In ogni caso, a prescindere dalla necessità di notifica o meno di un Data Breach, la farmacia ha l’obbligo di documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente al Garante Privacy di verificare il rispetto di quanto disposto dal GDPR (art. 33.5 GDPR).

Come affermato in precedenza, nella maggior parte delle farmacie operano diversi collaboratori, a prescindere dal rapporto di lavoro con il quale sono legati al titolare della farmacia.

L’art. 32.4 GDPR impone che chiunque agisca sotto l’autorità del titolare del trattamento, e abbia accesso ai dati personali, non tratti i dati se non è istruito in tal senso dal titolare del trattamento. L’art. 2-quaterdecies del Codice Privacy afferma che il titolare del trattamento può prevedere, sotto la sua responsabilità e nell’ambito del suo assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la sua autorità. Inoltre, il titolare sceglie le modalità più opportune per autorizzare al trattamento tali persone fisiche.

Quindi, da un lato abbiamo il GDPR con il termine “istruito”, dall’altro il Codice Privacy con i termini “attribuzione” e “autorizzare”. Da un lato la farmacia può autorizzare come meglio crede (responsabilizzazione) il proprio personale al trattamento dei dati, mediante l’attribuzione di specifici compiti e funzioni; dall’altro tale personale deve essere istruito, ossia deve comprendere la reale portata dell’autorizzazione. In altre parole, il personale autorizzato deve essere formato.

La formazione del personale di farmacia dovrebbe essere la priorità per il suo titolare: avere degli operatori che comprendano l’importanza di trattare adeguatamente i dati personali espone a rischi privacy e di sicurezza nettamente minori, a tutto vantaggio per la farmacia stessa.

Si raccomanda, come sempre, di finanziare un corso privacy specifico al proprio personale (non importa la quantità di ore, bensì la qualità di ciò che viene impartito in questo lasso di tempo). Inoltre si consiglia di fare in modo che gli operatori della farmacia si impegnino, con apposito atto firmato, alla riservatezza circa le informazioni apprese all’interno del luogo di lavoro (sia privacy, sia know-how aziendale).

Per la farmacia è inevitabile interfacciarsi con soggetti esterni che trattano dati personali per suo conto. Si prenda, ad esempio, il caso del commercialista che cura la gestione contabile, il consulente del lavoro che gestisce le buste paga, oppure la società che fornisce il software gestionale della farmacia. In questo caso si parla di rapporto tra titolare del trattamento e responsabile del trattamento, disciplinato dagli artt. 28 e 29 GDPR.

Questo rapporto deve essere sancito da un contratto o da un altro atto giuridico che abbia la caratteristica di vincolare il Titolare al Responsabile. Raccomandazione: sarebbe meglio che al contratto di fornitura seguisse in parallelo un contratto/atto vincolante sul trattamento dei dati; se vi sono già contratti di fornitura in essere, stipulare immediatamente i rispettivi contratti/atti vincolanti sul trattamento dei dati.

L’art. 28 GDPR fissa dei paletti inderogabili per “delegare” un trattamento: l’operatore esterno deve fornire delle “garanzie sufficienti” di compliance al GDPR (in primo luogo, misure adeguate e diritti dell’interessato). E la valutazione sul possesso di queste garanzie (come tutte le valutazioni in seno al GDPR e al principio di responsabilizzazione) la pone in essere la farmacia. Raccomandazione: se possibile, scegliere l’operatore esterno già “GDPR compliant”; in alternativa, valutare attentamente il fornitore nel rapporto costi-benefici (in ambito privacy). Il che non è sempre facile.

L’operatore terzo, che riveste la qualifica di responsabile del trattamento, non può ricorrere ad un “subresponsabile del trattamento” senza la previa autorizzazione scritta della farmacia. Inoltre l’autorizzazione può essere specifica o generale e, in quest’ultimo caso, il responsabile del trattamento informa la farmacia titolare di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri subresponsabili, dando così alla farmacia l’opportunità di opporsi a tali modifiche.

Ma quali sono i contenuti che deve possedere il contratto/atto vincolante con il responsabile del trattamento?

