PER L’ATTIVITÀ FINALIZZATA AL RILASCIO DELLE CERTIFICAZIONI CE DI DISPOSITIVI MEDICI (DM), DI CUI ALLA DIRETTIVA 93/42/CEE E SS.MM.II E AL REGOLAMENTO (UE) N. 2017/745, E DI DISPOSITIVI MEDICO-DIAGNOSTICI IN VITRO (IVD) DI CUI ALLA DIRETTIVA 98/79/CE E SS.MM.II
(Aggiornate ai sensi del Regolamento UE 2016/679 e del Codice Privacy, come novellato dal D. Lgs. 101/2018)
Istituto Superiore di Sanità (in seguito “ISS” o “Titolare”) con sede legale in Roma, Viale Regina Elena n. 299, in qualità di Titolare del trattamento informa ai sensi dell’art. 13 Regolamento UE n. 679/2016 (in seguito “GDPR”) e del Codice Privacy, come novellato dal D. Lgs. 101/2018, che i dati personali saranno trattati con le modalità e per le finalità seguenti:
1. Finalità e Base Giuridica del Trattamento
I dati personali sono trattati per il raggiungimento delle finalità proprie del rapporto contrattuale e/o di misure precontrattuali e, comunque, per la gestione del rapporto commerciale in essere, o che si desidera intraprendere ai fini dell’assolvimento degli adempimenti istituzionali in materia di certificazione CE di Dispositivi medici (DM), di cui alla Direttiva 93/42/CEE e ss.mm.ii e al Regolamento (UE) N. 2017/745 e di i Dispositivi medico-diagnostici in vitro (IVD) di cui alla Direttiva 98/79/CE e ss.mm.ii, in quanto l’Organismo Notificato (ON) dell’ISS è attualmente l’unico Organismo Notificato italiano designato per le attività di certificazione di dispositivi medico-diagnostici in vitro.
La base giuridica del trattamento dei dati personali di cui al punto n. 1 delle seguenti informazioni privacy, dunque, si rinviene nell’art. 6, c. 1, lett b) del Reg. UE 679/2016, in quanto “il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso”.
2. Categorie di Dati personali
Per le finalità di cui al punto n. 1 potranno essere raccolte e, successivamente trattate, le seguenti categorie di dati personali:
- dati personali anagrafici (nome, cognome, firma);
- codice fiscale;
- dati di comunicazione elettronica;
- curriculum vitae;
- dati bancari
- rilievi fotografici e di immagini.
3. Modalità di Trattamento
Il trattamento dei dati personali da parte dell’Istituto avviene preliminarmente, nella fase precontrattuale di pre-richiesta di certificazione da parte del Cliente tramite registrazione sulla piattaforma ISS appositamente predisposta “https://www.iss.it/on-registrazione” e, successivamente, ad accettazione del preventivo, nelle fasi di stipula e di esecuzione del contratto per lo svolgimento dei servizi necessari al
rilascio delle certificazioni CE. I suddetti servizi comprendono anche attività di audit svolte presso la sede del fabbricante e/o del mandatario e/o del terzista ovvero da remoto.
I soggetti interessati dal trattamento dei dati personali di cui al punto n. 1 sono i rappresentanti e/o i dipendenti del fabbricante nonché del mandatario ed eventualmente dei subcontraenti/terzisti.
In quanto Titolare del trattamento dei dati personali, l’Istituto Superiore di Sanità garantisce elevati standard di sicurezza in relazione al trattamento degli stessi, mediante l’utilizzo di strumenti idonei ad assicurare la riservatezza.
Il trattamento dei dati personali è realizzato per mezzo delle operazioni indicate all’art. 4, par. 1, n. 2 GDPR e più precisamente: raccolta, registrazione, organizzazione, conservazione, consultazione, selezione, estrazione, raffronto, utilizzo, blocco, comunicazione, cancellazione e distruzione dei dati.
I dati sono trattati dal Titolare con modalità, strumenti e procedure informatiche, telematiche o cartacee, strettamente necessarie per realizzare le finalità descritte al punto n. 1.
Il trattamento dei dati da parte del Titolare avverrà nel rispetto di tutti i principi applicabili al trattamento dei dati personali contenuti all’art. 5 GDPR, quali quelli di liceità, correttezza e trasparenza; necessità e minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza.
L’ISS predispone misure di sicurezza fisiche, tecniche e organizzative ai sensi dell’art. 32 GDPR per conservare in modo sicuro e per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati (Data Breach).
4. Periodo di Conservazione
I dati personali verranno conservati per tutto il periodo necessario all’espletamento delle attività di certificazione, indicate al punto n. 1, e comunque per tutto il periodo di durata contrattuale (5 anni) fermi restando i tempi di conservazione ulteriori previsti dalla legge (precisamente i dati saranno conservati per un periodo ulteriore di 10 anni variabile nel caso di particolari Regolamento MDR e direttive UE che richiedano un termine di conservazione ulteriore), nonché l’obbligo di conservazione ulteriore imposto dalla legge per finalità di trasparenza o di tutela giudiziale di un diritto.
5. Accesso ai dati personali
I dati potranno essere accessibili per le finalità di cui al punto n.1:
- dalle persone autorizzate specificamente nominate per iscritto dal Titolare nell’ambito delle rispettive funzioni e in conformità delle istruzioni ricevute;
- società terze o altri soggetti che svolgono attività di outsourcing per conto del Titolare, nella loro qualità di Responsabili del trattamento, ovvero altri Enti, Organismi, Autorità verso i quali il Titolare del trattamento ha un obbligo di comunicazione previsto dalla legge e/o per le medesime finalità e base giuridica di cui al punto n. 1.
6. Natura del Trattamento
La comunicazione dei dati personali al Titolare ed il loro trattamento è strettamente necessaria allo svolgimento delle attività descritte al punto n. 1 e obbligatoria in base a leggi, regolamenti, normative nazionali o comunitarie.
L’eventuale Suo rifiuto di fornire i dati descritti al punto n. 2, per le finalità sopra specificate, comporta l’impossibilità di adempiere e dare seguito alle attività collegate alla certificazione di cui al punto n. 1.
7. Diritti dell’interessato
L’interessato dispone dei diritti di cui all’art. 15 GDPR ss. e più precisamente il diritto di accesso, il diritto di rettifica, il diritto alla cancellazione, il diritto di limitazione, il diritto alla portabilità dei dati personali, il diritto di opposizione, nonché il diritto di proporre reclamo all’Autorità Garante (art. 77 GDPR e 141 Codice Privacy, così come novellato dal D. Lgs. 101/2018).
8. Modalità di esercizio dei diritti
Il soggetto interessato potrà in qualsiasi momento esercitare i diritti inviando:
- una raccomandata a.r. a Istituto Superiore di Sanità con sede legale in viale Regina Elena n. 299, 00161 Roma, oppure mediante comunicazione all’indirizzo protocollo.centrale@pec.iss.it.
9. Identità e dati di contatto del:
- Titolare del trattamento
ISTITUTO SUPERIORE DI SANITÀ (I.S.S.), con sede legale in Viale Regina Elena n.299, 00161 – Roma, nella persona del suo Legale Rappresentante. PEC: protocollo.centrale@pec.iss.it.
- DPO – Responsabile della protezione dei dati personali
Scudo Privacy Srl- Dott. Carlo Villanacci. E-mail: responsabile.protezionedati@iss.it
