Informativa per il personale relativa al trattamento dei dati personali effettuato tramite il Portale della Formazione di Ospedale San Raffaele ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (GDPR)
Gent.mo dipendente/collaboratore,
Ospedale San Raffaele S.r.l., con sede legale in Milano, in via Olgettina n. 60,20132, Cod. Fisc. 07636600962, P.IVA 07636600962, e-mail hsrsanraffaele@hsr.postecert.it, rappresentato dall’Ing. Elena Angela Maria Bottinelli, Amministratore Delegato e legale rappresentante, in qualità di titolare del trattamento dei dati personali (il “Titolare” o la “Società”), intende fornirLe, nella Sua qualità di soggetto interessato (l’“Interessato”) le specifiche informazioni sul trattamento dei dati personali effettuato tramite il Portale della Formazione di Ospedale San Raffaele (https://osr.sailportal.it) in virtù del rapporto di lavoro o di collaborazione instaurato con il Titolare, ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (“GDPR”) e della normativa europea e nazionale che lo integra e/o lo modifica (“Normativa Privacy Applicabile”), ivi compreso il Decreto Legislativo n. 196/2003, come modificato dal Decreto Legislativo n. 101/2018 (di seguito, “Codice Privacy”).
1. Data Protection Officer – Responsabile per la protezione dei dati
Il Titolare ha nominato un responsabile per la protezione dei dati (“Data Protection Officer” o “DPO”), come previsto dal GDPR, con compiti di sorveglianza, vigilanza e consulenza specialistica in ambito privacy contattabile per eventuale supporto al seguente indirizzo di posta elettronica: dpo@hsr.it.
2. Dati personali oggetto del trattamento
Il Titolare tratterà i Suoi dati personali raccolti tramite il Portale della Formazione di Ospedale San Raffaele, tra cui rientrano, a titolo esemplificativo e non esaustivo, nome, cognome, indirizzo e-mail, codice fiscale, nonché le informazioni relative ai corsi formativi effettuati ed al conseguimento dei relativi crediti formativi (i “Dati Personali”).
3. Finalità e base giuridica del trattamento
I Suoi Dati Personali sono trattati dal Titolare per le finalità relative alla erogazione della formazione al personale, inclusa la formazione obbligatoria ai sensi della normativa vigente, nonché alla registrazione dei crediti formativi, nell’ambito dell’esecuzione del contratto di lavoro o di collaborazione di cui l’Interessato è parte nonché per adempiere un obbligo legale al quale è soggetto il Titolare, ad esempio in materia di salute e sicurezza sul lavoro e responsabilità amministrativa degli Enti (art. 6 co.1 lett. b) e c) del GDPR).
Il conferimento dei suoi Dati Personali per le finalità sopra indicate è necessario al fine di dare esecuzione al rapporto di lavoro o di collaborazione con il Titolare e di adempiere obblighi di legge in materia di formazione del personale.
4. Modalità del trattamento
Il trattamento dei Dati Personali avverrà – secondo i principi correttezza, liceità e trasparenza – tramite supporti e/o strumenti informatici, manuali e/o telematici, con logiche strettamente correlate alle finalità del trattamento e comunque garantendo la riservatezza e sicurezza dei dati stessi e il rispetto degli obblighi specifici sanciti dalla legge.
La disponibilità, la gestione, l’accesso, la conservazione e la fruibilità dei dati è garantita dall’adozione di misure tecniche e organizzative per assicurare idonei livelli di sicurezza ai sensi degli artt. 25 e 32 del GDPR, nonché, in relazione alle specifiche finalità di trattamento individuate dalla normativa applicabile.
Il trattamento è svolto ad opera di soggetti debitamente autorizzati e istruiti dal Titolare e in ottemperanza a quanto previsto dall’art. 29 del GDPR: tra essi figurano anche alcuni amministratori di sistema, che potrebbero
avere accesso ai suoi Dati Personali durante l’espletamento delle loro mansioni. I rispettivi nominativi sono pubblicati sulla intranet aziendale.