• Il responsabile tratta i dati personali soltanto su istruzione documentata della farmacia titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale. Raccomandazione: si metta nero su bianco il margine di manovra che la farmacia “cede” all’operatore terzo (generale o specifico).
• Il responsabile del trattamento garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza (si prenda spunto dal punto 5).
• Il responsabile del trattamento deve adottare tutte le misure di sicurezza adeguate richieste ai sensi dell’articolo 32 GDPR (punto 4).
• Il responsabile del trattamento si impegna a rispettare quanto sopra disposto per i subresponsabili del trattamento.
• Il responsabile del trattamento deve assistere la farmacia con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo della farmacia di dare seguito alle richieste per l’esercizio dei diritti dei pazienti interessati (si veda il punto 2).
• Il responsabile del trattamento assiste la farmacia nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 GPDR (Misure di Sicurezza, Data Breach e Valutazione di Impatto – per quest’ultima si veda punto 8).
• Il responsabile del trattamento – su scelta della farmacia – deve provvedere alla cancellazione o alla restituzione di tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento; il responsabile deve, inoltre, cancellare le copie esistenti, salvo che la legge non preveda la conservazione dei dati.
• Il responsabile del trattamento deve mettere a disposizione della farmacia tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e deve consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzati direttamente dalla farmacia o da un altro soggetto incaricato. Tolta la parte relativa alla richiesta di informazioni, che è limpida, le attività di revisione ed ispezione presso il fornitore devono essere molto ponderate da parte della farmacia. Si consiglia di valutare sempre caso per caso, in quanto il principio di responsabilizzazione impone di rendere conto di ogni singola scelta.
• Inoltre, il responsabile del trattamento informa immediatamente la farmacia qualora, a suo parere, un’istruzione violi il GDPR o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati. Una disposizione non facilmente attuabile.

L’art. 28 GDPR è un articolo molto importante poiché, in un certo senso, “diluisce” il principio di responsabilizzazione di cui all’Art. 5.2 GDPR. Ciò non significa che con un contratto/atto vincolante la farmacia possa “appaltare” – oltre al trattamento dei dati – anche tutte le responsabilità connesse; bensì, seguendo scrupolosamente quanto dettato dall’art. 28 GDPR, è possibile quantomeno cedere una parte di responsabilità.[22]

Ulteriore novità del GDPR è il Registro delle Attività di Trattamento[23], perno centrale del principio di responsabilizzazione e di tutto il GDPR.

Per le farmacie il Registro delle Attività di Trattamento è un obbligo tassativo ed inderogabile. Esso dipende essenzialmente dalle categorie di dati trattate. Il trattamento su base permanente di dati particolari e, principalmente, di dati relativi la salute (o sanitari), costituisce un obbligo al quale nessuna farmacia può sottrarsi.

Il Registro è tenuto in forma scritta e sotto la responsabilità della farmacia, in qualità di titolare del trattamento.

Come procedere? A parere di chi scrive un foglio in formato xls/xlsx (Es. MS Excel) può andare più che bene. Ovviamente si possono utilizzare anche dei software ad hoc nel vasto panorama di servizi offerti da diverse società.

Quali sono i contenuti del Registro del titolare del trattamento? I suoi sette contenuti sono ben descritti dall’art. 30.1 GDPR.

• Primo punto (o casella di Excel). Inserire il nome e i dati di contatto del titolare del trattamento. Quindi: ragione sociale della farmacia – o nome del farmacista, nel caso di titolare del trattamento persona fisica (si veda punto 1) – e dati di contatto (via, civico, CAP, città, provincia, contatto telefonico e mail). Nel caso la farmacia operi come contitolare del trattamento, inserirvi anche nome/i e dati di contatto del/i contitolare/i (si veda il punto 1). Inoltre, nella remota ipotesi la farmacia abbia un DPO (si veda il punto 8), inserirvi il suo nome e i suoi dati di contatto.
• Secondo punto. Delineare in maniera compiuta quali sono le finalità del trattamento dei dati poste in essere nella farmacia. È fondamentale che alla modifica/integrazione delle finalità nel Registro segua la modifica/integrazione dell’informativa privacy (si veda il punto 2). Quindi nella nostra casella Excel potremmo inserire sotto finalità, ad esempio: “trattamento dati per finalità assistenza o terapia sanitaria”.
• Terzo punto. Descrivere le categorie di interessati e le categorie di dati personali. Creando due caselle, nella prima si inseriscono le categorie di interessati, che per la farmacia sono generalmente i suoi pazienti/clienti; nella seconda casella si inseriscono le categorie di dati personali trattati, che sono solitamente dati personali non particolari (es. anagrafici) e dati particolari (es. dati relativi la salute). L’uso degli avverbi “generalmente” e “solitamente” lascia volontariamente aperta la porta ad altre possibili categorie di interessati e di dati trattati, poiché è possibile vi siano dati diversi per diverse categorie di interessati.
• Quarto punto. Descrivere le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi (se del caso) i destinatari di paesi terzi od organizzazioni internazionali. Anche qui è fondamentale che alla modifica/integrazione delle finalità nel Registro segua la modifica/integrazione dell’informativa privacy. Ad esempio, tra i destinatari figureranno il commercialista e il consulente del lavoro.
• Quinto punto. Ove applicabile, inserire i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate. Anche qui omogeneità con l’informativa privacy.
• Sesto punto. Inserire (ove possibile) i termini ultimi previsti per la cancellazione delle diverse categorie di dati, che non devono discostarsi da quanto previsto nell’informativa privacy. Raccomandazione: valutare caso per caso la conservazione di ogni dato per ogni trattamento, rifacendosi ove possibile – e “ove disposto” – alle norme di legge.
• Settimo punto. Mettere in campo una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32.1 GDPR (si veda il punto 4).

