toi8hpr5f08hhgy0yje8il25dc908g
Mesa Italia

+39 030 686 3251

info@mesaitalia.it

INFORMATIVA PRIVACY AI SENSI DELL’ART. 14 DEL REGOLAMENTO UE 2016/679

per i pazienti del Professionista/Studio medico odontoiatrico

Per noi la protezione dei dati è un argomento molto serio per cui desideriamo informarLa in merito alle modalità con le quali i dati vengono trattati ed ai diritti che Lei può esercitare ai sensi della vigente normativa sulla protezione dei dati, in particolare del Regolamento UE 2016/679 (di seguito anche: “GDPR”).

  1. Titolare del trattamento

Mesa Italia S.r.l.

Via Dell’Artigianato n. 35/37,

25039, Travagliato (BS)

Contatto e-mail: privacy@mesaitalia.it 

 

  1. Le categorie di dati che vengono sottoposti a trattamento

I dati trattati dal Titolare sono esclusivamente i “dati personali” (ex. Art. 4.1 del GDPR).

In particolare, le categorie di dati personali attinenti possono essere, a mero titolo esemplificativo ma certo non esaustivo:

  • Dati identificativi (nome, data di nascita, luogo di nascita, nazionalità, codice fiscale, ecc.);
  • Dati di contatto (indirizzo, indirizzo e-mail, numero di telefono e dati similari);
  • Categorie particolari di dati personali (quali ad esempio il generale stato di salute e, in particolare, lo stato di salute connesso all’utilizzo del Dispositivo Medico e/o a eventuali incidenti, reclami e segnalazioni.

 

  1. Finalità e basi legali del trattamento dei dati personali
  • Finalità volte all’esecuzione di un interesse pubblico (ex art. 6 paragrafo 1 (e) del GDPR)
  1. Il trattamento dei dati personali effettuati da professionista sanitario soggetto al segreto professionale, si rende necessario ex art. 9, par. 2, lett. i) Reg. (UE) 2016/679, per garantire, nell’interesse pubblico, la tutela della sanità pubblica e parametri elevati di qualità e sicurezza dei dispositivi medici immessi in circolazione, così come imposto dalla normativa vigente e, in particolare, dal Regolamento (UE) 2017/745, tramite l’adozione di un sistema di gestione della qualità che prevede, tra gli altri, l’implementazione di un sistema di sorveglianza post-commercializzazione, la gestione delle comunicazioni con le Autorità competenti, i processi di segnalazione di incidenti gravi, la gestione delle azioni correttive e preventive e le procedure di monitoraggio e misurazione dei risultati volte anche al miglioramento dei prodotti.

Il periodo di conservazione dei dati personali, relativamente alle finalità di cui alla presente sezione è:

Per la finalità a: per la durata prevista dalla normativa di settore vigente che, attualmente, prevede un periodo di conservazione di 15 anni dall’immissione sul mercato dell’ultimo Dispositivo Medico.

Il periodo di conservazione dei dati personali previsti dal presente paragrafo possono allungarsi e subire variazioni in caso di contenziosi.

 

  1. Destinatari o categorie di destinatari dei dati personali * (ex art. 14 paragrafo 1 (e) del GDPR

Nell’ambito delle suindicate finalità, il Titolare del trattamento potrà comunicare i suoi dati a:

  • Uffici e funzioni interne del Titolare medesimo;
  • Organismi notificati e Autorità responsabile degli organismi notificati;
  • MDCG – Gruppo di Coordinamento per i Dispositivi Medici, suoi membri e supplenti;
  • Commissione e Autorità competente;
  • Banca Dati Europea dei Dispositivi Medici (Eudamed);
  • Autorità competenti ed Enti pubblici e loro Organi Esecutivi;
  • Società e ad operatori professionali che forniscono servizi informatici;
  • Società di consulenza.

* Maggiori informazioni e l’elenco completo dei Destinatari (ex art. 4.9 del GDPR) sono disponibili presso il Titolare del trattamento dei dati personali ai recapiti sopra indicati.

 

  1. Destinatari o categorie di destinatari dei dati personali (ex art. 14 paragrafo 1 (f) del GDPR) * e trasferimento dei dati in Paesi extra UE

Il Titolare le comunica che non ha intenzione di trasferire i suoi dati in paesi non compresi nella UE e nella SEE per le finalità sopra indicate.

