TRATTAMENTO DATI PERSONALI

INFORMAZIONI SPECIFICHE PER SISTEMA “SALUTESIMPLEX”

(ai sensi degli artt. 12, 13 e 14 Regolamento UE 2016/679 e delle relative norme di armonizzazione)

Gentile utente,

il Sistema “SaluteSimplex” offre la possibilità di accedere, tramite abilitazione specifica, ai servizi digitali della sanità

ligure direttamente dal tuo smartphone o tablet, tramite un’interfaccia web oppure un’applicazione mobile.

Il nuovo sistema raccoglie in un solo punto di accesso i servizi sanitari online, come la prenotazione di visite ed esami,

la prenotazione del vaccino anticovid e antiinfluenzale, il cambio del medico, la consultazione in tempo reale dei tempi

di attesa dei pronto soccorso, l’elenco delle ricette, l’autocertificazione per esenzione, la ricerca del defibrillatore più

vicino e altri servizi.

In questo quadro, Liguria Salute - in qualità di titolare del trattamento per la gestione di SaluteSimplex - La informa che

i Suoi dati, anche appartenenti alle categorie particolari di cui all’art. 9 del Regolamento UE 2016/679 sulla protezione

dei dati personali (di seguito anche solo “GDPR”), verranno trattati in ottemperanza alla normativa vigente al solo scopo

di consentire la gestione in tutte le sue fasi del servizio ivi comprese le attività amministrative correlate.

Si evidenzia che Liguria Salute. agisce in qualità di titolare del trattamento unicamente in merito alla gestione del

Sistema “SaluteSimplex”, mentre per i singoli servizi digitali della sanità ligure resi accessibili restano comunque titolari

del trattamento i diversi Soggetti del SSR ligure (AASSLL ed Enti/Istituti del SSR ligure) che li erogano.

La presente informativa è resa limitatamente all’utilizzo delle funzionalità del solo Sistema “SaluteSimplex” e non si

estende ad altri applicativi o siti web eventualmente accessibili o consultabili mediante collegamento interno all’app

stessa ovvero ad altre risorse online eventualmente consultabili mediante collegamento ipertestuale.

Tali trattamenti, infatti, si svolgeranno in conformità alle specifiche informative messe a disposizione dai vari Soggetti

del SRR ligure e applicabili ai singoli servizi, che le verrà richiesto di consultare in fase del loro utilizzo.

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali è Liguria Salute (già A.Li.Sa.), con sede in Piazza della Vittoria, 15 – 16121

Genova (GE), ai sensi della L.R. n. 17/2016, contattabile all’indirizzo e-mail/PEC protocollo@pec.alisa.liguria.it.

2. Responsabile della Protezione dei Dati

Ai sensi degli artt. 37 – 39 del GDPR, Liguria Salute ha provveduto a nominare il DPO/RPD, contattabile all’indirizzo e-

mail: rpd@alisa.liguria.it.

3. Categorie di dati trattati

L’utilizzo di SaluteSimplex e dei relativi servizi è connesso al trattamento delle seguenti tipologie di dati:

a. Dati trattati al momento dell’autenticazione

Per usare l’area ad accesso riservato di SaluteSimplex occorre accedere tramite un sistema di identità digitale

(SPID o CIE). Il portale ottiene direttamente dal fornitore dell’identità digitale i dati identificativi e di contatto

necessari alla Sua identificazione. Tali dati vengono trattati per permettere l’utilizzo di SaluteSimplex, le sue

funzionalità e i servizi forniti, e vengono memorizzati per permetterti di gestire le Sue preferenze.

Tra questi, i singoli servizi verticali utilizzeranno il Suo codice fiscale per raggiungerti tramite SaluteSimplex.

Inoltre, il sistema Le propone la possibilità di accedere con modalità semplificate, scegliendo un codice a 6

cifre che rimane valido, a sua scelta, per 30 giorni oppure per 365 giorni.