Raccomandazione: è necessario tenere costantemente aggiornato il Registro delle Attività di Trattamento, almeno a cadenza bimestrale o trimestrale.

Veniamo ora ai tre grandi – e dibattuti – pilastri del GDPR: Valutazione d’Impatto, DPO e Trasferimento dati all’estero.

Scopo di questo punto è di disciplinare le tre aree che potrebbero (o meno) interessare le farmacie titolari del trattamento.

• Rubricata negli artt. 35-36 GDPR si configura come un’autonoma valutazione che il titolare del trattamento pone in essere per analizzare la necessità, la proporzionalità e i rischi di un determinato trattamento dati per i diritti e le libertà delle persone fisiche. È richiesta in particolar modo in tre casi:
• una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
• il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9,

paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o

• la sorveglianza sistematica su larga scala di una zona accessibile al pubblico (es. Videosorveglianza su larga scala).

Come nel caso degli studi medici e odontoiatrici, anche le farmacie possono “collidere” con il punto b). Innanzitutto, “interpretando il considerando” 91 GDPR, per il quale “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”, anche il singolo farmacista non rientra nell’obbligo di Valutazione di Impatto.

In ogni caso, volendo dirimere la matassa, ossia comprendere se la farmacia deve o meno procedere con la Valutazione di Impatto, secondo le Linee Guida del già “Gruppo dei Garanti Privacy europei” (WP29)[24],[25] per determinare se un trattamento è svolto su larga scala si deve far riferimento al numero degli interessati, al volume di dati e/o tipologie di dati, alla durata dell’attività di trattamento e all’ambito geografico dell’attività di trattamento. In altri termini, se la farmacia tratta dati particolari su larga scala, è tenuto a porre in essere una Valutazione d’Impatto.

Per quanto scritto, è – però – piuttosto difficile che una farmacia tratti dati particolari su larga scala. Nella remota ipotesi che ciò accada, l’art. 35.7 dispone che la Valutazione d’Impatto deve contenere:

• • una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
  • una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
  • le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Se del caso, è possibile avvalersi dell’ottimo software messo a disposizione gratuitamente dal Garante francese CNIL e consigliato, nel suo utilizzo, dal Garante privacy italiano[26]. [27]

Destinatario della Sezione 4 (Artt. 37-38-39) GDPR, questa figura è stata introdotta come “supervisore” in materia di protezione dei dati personali all’interno delle aziende[28]. Anche qui, come per la Valutazione di Impatto, per la quasi totalità delle farmacie la presenza del DPO non è obbligatoria. Infatti l’obbligo scatta, ai sensi dell’art. 37 GDPR, solo nei seguenti casi:

• il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
• le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
• le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Anche qui, quindi, con il termine larga scala si relega l’obbligatorietà della nomina del DPO ad una fetta marginale di titolari del trattamento.