 

  1. Diritti del Soggetto Interessato (ex. art. 14 paragrafo 2 (c) del GDPR)

L’interessato può far valere i seguenti diritti:

  • diritto di accesso dell’interessato [art. 15 del Regolamento UE] (la possibilità di essere informato sui trattamenti effettuati sui propri Dati Personali ed eventualmente riceverne copia);
  • diritto di rettifica dei propri Dati Personali [art. 16 del Regolamento UE] (l’interessato ha diritto alla rettifica dei dati personali inesatti che lo riguardano);
  • diritto alla cancellazione dei propri Dati Personali senza ingiustificato ritardo (“diritto all’oblio”) [art. 17 del Regolamento UE] (l’interessato ha, così come avrà, diritto alla cancellazione dei propri dati);
  • diritto di limitazione di trattamento dei propri Dati Personali nei casi previsti dall’art. 18 del Regolamento UE, tra cui nel caso di trattamenti illeciti o contestazione dell’esattezza dei Dati Personali da parte dell’interessato [art. 18 del Regolamento UE];
  • diritto alla portabilità dei dati [art. 20 del Regolamento UE], l’interessato potrà richiedere in formato strutturato i propri Dati Personali al fine di trasmetterli ad altro titolare, nei casi previsti dal medesimo articolo;
  • diritto di opposizione al trattamento dei propri Dati Personali [art. 21 del Regolamento UE] (l’interessato ha, così come avrà, diritto alla opposizione del trattamento dei propri dati personali);
  • diritto di non essere sottoposto a processi decisionali automatizzati, [art. 22 del Regolamento UE] (l’interessato ha, così come avrà, diritto a non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato).

Ulteriori informazioni circa i diritti dell’interessato potranno ottenersi richiedendo al Titolare estratto integrale degli articoli sopra richiamati. 

I suddetti diritti possono essere esercitati secondo quanto stabilito dal Regolamento inviando, anche, una e-mail al seguente indirizzo privacy@mesaitalia.it.

In ossequio all’art. 19 del Regolamento UE, il Titolare procede a informare i destinatari cui sono stati comunicati i dati personali, le eventuali rettifiche, cancellazioni o limitazioni del trattamento richieste, ove ciò sia possibile.

  1. Diritto di proporre reclamo (ex art. 14 paragrafo 2 (e) del GDPR)

L’interessato, qualora ritenga che i propri diritti siano stati compromessi, ha diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali, secondo le modalità indicate dalla stessa Autorità al seguente indirizzo internet

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4535524 oppure inviando comunicazione scritta all’ Autorità Garante per la Protezione dei Dati Personali.

  1. Possibile conseguenza della mancata comunicazione dei dati e natura del conferimento dei dati

 

8.1   In caso di adempimento di obblighi di legge o contrattuali

Si informa che qualora le finalità di trattamento abbiano come base giuridica un obbligo legale o contrattuale (o anche precontrattuale), l’interessato deve necessariamente fornire i dati richiesti.

In caso contrario vi sarà l’impossibilità da parte del Titolare di procedere al perseguimento delle specifiche finalità di trattamento.

Quando i dati non sono più necessari questi vengono regolarmente cancellati, qualora la loro cancellazione risulti impossibile o possibile solo a fronte di uno sforzo sproporzionato a causa di una modalità di conservazione particolare il dato non potrà essere trattato e dovrà essere archiviato in aree non accessibili

  1. Adozione di supplementari misure di sicurezza

Il Titolare del trattamento adotta tutte le misure tecnico-organizzative maggiori per garantire, in particolare, il rispetto del principio di minimizzazione ex art. 5 co. 1 lett. c) nell’ambito della ricerca scientifica così come disposto dall’art. 89 del Regolamento (UE) 2016/679 e dai provvedimenti dell’Autorità Garante approvati in materia, e, in particolare, l’autorizzazione generale n. 9 del 2016 così come ritenuta compatibile dal Provvedimento Generale dell’Autorità Garante del 12 dicembre 2018 n. 497 ed indicata nell’allegato A del provvedimento stesso.

 

  1. Esistenza di un processo decisionale automatizzato (profilazione inclusa)

È attualmente escluso l’uso di processi decisionali meramente automatizzati come dettagliato dall’articolo 22 del GDPR. Se in futuro si decidesse di istituire tali processi per casi singoli, l’interessato ne riceverà notifica in separata sede qualora ciò sia previsto dalla legge o aggiornamento della presente informativa.

  1. La fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico (ex art. 14 paragrafo 2 (f) del GDPR)

Il Titolare ha ottenuto i dati che tratta dalle seguenti fonti: professionisti e dentista odontoiatra o studio medico odontoiatrico da cui il paziente ha ricevuto la cura connessa al Dispositivo Medico.

  1. Modalità del trattamento

I dati personali verranno trattati in forma cartacea, informatizzata e telematica ed inseriti nelle pertinenti banche dati cui potranno accedere, e quindi venirne a conoscenza, gli addetti espressamente designati dal Titolare quali Responsabili ed Autorizzati del trattamento dei dati personali, che potranno effettuare operazioni di consultazione, utilizzo, elaborazione, raffronto ed ogni altra opportuna operazione anche automatizzata nel rispetto delle disposizioni di legge necessarie a garantire, tra l’altro, la riservatezza e la sicurezza dei dati nonché l’esattezza, l’aggiornamento e la pertinenza dei dati rispetto alle finalità dichiarate.

