo costituiti da numeri binari rappresentati con 128 bit). Il Garante sottolinea, inoltre, la necessità che l’uso dei cookie analytics sia limitato unicamente alla produzione di statistiche aggregate e che essi vengano utilizzati in relazione ad un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi. Resta inteso pertanto che i soggetti terzi, che forniscono al publisher il servizio di web measurement, non dovranno comunque combinare i dati, anche così minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) né trasmetterli a loro volta ad ulteriori terzi, pena l’inaccettabile incremento dei rischi di identificazione dell’utente; tranne il caso in cui la produzione di statistiche da loro effettuata con i dati minimizzati interessi più domini, siti web o app riconducibili al medesimo publisher o gruppo imprenditoriale. E’ tuttavia possibile reputare lecito, anche in assenza dell’adozione delle prescritte misure di minimizzazione, il ricorso ad analisi statistiche relative a più domini, siti web o app riconducibili al medesimo titolare purché questi proceda in proprio all’elaborazione statistica, senza in ogni caso che tali analisi si risolvano in una attività che, travalicando i confini di un mero conteggio statistico, assuma in realtà le caratteristiche di una elaborazione volta all’assunzione di decisioni di natura commerciale”.
1. Quadro giuridico di riferimento.
1.1. La Policy si ispira ai seguenti provvedimenti normativi (di primo e/o di secondo livello) comunitari e/o nazionali: (i) Direttiva n. 2002/58/CE del 12.7.2012 (cd. Direttiva ePrivacy), così come modificata dalla Direttiva n. 2009/136/CE; (ii) art. 122 del novellato D.Lgs. n. 196/2003 (Codice Privacy), il quale ha recepito, all’interno dell’ordinamento giuridico nazionale, la Direttiva ePrivacy; (iii) GDPR: artt. 4 n. 11), 7, 12, 13, 25 e 95 (oltre, in particolar modo, al Considerando n. 30, 32 e 173); (iv) Linee Guida n. 5/2020 adottate il 4.5.2020 dall’EDPB, in sostituzione delle Linee Guida del 10.4.2018 a firma del WP Art. 29; (v) Provvedimento n. 231 del 10.6.2021 [doc. web n. 9677876] a firma dell’Autorità Garante per la protezione dei dati personali (Garante Privacy); (vi) Raccomandazione n. 2/2001 del WP Art. 29; (vii) Parere n. 2/2010 del WP Art. 29; (viii) Parere n. 4/2012 del WP Art. 29; (ix) Linee Guida n. 8/2020 dell’EDPB; (viii) Provvedimenti n. 224 del 9.6.2022 [doc. web n. 9782890],
n. 243 del 7.7.2022 [doc. web n. 9806053] e n. 254 del 21.7.2022 [doc. web n. 9808698] a firma del Garante Privacy.
2. Cookie e altri strumenti di tracciamento: definizione e classificazione.
2.1. I “cookie”1 sono, di regola, delle stringe di testo che un sito internet (“publisher” o di “prima parte”) visitato dall’utente ovvero un sito web differente (di “terza parte”) posiziona ed archivia, direttamente (nel caso del sito internet di prima parte) o indirettamente (tramite quest’ultimo, nell’ipotesi del sito internet di terza parte), all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo: in merito, il Garante Privacy ha specificato il fatto che le informazioni, codificate nei cookie, possono includere sia dati personali ex art. 4 n. 1) del GDPR (es. indirizzo IP; nome utente; indirizzo email; identificativo univoco) sia dati non personali ex art. 3 n. 1) del Regolamento UE n. 1807/2018 (es. lingua; tipologia del dispositivo utilizzato).
A fianco (o oltre) di essi, possono sussistere (ed essere, dunque, utilizzati) gli “altri strumenti di tracciamento”, suddivisibili in “attivi” (i quali possiedono pressoché le medesime caratteristiche dei cookie) e in “passivi” (es. finger printing).