Nella fase di selezione dell'eventuale validità di 365 giorni, Le sarà richiesto di dichiarare di possedere

un'identità digitale di durata uguale o superiore alla durata dell'accesso semplificato con PIN.

b. Dati trattati nell’ambito di utilizzo di SaluteSimplex

Durante l’utilizzo di SaluteSimplex, il sistema tratta i seguenti dati:

• Dati anagrafici e di contatto

• Dati relativi alla salute, in base al servizio utilizzato

• Dati relativi alla sua navigazione e all’utilizzo del sistema (indirizzo IP, log di accesso, tipologia di

operazione compiuta, data e ora di esecuzione, codifica http) anche attraverso cookie tecnici e

analitici, come meglio specificato al par. 7.

c. Dati trattati nella sezione “Preferenze”

L’APP mobile offre la possibilità di ricevere alcuni messaggi a contenuto remoto, cd. Notifiche, di due tipologie:

1. Notifiche broadcast: se attivate, prevedono l’invio a tutti gli utenti di notifiche a contenuto generico

(comunicazioni, informazioni di carattere generale, aggiornamenti), previo consenso. L’utente ha la

facoltà di modificare in qualsiasi momento i permessi dell’APP tramite le impostazioni del proprio

dispositivo.

2. Notifiche push personalizzate: se attivate, prevedono l’invio personalizzato di notifiche per alcune

tipologie di servizi. Il testo delle notifiche non contiene dati personali riconducibili all’utente.

4. Finalità del trattamento e base giuridica del trattamento

Il presente trattamento verrà effettuato per le seguenti finalità:

1. progettazione, implementazione, sviluppo e gestione del Sistema “SaluteSimplex” in vista di fornire ai cittadini

che usufruiscono dei servizi sanitari sul territorio ligure un punto di accesso unico ai principali servizi del SSR,

razionalizzando l’accessibilità all’offerta sanitaria regionale e semplificandone la fruibilità;

2. limitatamente all’APP mobile, inviare, previo consenso, notifiche push personalizzate (sulla base del codice

fiscale dell’utente) per i servizi abilitati.

La base giuridica del trattamento per la finalità di cui al punto 1 è da individuarsi nell’art. 6, par. 1, lett. e) del GDPR e

nell’articolo 2-ter del Codice privacy, nonché nell’art. 9, par. 2, lett. g), h), i) del GDPR e nell’art. 2-sexies, comma 2, lett.

t), u), v) del Codice privacy per quanto alle categorie particolari di dati personali (dati relativi alla salute). Si richiamano

la Deliberazione del Consiglio Regionale della Liguria 30 maggio 2023, n. 6 che ha approvato il Programma Strategico

Digitale della Regione Liguria 2023 – 2025 e la Deliberazione della Giunta Regionale del 28 marzo 2024, n. 307.

Il conferimento dei dati personali che Le sono richiesti è facoltativo, ma necessario al fine di garantire il corretto accesso

e funzionamento a SaluteSimplex (portale web o APP), per questa ragione, il mancato conferimento di tali informazioni

comporta l’impossibilità di utilizzare SaluteSimplex.

La base giuridica relativa all’eventuale invio di notifiche (finalità 2) è, invece, rinvenibile nell’art. 6, par. 1, lett. a) e art.

9, par. 2, lett. a) del GDPR, ossia nel Suo consenso esplicito che potrà, comunque, essere revocato in qualsiasi momento.

Il mancato consenso o, laddove prestato, la sua revoca non comportano alcun pregiudizio in merito alla possibilità di

utilizzare l’APP per fruire dei servizi del SSR da essa accessibili, implicheranno esclusivamente l’impossibilità di ricevere

tali notifiche. La revoca del consenso, inoltre, non pregiudica la liceità dei trattamenti basati sul consenso prima della

revoca.

5. Periodo di conservazione dei dati

Ai sensi dell’art. 5, par. 1, lett. e) del Regolamento Europeo i dati personali sono conservati in una forma che consenta

l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono

trattati.