PRIVACY NOTICE PURSUANT TO ARTICLE 14 OF EU REGULATION 2016/679

for patients of the Professional/Dental Office

We take data protection very seriously, and therefore wish to inform you about how your data are processed and about the rights you can exercise under current data protection laws, in particular EU Regulation 2016/679 (hereinafter also: “GDPR”).

1. Data Controller

Mesa Italia S.r.l.
Via Dell’Artigianato no. 35/37,
25039 Travagliato (BS), Italy
E-mail contact: privacy@mesaitalia.it

2. Categories of data processed

The data processed by the Controller are exclusively “personal data” (as per Art. 4.1 of the GDPR). In particular, the categories of personal data involved may include, by way of example but not limitation:
– Identification data (name, date and place of birth, nationality, tax code, etc.);
– Contact details (address, e-mail address, phone number, and similar information);
– Special categories of personal data (such as general health conditions and, specifically, health information related to the use of the Medical Device and/or any incidents, complaints, or reports).

3. Purposes and legal bases of the processing of personal data

3.1 Purposes related to the performance of a public interest task (Art. 6, paragraph 1(e) GDPR)

  1. The processing of personal data carried out by a healthcare professional bound by professional secrecy is necessary pursuant to Art. 9, paragraph 2(i) of EU Regulation 2016/679 to ensure, in the public interest, the protection of public health and high standards of quality and safety of medical devices placed on the market, as required by current legislation — in particular, EU Regulation 2017/745 — through the adoption of a quality management system that includes, among other things, the implementation of a post-market surveillance system, communication with competent authorities, procedures for reporting serious incidents, the management of corrective and preventive actions, and monitoring procedures aimed also at improving products.

    Data retention period:
    For the purpose referred to in (a): for the duration required by current sector regulations, which presently set a retention period of 15 years from the placing on the market of the last Medical Device. This period may be extended or modified in the event of legal disputes.

4. Recipients or categories of recipients of personal data

For the purposes mentioned above, the Data Controller may disclose your data to:
• Internal offices and departments of the Controller;
• Notified bodies and authorities responsible for such bodies;
• MDCG – Medical Device Coordination Group, its members, and alternates;
• European Commission and Competent Authorities;
• European Database on Medical Devices (Eudamed);
• Competent authorities and public entities and their executive bodies;
• Companies and professional operators providing IT services;
• Consulting firms.

*Further information and the complete list of Recipients (pursuant to Art. 4.9 GDPR) are available from the Data Controller at the contact details indicated above.*

5. Recipients or categories of recipients of personal data (Art. 14, paragraph 1(f) GDPR) and transfer of data to non-EU countries

The Controller informs you that it does not intend to transfer your data to countries outside the EU or EEA for the purposes indicated above.

6. Rights of the Data Subject

The data subject may exercise the following rights:
• Right of access [Art. 15 GDPR];
• Right to rectification [Art. 16 GDPR];
• Right to erasure (“right to be forgotten”) [Art. 17 GDPR];
• Right to restriction of processing [Art. 18 GDPR];
• Right to data portability [Art. 20 GDPR];
• Right to object [Art. 21 GDPR];
• Right not to be subject to automated decision-making [Art. 22 GDPR].

These rights may be exercised by sending an e-mail to privacy@mesaitalia.it.

7. Right to lodge a complaint

If the data subject believes that their rights have been violated, they have the right to lodge a complaint with the Italian Data Protection Authority (Garante per la protezione dei dati personali), according to the procedures indicated at:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4535524

8. Possible consequences of failure to provide data and nature of data provision

If the processing purposes are based on a legal or contractual (or pre-contractual) obligation, the data subject must necessarily provide the requested data. Failure to do so will prevent the Controller from pursuing the specific processing purposes.

When the data are no longer needed, they are regularly deleted. If deletion is impossible or would require disproportionate effort, the data will be archived in non-accessible areas.

9. Adoption of additional security measures

The Data Controller adopts all appropriate technical and organizational measures to ensure, in particular, compliance with the principle of data minimization (Art. 5(1)(c) GDPR) within the context of scientific research, as required by Art. 89 GDPR and by the measures issued by the Italian Data Protection Authority.

10. Existence of automated decision-making (including profiling)

The use of purely automated decision-making processes, as described in Article 22 GDPR, is currently excluded. Should such processes be implemented in the future, the data subject will be notified separately or through an updated notice.

11. Source of personal data and possible access from public sources

The Controller has obtained the personal data from healthcare professionals and dental practitioners or dental clinics from which the patient received care related to the Medical Device.

12. Methods of processing

Personal data will be processed in paper, electronic, and digital form, and entered into relevant databases accessible to authorized personnel of the Controller, who may perform operations such as consultation, use, processing, comparison, and any other appropriate operation, in compliance with the law to ensure confidentiality, security, accuracy, updating, and relevance of the data with respect to the stated purposes.