2.2. Al di là delle descritte caratteristiche intrinseche, i cookie (e gli altri strumenti di tracciamento) possono registrare peculiarità differenti sotto il profilo temporale (e, dunque, essere considerati di “sessione”2 o “permanenti”3 , in ragione della loro durata), dal punto di vista soggettivo (a seconda che il publisher agisca autonomamente o per conto di una “terza parte”) nonché, infine (ma in particolar modo), in base alla finalità di trattamento perseguita, così da poter essere suddivisi in due differenti (macro) categorie:
-
“tecnici”, utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (art. 122 comma 1) del Codice Privacy).
In proposito, il Garante Privacy ha evidenziato, all’interno del Provvedimento n. 231 del 10.6.2021 (in linea di continuità con il precedente Provvedimento in materia del 2014), che i “cookie analytics”4 possono ben essere ricompresi all’interno dell’alveo dei cookie (o altri strumenti di tracciamento) di natura “tecnica” (e, dunque, possono essere utilizzati in assenza della previa acquisizione del consenso da parte del soggetto interessato), al verificarsi di determinate condizioni, volte a precludere la possibilità che si pervenga, mediante il loro utilizzo, alla diretta individuazione del soggetto interessato (single out)5. - “di profilazione”/”di marketing” (cd. non tecnici), utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al Titolare del trattamento, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati (ossia, in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete).
3.1. All’interno del Sito, sono state installate (o possono essere installate, previo ottenimento dello specifico consenso da parte dell’utente) le seguenti tipologie di cookie:
| Denominazione | Tipologia | Funzione | Prima/Terza parte | Durata |
|---|---|---|---|---|
| _IP_ID | Analitico | Raccoglie statistiche sugli accessi al sito internet (es. numero di accessi; tempo medio trascorso;) | Prima parte | 1 anno |
| _PK_SES | Analitico | Utilizzato per tracciare le richieste di pagine del visitatore durante la sessione. | Prima parte | 1 giorno |
4. Impostazioni del browser.
4.1. ASST RHODENSE evidenzia la possibilità, in capo all’utente, di cancellare e di bloccare l’operatività dei cookie descritti al precedente art. 3 in qualsiasi momento utilizzando le apposite funzionalità di impostazione presenti all’interno del browser utilizzato: al riguardo, ASST RHODENSE aggiunge che, laddove l’utente decida di disattivare i cookie tecnici di cui all’art. 2.2. punto i), la qualità e la rapidità dei servizi e delle funzionalità offerte e messe a disposizione del Sito potrebbero peggiorare.
È possibile reperire informazioni su come gestire i cookie con alcuni dei browser più diffusi visitando le seguenti pagine web:
» https://support.google.com/chrome/answer/95647?hl=it
» https://support.mozilla.org/it/kb/Gestione dei cookie?redirectlocale=enUS&redirectslug=Cookies
» https://support.microsoft.com/it-it/help/17442
» https://support.microsoft.com/it-it/help/4468242/microsoft-edge-browsing-data-and-privacy-microsoft-privacy