I dati di log delle richieste di accesso tramite SPID/CIE sono conservati per 24 mesi dall’invio della richiesta di

autenticazione, mentre i dati di navigazione saranno conservati per un periodo non superiore a 12 mesi. Non sono

invece conservati i dati personali, compresi quelli relativi alla salute, che vengono resi disponibili agli utenti in fase di

consultazione e utilizzo dei servizi.

Con riferimento ai dati relativi ai singoli servizi presenti su SaluteSimplex, i tempi di conservazione e cancellazione sono

disponibili nelle rispettive informative.

6. Comunicazione dei dati e categorie di destinatari

I dati personali forniti dall’interessato saranno comunicati a destinatari che tratteranno i dati per le finalità sopra

elencate, in qualità di:

• Responsabili del trattamento ex art. 28 GDPR: Liguria Digitale S.p.A.

I dati personali potranno, altresì, essere comunicati ai Soggetti del SSR ligure (AASSLL ed Enti/Istituti del SSR ligure) i cui

servizi sono raggiungibili attraverso SaluteSimplex e/o ad altri Soggetti pubblici e privati la cui facoltà di accedervi è

riconosciuta da una norma di legge o di regolamento o da atti amministrativi generali ovvero per l’esecuzione di un

compito di interesse pubblico o connesso all’esercizio di un pubblico potere, che li tratteranno quali autonomi titolari.

7. Utilizzo dei cookie

Si informa che SaluteSimplex prevede la sola presenza di cookie tecnici o altri strumenti analoghi (cookie analitici). È

escluso l’utilizzo di cookie volti a creare profili relativi all’utente (cd. di profilazione), volti ad inviare messaggi pubblicitari

in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.

L’unico trattamento effettuato su questo sito web riguarda la produzione di statistiche attraverso l’uso di cookie

analitici, svolto con dati pseudonimizzati.

Per ottimizzare informazioni e servizi offerti, viene utilizzato il sistema Matomo Analitycs che consente di tracciare e

analizzare il comportamento degli utenti online per quanto riguarda tempi, ubicazione geografica e comportamento sul

sito.

Per tutelare al meglio tali dati, la sicurezza del sistema è rafforzata con una serie di specifici controlli e configurazioni al

fine di ridurre ulteriormente il trattamento di dati indentificativi (cfr. https://matomo.org/docs/privacy-how-to) che

prevedono le seguenti misure:

• trattamento solo tramite registrazione dei dati di navigazione strettamente necessari all'erogazione del servizio

eseguito dal Titolare e senza terze parti;

• anonimizzazione dell'indirizzo IP mascherando gli ultimi due byte, per garantire di non memorizzare l'IP del

visitatore, in quanto si tratta di Personal Identifiable Information (PII);

• anonimizzazione dei dati grezzi precedentemente tracciati;

• ogni 3 mesi, cancellazione automatica dal database dei vecchi dati in formato RAW (log dei visitatori);

• non vengono tracciati i visitatori che hanno specificato nei loro browser web la volontà di non essere tracciati;

• non vengono tracciati i visitatori che fanno opt-out andando a “deselezionare” l'apposita casella nel riquadro

qui di seguito.

8. Strumenti di tracciamento

L’APP SaluteSimplex può inviare notifiche personalizzate su richiesta e autorizzazione dell’utente. Per l’invio di tali

notifiche viene utilizzato un servizio offerto dal sistemo operativo del proprio dispositivo (Google o Apple), che utilizza

l'ID del dispositivo per recapitare i messaggi. Tale ID, potendo identificare l’utente, anche se in modo indiretto, comporta

un trattamento di dati personali: si rinvia pertanto alle privacy policy del servizio per il dettaglio delle modalità di

trattamento e l'indicazione dei tempi di conservazione dei dati da parte di Google e Apple.

9. Trasferimento dati personali

I dati personali non saranno in alcun modo oggetto di trasferimento in un Paese terzo extra europeo, eccetto qualora

Lei acconsenta a ricevere notifiche push personalizzate.

L’uso di questo servizio di Google o Apple potrebbe comportare la conservazione dei dati anche in paesi extra-europei,

in particolare negli Stati Uniti. Tali trasferimenti sono legittimati dalla presenza di uno o più meccanismi che

garantiscono adeguati livelli di tutela (es. verifica dell’adesione dei fornitori al data Privacy Framework, sottoscrizione

di Clausole Contrattuali Standard della Commissione Europea).

