Politica sulla riservatezza
1. Introduzione
Teniamo molto alla privacy dei nostri utenti!
Insieme ai partner del Consorzio CoroPrevention ci impegniamo per adempiere a pieno agli obblighi imposti dal Regolamento generale sulla protezione dei dati (RGPD).
L’applicazione mobile CoroPrevention è accessibile e utilizzabile esclusivamente dai partecipanti al programma di prevenzione personalizzato CoroPrevention. Questa applicazione mobile consente di partecipare al suddetto programma e agevola il processo decisionale condiviso, inviando promemoria relativi agli obiettivi prefissati e all’assunzione dei farmaci. A tale scopo, è necessario che l’infermiere di riferimento per lo studio clinico riceva regolarmente un resoconto delle informazioni concernenti il comportamento, la prescrizione di farmaci e i parametri della persona interessata. Tale resoconto viene stilato sia inserendo le informazioni nell’applicazione sia durante le visite di controllo.
In qualità di produttori dell’applicazione CoroPrevention Tool Suite, noi di UniWeb BV ci siamo dati come massima priorità quella di garantire la sicurezza e la confidenzialità di tutti i servizi e sistemi offerti e dei dati in nostro possesso. Per il raggiungimento di tale obiettivo abbiamo sviluppato un sistema di gestione della sicurezza delle informazioni potente e affidabile che ha ottenuto la certificazione ISO 27001:2013.
Gli elevati standard di sicurezza delle informazioni raggiunti ci consentono di proteggere le informazioni critiche e sensibili archiviate nei nostri sistemi informativi da accessi non autorizzati e manipolazioni. Inoltre, i nostri sistemi ci permettono di salvaguardare i dati personali archiviati dal verificarsi di errori, incidenti o azioni illecite che potrebbero causare la pubblicazione non autorizzata, la divulgazione, la manomissione, la perdita o la distruzione dei dati stessi.
Sul sito web di CoroPrevention è possibile consultare un’informativa più dettagliata sulla protezione dei dati personali del programma CoroPrevention. Per quanto concerne l’applicazione mobile CoroPrevention, in caso di incongruenze e/o contraddizioni tra la presente politica di riservatezza e l’informativa sulla protezione dei dati personali di CoroPreventon fa fede quest’ultima.
2. Chi può accedere ai dati?
Il programma di prevenzione personalizzato CoroPrevention è gestito dai partner del Consorzio CoroPrevention.
Esclusivamente il personale incaricato allo studio clinico può avere accesso alle informazioni sulla reale identità dei partecipanti al programma. I dati acquisiti durante lo studio clinico vengono salvati in forma pseudonimizzata (con un ID soggetto) e criptati. Tali accorgimenti tecnici fanno sì che ai dati acquisiti possano accedere solo le persone appositamente autorizzate dal Consorzio CoroPrevention. Qualsiasi record di dati che, al di là dell’ID soggetto, possa consentire l’identificazione del soggetto coinvolto nello studio clinico (ad es. il documento di consenso informato firmato) viene gestito con la massima riservatezza dal personale clinico, salvo nella misura in cui tali dati siano necessari ai fini della corretta esecuzione del monitoraggio del trial, degli audit e delle visite obbligatorie.
L’elenco completo dei contitolari del trattamento dati è consultabile nell’informativa sulla protezione dei dati personali di CoroPrevention pubblicata nel sito web di CoroPrevention.
Terze parti
UniWeb non vende mai, né condivide i dati personali degli utenti con terze parti, ad eccezione di quelle indicate nel suddetto elenco e facenti parte del programma CoroPrevention.
Al fine di offrire determinati servizi, UniWeb si avvale di fornitori terzi (ad es. per le soluzioni di accesso centralizzato e l’allocazione dei data center). Prima di acquistare i servizi esterni, UniWeb sottopone tutti i fornitori ad un’accurata valutazione preliminare conformemente a quanto previsto dalle procedure operative standard aziendali. La conformità al Regolamento generale sulla protezione dei dati (RGPD) è uno dei requisiti richiesti a tutti i fornitori. UniWeb verifica con regolarità la collaborazione con i propri fornitori e le condizioni della collaborazione. La collaborazione viene interrotta nel momento in cui un fornitore non soddisfi più i requisiti stabiliti nel sistema di gestione della sicurezza delle informazioni di UniWeb.