» https://support.apple.com/it-it/guide/safari/sfri11471/mac
» https://support.apple.com/it-it/HT201265
» https://help.opera.com/en/latest/security-and-privacy/#clearBrowsingData
5. Diritti del soggetto interessato.
5.1. In relazione ai dati personali dell’utente, ASST RHODENSE informa che il relativo soggetto interessato ex art. 4 n. 1) del GDPR possiede la facoltà di esercitare i seguenti diritti eventualmente soggetti alle limitazioni previste dagli artt. 2 undecies e 2 duodecies del Codice Privacy: diritto di accesso ex art. 15 del GDPR: diritto di ottenere la conferma che sia o meno in corso un trattamento di dati personali che riguardano l’interessato, oltre che le informazioni di cui all’art. 15 del GDPR (es. finalità di trattamento, periodo di conservazione); diritto di rettifica ex art. 16 del GDPR: diritto di correggere, aggiornare o integrare i dati personali; diritto alla cancellazione ex art. 17 del GDPR: diritto di ottenere la cancellazione o distruzione o anonimizzazione dei dati personali, laddove tuttavia ricorrano i presupposti elencati nel medesimo articolo; diritto di limitazione del trattamento ex art. 18 del GDPR: diritto con connotazione marcatamente cautelare, teso ad ottenere la limitazione del trattamento laddove sussistano le ipotesi disciplinate dallo stesso art. 18; diritto alla portabilità dei dati ex art. 20 del GDPR: diritto di ottenere i dati personali, forniti a ASST RHODENSE, in un formato strutturato, di uso comune e leggibile da un sistema automatico (e, ove richiesto, di trasmetterli, in modo diretto, ad un altro Titolare del trattamento), laddove sussistano le specifiche condizioni indicate dal medesimo articolo (es. base giuridica del consenso e/o esecuzione di un contratto; dati personali forniti dall’interessato); diritto di opposizione ex art. 21 del GDPR: diritto di ottenere la cessazione, in via permanente, di un determinato trattamento di dati personali; diritto di proporre reclamo all’Autorità di Controllo (ossia, Garante Privacy italiano) ex art. 77 del GDPR: diritto di proporre reclamo laddove si ritiene che il trattamento oggetto d’analisi violi la normativa nazionale e comunitaria sulla protezione dei dati personali.
5.2. In aggiunta ai diritti descritti al precedente art. 5.1., ASST RHODENSE precisa che, in relazione ai dati personali dell’interessato, sussiste, ove possibile e conferente, la facoltà di esercitare, da un lato, il (sotto) diritto previsto dall’art. 19 del GDPR (“Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell’articolo 16, dell’articolo 17, paragrafo 1, e dell’articolo 18, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all’interessato tali destinatari qualora l’interessato lo richieda”), da considerarsi connesso e collegato all’esercizio di uno o più diritti regolamentati agli artt. 16, 17 e 18 del GDPR; dall’altro lato, ASST RHODENSE precisa che, in relazione ai dati personali dell’interessato, sussiste, ove possibile e conferente, la facoltà di esercitare il diritto previsto dall’art. 22 paragrafo 1) del GDPR (“L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”), fatte salve le eccezioni previste dal successivo paragrafo 2).
5.3. In ossequio all’art. 12 paragrafo 1) del GDPR, ASST RHODENSE si impegna a fornire all’utente le comunicazioni di cui agli artt. da 15 a 22 e 34 del GDPR in forma concisa, trasparente, intellegibile, facilmente accessibile e con un linguaggio semplice e chiaro: tali informazioni saranno fornite per iscritto o con altri mezzi eventualmente elettronici ovvero, su richiesta dell’utente, saranno fornite oralmente purché sia comprovata, con altri mezzi, l’identità di quest’ultimo.
5.4. In ossequio all’art. 12 paragrafo 3) del GDPR, ASST RHODENSE informa che si impegna a fornire all’utente le informazioni relative all’azione intrapresa riguardo ad una richiesta ai sensi degli artt. da 15 a 22 del GDPR senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa; tale termine può essere prorogato di n. 2 mesi se necessario, tenuto conto della complessità e del numero delle richieste (in tal caso, il Titolare si impegna ad informare l’utente di tale proroga e dei motivi del ritardo, entro un mese dal ricevimento della richiesta).
5.5. L’utente può esercitare, in qualsiasi momento, i sopra descritti diritti (fatta eccezione per il diritto ex art. 77 del GDPR) mediante l’utilizzo dei dati di contatto illustrati all’art. 6.
6. Dati di contatto.
6.1. ASST RHODENSE può essere contattata al seguente recapito: privacy@asst-rhodense.it
6.2. Il Responsabile della protezione dei dati (RPD/DPO) ex art. 37 del GDPR, nominato da ASST RHODENSE, è l’avv. Gabriele Borghi, il quale può essere contattato al seguente recapito: responsabileprotezionedati@asst-rhodense.it
7. Social plug-in.
7.1. Nel rispetto delle Linee Guida n. 8/2020 dell’EDPB, ASST RHODENSE precisa, altresì, di rivestire la qualifica di co-Titolare del trattamento ex artt. 4 n. 7) e 26 del GDPR con alcuni social media provider (es. YouTube; Instagram; Youtube), in ragione dell’installazione, all’interno del Sito, dei relativi social plug-in, facilmente visionabili e fruibili nel Sito.
