INFORMATION NOTICE REGARDING THE PROCESSING OF PERSONAL DATA

(ARTICLES 13 AND 14 OF EU GDPR 2016/679 AND ARTICLE 79 OF LEGISLATIVE DECREE 196/2003)

In accordance with the Italian Law Legislative Decree 196/2003 ("Code") and articles 13 and 14 of the General Data Protection Regulation 2016/679 ("GDPR"), anyone who processes personal data ("Data") must provide the data subject with adequate information and, in certain cases, obtain consent for the processing of their Data. As the data subject, we hereby inform you of the following:

ART. 1. TYPES OF DATA COLLECTED AND PURPOSE OF PROCESSING

This application directly collects the following types of personal data from the data subject: surname, first name, mobile number, email address, type of pathology/disorder, and photographs of the same person. Common personal data and those related to the data subject's health and lifestyle are collected/entered directly (art. 13 of the GDPR) by the data subject. The processing of the Data is carried out at the request of the data subject in order to enable the Data Controller to fulfill the following purposes: Sending diagnoses through the specific application.

ART. 2. PROCESSING METHODS AND STORAGE PERIOD (ARTICLE 13 PARAGRAPH 2/A OF GDPR 2016/679)

The processing of the Data for these purposes may be carried out using both automated and non-automated methods, with strict adherence to the purposes and in compliance with the rules of confidentiality and security provided by law. The storage period for all types of personal data is 122 months, always in compliance with the terms of the law and privacy regulations.

ART. 3. AUTHORIZED/DESIGNATED PERSONS TO PROCESS THE DATA (ARTICLE 13 PARAGRAPH 1/E OF GDPR 2016/679)

The Data may also be processed on behalf of Medchange SRL by employees, professionals, and appointed companies that provide specific processing services or complementary activities to ours, necessary for the execution of our operations or services, under the control and responsibility of the Data Controller in accordance with the instructions provided or authorized by the Data Controller.

ART. 4. NATURE OF THE COLLECTION

The Data is collected lawfully and necessary directly from the data subject, who provides or authorizes the collection.

ART. 5. SUBJECT MATTER OF COMMUNICATION

The confidentiality of the collected personal data is protected by professional secrecy. Medchange SRL may communicate the personal data to external entities or professionals who will process them as autonomous data controllers or on behalf of the Healthcare Facility itself, to provide strictly necessary services connected and instrumental to its activities. The Data will not be disclosed to third parties.

ART. 6. TERRITORIAL SCOPE OF COMMUNICATION (ARTICLE 13 PARAGRAPH 1/E OF GDPR 2016/679)

Considering the existence of telematic, electronic, or correspondence connections, the Data may be made available abroad, even outside the countries belonging to the European Union.

ART. 7. RIGHTS OF THE DATA SUBJECT

Articles 15, 16, 17, 18, 19, 20, and 21 of the GDPR recognize numerous rights to the data subject, which we invite you to carefully consider. We briefly remind you that the data subject has the right to obtain information about:

• the origin of personal data (point 1 of the information notice);
• the purposes and methods of processing (points 1 and 3 of the information notice);
• the logic involved in any processing carried out with the aid of electronic tools (point 2 of the information notice);
• the identification details of the Data Controller and Data Processor pursuant to Article 13 of GDPR 2016/679;
• the subjects or categories of subjects to whom the personal data may be communicated or who may become aware of it as appointed representatives within the territory of the State, data processors, or persons in charge (points 5 and 6 of the information notice).

The data subject has the right to:

• access their Data, update, rectify, or, when interested, integrate the Data (Art. 16 of the GDPR);
• obtain the erasure, anonymization, or blocking of Data processed unlawfully, including data that does not need to be stored in relation to the purposes for which it was collected or subsequently processed;
• obtain the attestation that the operations referred to in points a and b have been brought to the attention, including their content, of those to whom the Data has been communicated or disclosed, except in cases where compliance with this obligation proves impossible or involves a disproportionate effort compared to the right being protected;
• exercise the right to be forgotten as per Art. 17 of the GDPR.

The data subject has the right to object, in whole or in part, for legitimate reasons to the processing of personal data concerning them, even if pertinent to the purpose of collection.

ART. 8. EXERCISE OF RIGHTS BY THE DATA SUBJECT

In order to exercise their rights (Art. 7 of the Code and Art. 12 of the GDPR), the data subject may contact Medchange SRL. The data subject may also file a complaint with the competent supervisory authority in accordance with Article 77 of the GDPR, if deemed necessary.

ART. 9. DATA CONTROLLER AND DATA PROCESSOR

The Data Controller can be contacted at Medchange, using the contact details provided at the beginning of this information notice.