Nella misura in cui sia previsto dalla legge, i dati personali degli utenti potrebbero essere divulgati alle seguenti terze parti:
● autorità governative
● revisori
3. Quali dati vengono elaborati e perché?
UniWeb crea, gestisce e alloca su server molteplici applicazioni e siti web in conformità alle specifiche fornite dal titolare del trattamento dati (Data controller) e dai partner del Consorzio CoroPrevention. I dati personali che vengono elaborati da tali applicazioni e siti web variano in base ai diversi ruoli utente e alle relative finalità definiti dal Data controller.
Le applicazioni CoroPrevention e il sistema per l'acquisizione di dati in formato elettronico (sistema EDC) acquisiscono le seguenti informazioni (ma non limitate ad esse):
- codice identificativo del paziente (pseudonimo)
- informazioni su salute, farmaci e attività fisiche
- informazioni su alimentazione e fumo
- dati statistici di utilizzo dell’applicazione incluse le informazioni di accesso e connessione (ad es. browser, indirizzo IP).
Le finalità dell’elaborazione dati possono includere (elenco non esaustivo):
- benefici per la salute e obiettivi della ricerca clinica in linea con il protocollo di ricerca
- monitoraggio dell’autenticazione, della sicurezza del paziente e della cybersicurezza
- possibilità per l’utente di configurare i promemoria e gli allarmi
- ottimizzazione del funzionamento delle applicazioni
- conformità agli accordi stipulati con i partner consortili ai sensi dell’accordo del consorzio e dei requisiti normativi.
Per valutare i rischi e implementare azioni volte a mitigarli è stata effettuata una valutazione dell’impatto della protezione dei dati (Data Protection Impact Assessment) a livello consortile.
Se si desidera consultare il registro o acquisire maggiori informazioni sulle finalità dell’elaborazione dei dati, contattare l’infermiere di riferimento per lo studio.
4. Dove vengono salvati i dati personali degli utenti?
UniWeb detiene il totale controllo e la proprietà dell’hardware usato per archiviare i dati personali degli utenti. I nostri server di produzione, staging e backup sono ubicati in Belgio presso il centro dati sicuro del nostro fornitore di servizi di hosting certificato ISO 27001:2013 e ISO 22301:2012 I dati personali degli utenti vengono conservati in questi server, tuttavia in determinate circostanze possono essere esportati dallo sponsor esclusivamente per scopi di studio, sicurezza e analisi dell’utilizzo. Le informazioni di accesso vengono memorizzate temporaneamente sul server del provider di accesso centralizzato che si trova in un centro dati situato nell’Unione Europea.
5. Per quanto tempo vengono conservati i dati personali degli utenti?
Periodo standard di conservazione
Nell’ambito del processo di progettazione di qualsiasi sito web e applicazione sviluppati da UniWeb, vengono definiti preliminarmente insieme ai contitolari del trattamento dei dati un periodo standard di conservazione dei dati e una procedura di eliminazione per tutti i requisiti normativi, come descritto nell’informativa sulla protezione dei dati personali.
Ai sensi del contratto stipulato tra UniWeb e i propri clienti, tutti i dati personali elaborati tramite i nostri server di produzione verranno eliminati dai nostri sistemi poco dopo la scadenza del contratto. I dati verranno eliminati completamente dai nostri server di backup entro 180 giorni (o entro il periodo specificato nel contratto).
Come specificato dalle procedure operative standard descritte nel nostro sistema di gestione della sicurezza delle informazioni, UniWeb controlla con regolarità la necessità di archiviare le informazioni, in modo tale da non tenerle in memoria più a lungo dello stretto necessario.
Eccezioni
In determinati casi potrebbe essere indispensabile variare il periodo standard di conservazione dei dati:
- per legge
- su esplicita richiesta del Data controller (nei confronti del quale il titolare del trattamento dati si è assunto la completa responsabilità)
Per maggiori informazioni riguardanti queste eccezioni, contattare l’infermiere di riferimento per lo studio clinico oppure consultare l’informativa sulla protezione dei dati personali pubblicata sul sito web di CoroPrevention.