5. Ambito di comunicazione dei Dati Personali
Nello svolgimento della propria attività e per il perseguimento delle finalità di cui al precedente paragrafo 3, il Titolare potrà comunicare i Dati Personali a:
- organi della pubblica amministrazione (enti, ministeri, amministrazione finanziaria, istituti previdenziali e assistenziali, organi preposti alla vigilanza in materia sanitaria e di polizia) in ottemperanza ad obblighi previsti dalla legge;
- autorità giudiziaria;
- società di servizi e/o consulenti esterni del Titolare che svolgono attività strumentali alla gestione del personale nonché fornitori di beni/servizi relativi alla piattaforma tramite cui viene erogata la formazione.
I Dati potrebbero essere comunicati a società controllate e collegate del Titolare, ai sensi dell’art. 6, par. 1, lett. f) e dei Considerando 47 e 48 del GDPR, per finalità amministrative e contabili, intendendosi per tali quelle connesse all’attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati, fra le quali le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali e alla gestione del rapporto di lavoro in tutte le sue fasi.
Tali soggetti agiranno, di regola, quali autonomi Titolari delle rispettive operazioni di trattamento, salvo il caso in cui agiscano per conto del Titolare in qualità di Responsabili del trattamento e abbiano pertanto sottoscritto un apposito contratto che disciplini puntualmente i trattamenti loro affidati, ai sensi dell’art. 28 del GDPR. L’elenco completo ed aggiornato dei destinatari dei dati potrà essere richiesto al Titolare ovvero al DPO, ai recapiti sopra indicati.
I Suoi dati personali non saranno soggetti a trasferimento verso Paesi terzi rispetto all’Unione Europea od organizzazioni internazionali. Qualora tale trasferimento dovesse rendersi necessario per perseguire le finalità sopra descritte, si rende noto che esso avverrà esclusivamente verso Paesi oggetto di una decisione di adeguatezza da parte della Commissione Europea o, in ogni caso, secondo le modalità consentite dagli artt. 46 e seguenti GDPR., quali ad esempio, il consenso dell’interessato, l’adozione di Clausole Standard approvate dalla Commissione Europea, la selezione di soggetti aderenti a programmi internazionali per la libera circolazione dei dati (es. EU-USA Privacy Shield).
6. Conservazione dei dati personali
Nel rispetto dei principi di liceità, limitazione delle finalità e minimizzazione dei dati, ai sensi dell’art. 5 del GDPR, i Suoi Dati Personali saranno conservati per la durata del rapporto di lavoro e per l'adempimento dei relativi obblighi e, comunque, secondo i termini applicabili per legge in materia giuslavorista, previdenziale, nonché dei termini prescrizionali previsti per l'esercizio dei diritti discendenti dal rapporto lavorativo anche dopo la definitiva cessazione.
Fermo restando quanto sopra e salvo l’adempimento da parte del Titolare di ogni ulteriore obbligo di legge, i Dati non verranno conservati oltre 10 anni dal momento in cui il dipendente o collaboratore avrà raggiunto l’età pensionabile.
Maggiori informazioni sono disponibili, su richiesta, presso il Titolare o il DPO ai contatti sopraindicati.
7. Diritti dell’Interessato
Ai sensi degli articoli dal 15 al 22 del GDPR, Lei ha il diritto di:
- ottenere da parte del Titolare, la conferma che sia o meno in corso un trattamento di dati personali che la riguardano e in tal caso, ottenere l’accesso ai suoi dati, nonché, qualora i dati non siano raccolti presso l’Interessato, ricevere tutte le informazioni disponibili sulla loro origine;
- conoscere le finalità del trattamento, le categorie dei dati in questione, i destinatari o le categorie di destinatari cui i dati sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali, il periodo di conservazione dei dati previsto o i criteri utilizzati per determinare tale periodo;
- chiedere al Titolare la rettifica, la cancellazione dei dati o la limitazione del trattamento dei dati che la riguardano;
- opporsi al trattamento dei dati, fatto salvo il diritto del Titolare di valutare la Sua istanza, che potrebbe non essere accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui Suoi interessi, diritti e libertà;
- essere messo a conoscenza dell’esistenza di un processo decisionale automatizzato, compresa la profilazione;
- ottenere la portabilità dei dati, nei casi previsti dalla legge;
- proporre reclamo ad un’autorità di controllo (Garante Privacy).
Le richieste vanno rivolte per iscritto al Titolare ovvero al DPO ai recapiti sopraindicati.