Garbagnate Milanese (MI), lì 06/10/2022 (data di ultimo aggiornamento).
AZIENDA SOCIO-SANITARIA TERRITORIALE RHODENSE
(in persona del suo legale rappresentante pro tempore)
1 Cfr. Considerando n. 30) del GDPR (“Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”), ed art. 122 commi 1) e 2) del Codice Privacy (“1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente. 2. Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente…”); cfr., altresì, pag. 15) del Provvedimento n. 231 del 10.6.2021 a firma del Garante Privacy: “…non esiste ancora, ad oggi, un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento che consenta di distinguere oggettivamente, ad esempio, quelli tecnici dagli analitycs o da quelli di profilazione, se non basandosi sulle indicazioni rese dal titolare stesso nella privacy policy […] l’auspicio che si addivenga in tempi rapidi ad una codifica di carattere generale”.
2 Cookie progettati per raccogliere e memorizzare dei dati mentre un’utente accede ad un sito internet, e scompaiono una volta che quest’ultimo abbia chiuso la relativa sessione di navigazione.
3 Cookie idonei a durare per un periodo di tempo prestabilito (es. minuti; mesi; anni).
4 I cookie analitici vengono, di solito, utilizzati per valutare l’efficacia di un servizio della società dell’informazione fornito da un publisher, per la progettazione di un sito internet o, infine, per contribuire a misurarne il traffico (ossia, il numero dei visitatori, anche eventualmente ripartiti per area geografica, fascia oraria della connessione).
5 Cfr. Provvedimento n. 231 del 10.6.2021 a firma del Garante Privacy, pag. 13/14: “La struttura del cookie analytics dovrà allora prevedere la possibilità che lo stesso sia riferibile non soltanto ad uno, bensì a più dispositivi, in modo da creare una ragionevole incertezza sull’identità informatica del soggetto che lo riceve. Di regola questo effetto si ottiene mascherando opportune porzioni dell’indirizzo IP all’interno del cookie. Tenuto conto della rappresentazione degli indirizzi IP versione 4 (IPv4) a 32 bit, che sono usualmente rappresentati e utilizzati come sequenza di quattro numeri decimali compresi tra 0 e 255 separati da un punto, una delle misure implementabili al fine di beneficiare dell’esenzione consiste nel mascheramento almeno della quarta componente dell’indirizzo, opzione che introduce una incertezza nell’attribuzione del cookie ad uno specifico interessato pari a 1/256 (circa 0,4%). Analoghe procedure dovrebbero essere adottate in riferimento agli indirizzi IP versione 6 (IPv6), che hanno una differente struttura e uno spazio di indirizzamento enormemente superiore (essendo costituiti da numeri binari rappresentati con 128 bit). Il Garante sottolinea, inoltre, la necessità che l’uso dei cookie analytics sia limitato unicamente alla produzione di statistiche aggregate e che essi vengano utilizzati in relazione ad un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi. Resta inteso pertanto che i soggetti terzi, che forniscono al publisher il servizio di web measurement, non dovranno comunque combinare i dati, anche così minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) né trasmetterli a loro volta ad ulteriori terzi, pena l’inaccettabile incremento dei rischi di identificazione dell’utente; tranne il caso in cui la produzione di statistiche da loro effettuata con i dati minimizzati interessi più domini, siti web o app riconducibili al medesimo publisher o gruppo imprenditoriale. E’ tuttavia possibile reputare lecito, anche in assenza dell’adozione delle prescritte misure di minimizzazione, il ricorso ad analisi statistiche relative a più domini, siti web o app riconducibili al medesimo titolare purché questi proceda in proprio all’elaborazione statistica, senza in ogni caso che tali analisi si risolvano in una attività che, travalicando i confini di un mero conteggio statistico, assuma in realtà le caratteristiche di una elaborazione volta all’assunzione di decisioni di natura commerciale”.