6. In che modo viene garantita la sicurezza?
In qualità di azienda che si occupa di realizzare applicazioni mobile e web sicure e performanti, UniWeb aggiorna e migliora costantemente le misure di sicurezza implementate per proteggere i dati personali e le altre informazioni da accessi non autorizzati, manipolazioni, perdite o distruzione. I seguenti esempi sono solo alcune delle misure di sicurezza implementate da UniWeb:
● tutti i dati in possesso di UniWeb sono protetti mediante crittografia sia durante la loro archiviazione sia durante la loro trasmissione dai nostri servizi al browser o all’applicazione dell’utente e viceversa.
● viene sempre salvata una copia di backup di tutti i dati.
● i nostri servizi sono soggetti a test di penetrazione e protetti da scansioni Nessus.
● soluzione di accesso centralizzato per finalità di monitoraggio delle prestazioni dell’applicazione e della cybersicurezza.
● la nostra autenticazione avanzata per l’assistenza ai servizi, inclusi l’uso di G-Suite, l’autenticazione account di Office 365 e l’autenticazione a più fattori di Duo.
Nel caso in cui dovesse verificarsi un evento concernente la sicurezza delle informazioni, UniWeb si occuperà dello stesso immediatamente e adeguatamente, in conformità alle procedure operative standard descritte nel proprio sistema di gestione della sicurezza delle informazioni. Così come le misure di sicurezza, anche queste procedure vengono sottoposte regolarmente a controlli e aggiornamenti, al fine di fronteggiare sempre al meglio le mutevoli sfide poste dalla sicurezza delle informazioni.
Tutti i dipendenti di UniWeb partecipano con regolarità a corsi di formazione incentrati sulle migliore pratiche per la sicurezza e le procedure aziendali. Lo stesso livello di impegno e conoscenza viene preteso da tutti i nostri fornitori i cui servizi vengono regolarmente verificati (si veda: Terze parti).
7. Quali sono i diritti del soggetto dei dati?
Durante il processo di consenso informato, il soggetto dei dati viene dettagliatamente informato sui propri diritti, i quali sono elencati per iscritto nel documento del consenso informato.
Alcuni di tali diritti comprendono (ma non si limitano a):
● richiesta di informazioni sui propri dati personali.
● richiesta di una copia di tutti i propri dati personali in formato standard.
Il soggetto dei dati può facilmente avvalersi dei propri diritti consultando il modulo di consenso informato o contattando l’infermiere di riferimento per lo studio clinico.
8. In che modo viene accordato il consenso?
Fornendo i propri dati personali tramite applicazione mobile o web e/o attenendosi alla modalità descritta durante il processo di consenso informato, il soggetto dei dati accorda espressamente al Data controller il consenso di elaborare i dati per le finalità concordate.
Nel caso in cui il Data controller inserisse i dati personali nell’applicazione mobile o web, è tenuto a informare immediatamente il soggetto dei dati e a ottenere il beneplacito dello stesso durante il processo di consenso informato. La mancata ottemperanza di quanto sopra disposto da parte del Data controller viene considerata una non conformità alle disposizioni. Una simile violazione impone a UniWeb di intraprendere opportune azioni come definito nelle procedure operative standard del sistema di gestione della sicurezza delle informazioni. Tutte le spese sostenute da UniWeb per intraprendere tali azioni correttive saranno a carico del Data controller.
Se UniWeb o uno dei partner del Consorzio CoroPrevention volesse trasmettere determinati dati personali a terze parti, è prima tenuto a ricevere dall’utente interessato un relativo consenso supplementare. Quanto specificato sopra è valido anche per l’elaborazione dei dati personali al di fuori dell’Unione Europea.
9. Chi si può contattare?
In caso di dubbi o domande sulla presente politica di riservatezza o se si desidera esercitare uno dei diritti del soggetto dei dati sopracitati, contattare il proprio infermiere di riferimento per lo studio clinico.