Informativa relativa al trattamento di dati personali

(Artt. 13 e 14 del GDPR UE 2016/679 e art. 79 del D.Lgs 196/2003)

In base alla Legge Italiana D.Lgs. 196/2003 ("Codice") e agli artt. 13 e 14 del General Data Protection Regulation 2016/679 ("GDPR"), chiunque effettui trattamento di dati personali ("Dati"), deve fornire alla persona cui tali Dati si riferiscono, un'adeguata informativa e, in taluni casi, ottenere il consenso al trattamento dei suoi Dati. Nella sua qualità di Interessato, la informiamo di quanto segue:

ART. 1. Tipologia di dati raccolti e finalità del trattamento

Questa applicazione raccoglie direttamente dall’Interessato le seguenti tipologie di dati personali: cognome, nome, numero di cellulare, indirizzo e-mail, tipo di patologia/disturbo, fotografie dello stesso. I dati personali comuni e quelli relativi allo stato di salute ed alle abitudini di vita dell’Interessato vengono raccolti/inseriti direttamente (art. 13 del GDPR) dall’interessato. Il trattamento dei Dati viene effettuato su richiesta dell’Interessato al fine di consentire l’espletamento da parte del Titolare del Trattamento delle finalità: Invio diagnosi tramite la specifica applicazione.

ART. 2. Modalità del trattamento e periodo di conservazione (art. 13 paragrafo 2/A del GDPR 2016/679)

Il trattamento dei Dati per dette finalità potrà essere effettuato con modalità sia automatizzate sia non automatizzate, con logiche strettamente correlate alle finalità stesse e sempre nel rispetto delle regole di riservatezza e di sicurezza previste dalla legge. Il periodo di conservazione di tutti i tipi di dati personali viene effettuato per un periodo di 122 mesi e sempre nel rispetto dei termini di legge e delle norme sulla privacy.

ART. 3. Autorizzati/incaricati al trattamento dei dati (art. 13 paragrafo 1/e del GDPR 2016/679)

I Dati saranno altresì trattati per conto di Medchnge SRL da parte di dipendenti, professionisti nonché società incaricate/i, i quali svolgano specifici servizi elaborativi o attività complementari alle nostre, ovvero necessarie all’esecuzione delle nostre operazioni o servizi, sotto il controllo e responsabilità del Titolare del Trattamento in conformità alle istruzioni che saranno dallo stesso impartite o autorizzate.

ART. 4. Natura della raccolta

I Dati vengono raccolti secondo liceità e necessità direttamente dall’Interessato, il quale a sua volta li fornisce o autorizza la raccolta.

ART. 5. Ambito soggettivo di comunicazione

La riservatezza dei dati personali raccolti è tutelata dal segreto professionale. Medchange SRL potrà comunicare i dati personali a soggetti, società esterne o professionisti che li tratteranno, quali titolari autonomi o responsabili per conto della Struttura Sanitaria stessa, per fornire servizi strettamente necessari, connessi e strumentali alla propria attività. I Dati non saranno diffusi a terzi.

ART. 6. Ambito territoriale di comunicazione (art. 13 paragrafo 1/e del GDPR 2016/679)

In considerazione dell’esistenza di collegamenti telematici, informatici o di corrispondenza, i Dati possono essere resi disponibili all’estero, anche al di fuori dei Paesi appartenenti alla U.E..

ART. 7. Diritti dell'Interessato

Gli Artt. 15, 16, 17, 18, 19, 20, 21 del GDPR, riconoscono all’Interessato numerosi diritti che la invitiamo a considerare attentamente. Ricordiamo sinteticamente che è diritto dell’Interessato ottenere indicazione:

• dell’origine dei dati personali (punto 1 dell’informativa);
• delle finalità e modalità del trattamento (punto 1 e 3 dell’informativa);
• della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici (punto 2 dell’informativa);
• degli estremi identificativi del Titolare del Trattamento e del Responsabile del Trattamento ai sensi dell’art 13 del GDPR 2016/679;
• dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati (punti 5 e 6 dell’informativa).

L’Interessato ha diritto di ottenere:

• l’accesso ai propri Dati, l’aggiornamento, la rettificazione ovvero, quando ha interesse, l’integrazione dei Dati (art. 16 del GDPR);
• la cancellazione, la trasformazione in forma anonima o il blocco dei Dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali sono stati raccolti o successivamente trattati;
• l’attestazione che le operazioni di cui alle lettere a e b sono state portate aconoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i Dati sono stati comunicati o diffusi, eccettuando il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionati rispetto al diritto tutelato;
• diritto all'Oblio art. 17 del GDPR.

L’Interessato ha diritto di opporsi, in tutto o in parte, per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta.

ART. 8. Esercizio dei diritti da parte dell'Interessato

L'Interessato, per poter ottenere i propri diritti (art. 7 del Codice e art. 12 del GDPR), potrà rivolgersi presso Medhange srl. L’interessato, qualora lo ritenga necessario, potrà sempre proporre reclamo all’autorità del controllo di competenza ai sensi dell'art. 77 del GDPR.

ART. 9. Titolare del trattamento e Responsabile del trattamento

Il Titolare del Trattamento è rintracciabile presso Medchange ai recapiti indicati in testa alla presente informativa.