10. Esercizio dei diritti da parte degli interessati

Potrà esercitare i Suoi diritti nei confronti dei titolari del trattamento, secondo quanto indicato nelle rispettive

informative rese disponibili all’interno della scheda di ciascun servizio.

Potrà invece esercitare i seguenti diritti, rispetto ai dati personali trattati da Liguria Salute. in qualità di titolare del

trattamento:

Diritto di revoca del consenso

Ha il diritto di revocare, in qualsiasi momento, il consenso prestato senza alcun pregiudizio circa la liceità del trattamento

basata sul consenso prima della revoca.

Diritto di accesso

Ha il diritto di ottenere la conferma che siano o meno in corso trattamenti di dati personali che ti riguardano e in tal

caso, di ottenere l’accesso ai dati personali e alle informazioni espressamente previste all’art. 15 del GDPR.

Diritto di rettifica

Ha il diritto di ottenere la rettifica dei dati personali inesatti che ti riguardano nonché, tenuto conto delle finalità del

trattamento, il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione

integrativa. Ricordiamo che con riferimento ai dati SPID le richieste di rettifica dovranno essere inoltrate al provider

SPID.

Diritto di cancellazione

Nei limiti dei casi previsti dall’art. 17 del GDPR e di quanto applicabile, trattandosi di un trattamento di dati svolto per

l’adempimento di un compito di interesse pubblico, ha il diritto di ottenere la cancellazione dei dati personali che La

riguardano.

Diritto alla limitazione del trattamento

Ha il diritto di ottenere la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

• per il periodo necessario al Titolare del trattamento per verificare l’esattezza dei dati personali se ne ha

contestato l’esattezza;

• in caso di trattamento illecito dei dati personali se si opponi alla cancellazione dei dati personali chiedendone

una limitazione del trattamento;

• nel caso in cui, pur essendo i dati non più necessari e dovendo essere cancellati, ha la necessità che vengano

trattati per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

• per il periodo necessario alla verifica in merito all’eventuale prevalenza dei motivi legittimi del Titolare rispetto

alla Sua richiesta di opposizione al trattamento.

Diritto all’opposizione al trattamento

A fronte di una situazione particolare che La riguarda, è possibile opporsi all’ulteriore trattamento dei dati personali,

basati sull’esercizio di un compito di interesse pubblico, salvo il caso in cui prevalga l’esistenza di motivi legittimi cogenti

del Titolare alla prosecuzione dell’attività di trattamento che prevalgano sui tuoi diritti e libertà ovvero vi sia l’esigenza

di mantenere i dati per l’accertamento o la difesa di un diritto in sede giudiziaria.

In ogni caso l’interessato ha sempre diritto di proporre reclamo all'autorità di controllo competente (Garante per la

Protezione dei Dati Personali, www.garanteprivacy.it), ai sensi dell'art. 77 del Regolamento 2016/679, qualora ritenga

che il trattamento dei Suoi dati sia contrario alla normativa in vigore www.garanteprivacy.it.

Trattamenti svolti da Liguria Salute in qualità di Responsabile del trattamento

Liguria Salute agisce in qualità di responsabile del trattamento con riferimento ai trattamenti relativi ai servizi offerti

dalle Aziende territoriali nell’ambito dell’Anagrafe Sanitaria Regionale e al Fascicolo Sanitario Elettronico reso

disponibile da Regione Liguria.

Di seguito, si rendono disponibili le informative sul trattamento dei dati personali degli Enti:

• Anagrafe Sanitaria Regionale –

https://poliss.regione.liguria.it/components/com_publiccompetitions/includes/download.php?id=292:tratta

mento-dati-personali-mediante-il-servizio-online-anagrafe-sanitaria-regionale.pdf

• Fascicolo Sanitario Elettronico - https://www.fascicolosanitario.liguria.it/fselig/informativaDatiPersonali