Tuttavia, se si volesse ugualmente procedere alla nomina di un DPO per la propria farmacia, sarà fondamentale affidarsi ad un soggetto che abbia una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati[29], e della capacità di assolvere i compiti di cui all’articolo 39 (informare, fornire consulenza, sorvegliare l’osservanza del GDPR, sensibilizzare e formare il personale, fornire un parere sulla Valutazione d’Impatto, cooperare e fungere da punto di contatto con il Garante Privacy). Inoltre, il DPO potrà essere un dipendente della farmacia ovvero assolvere i suoi compiti in base a un contratto di servizi (ad esempio, con una società di consulenza che offre servizi DPO).

Altra eventualità – che potrebbe, però, risultare più frequente rispetto a Valutazione di Impatto e DPO – è il trasferimento all’estero dei dati. Per “estero” si intendono i paesi extra UE ed extra SEE. Nel caso vi sia necessità di trasferire fuori dall’Unione Europea o fuori dallo Spazio Economico Europeo alcuni dati personali è necessario esaminare tre condizioni alternative.

• 1. Presenza di una “decisione di adeguatezza”. Se il paese verso cui la farmacia vuole trasferire i dati – allo stato attuale: Andorra, Argentina, Canada, Isole Faer Oer, Guernsey, Israele, Isola di Man, Jersey, Nuova Zelanda, Svizzera, Uruguay e USA[30] (e a breve Giappone[31]).
• 2. In assenza di una “decisione di adeguatezza”: il trasferimento dei dati personali deve essere effettuato sulla base di accordi contrattuali, stipulati tra il titolare stabilito in Unione Europea e i soggetti destinatari dei dati stabiliti fuori dall’Unione Europea (quali ad esempio responsabili o contitolari del trattamento), che forniscano garanzie adeguate agli utenti (esempio l’esercizio da parte di questi dei diritti a loro accordati dal GDPR). Per la conclusione di tali accordi contrattuali, la Commissione Europea ha emanato dei modelli standard.
• 3. In assenza delle precedenti condizioni, l’articolo 49 GDPR, prevede alcune eccezioni – da utilizzare in limitate ipotesi e non per trattamenti continuativi – che giustificano comunque il trasferimento.

Il trasferimento, può avvenire, alternativamente, soltanto se si verificano le seguenti condizioni:

• l’utente ha espresso esplicitamente il proprio consenso al trasferimento, una volta informato dal titolare del trattamento dell’assenza delle condizioni precedenti e degli eventuali rischi;
• il trasferimento è necessario per l’esecuzione di un contratto concluso tra l’utente e il Titolare stabilito in Unione Europea, ovvero nell’esecuzione di misure precontrattuali su istanza dell’utente.[32]

Come ogni altro titolare del trattamento, anche le farmacie sono alle prese con siti internet, Social Media e messaggistica istantanea. Esaminiamoli nel dettaglio:

• Il Sito Web. Diverse farmacie dispongono di un sito web, e la normativa privacy è presente anche in tale contesto. Alcune raccomandazioni:
• Aggiornare la privacy policy del sito web e aggiornarla periodicamente. La privacy policy è l’informativa privacy del sito, quindi è fondamentale che abbia le stesse caratteristiche di cui al punto 2.
• Disciplinare i cookie del sito e la policy che li riguarda (banner compreso).[33]
• Disciplinare le newsletter, le prenotazioni e i contatti.
• Disciplinare i collegamenti con società di pagamento digitale e social media / applicazioni.
• I Social Media. Particolare attenzione all’utilizzo dei Social Media (es. Facebook, Instagram, Twitter ecc.). Chi amministra una pagina di Social Media è, in alcuni casi, (addirittura) contitolare del trattamento (art. 26 GDPR). Con una recente sentenza – da prendere cum grano salis – la Corte di Giustizia dell’Unione Europea ha riconosciuto una contitolarità del trattamento in capo all’amministratore di una pagina ed alla stessa Facebook, dal momento che quest’ultima determina in via principale le finalità e le modalità del trattamento dei dati sulla propria piattaforma, puntualizzando anche che in caso di contitolarità la responsabilità non è equamente suddivisa tra i contitolari in maniera automatica, ma va determinata caso per caso. Tutti i soggetti che amministrano una pagina Facebook o altri social media rientrano nel campo di applicazione del GDPR, quindi devono valutare se stiano effettuando un trattamento dei dati personali in contitolarità con il social network. Tuttavia, è difficile immaginare un’applicazione fedele della norma del GDPR sulla contitolarità, in quanto difficilmente un titolare del trattamento può stipulare un accordo ai sensi dell’art. 26 GDPR con Facebook[34]. In ogni caso la pagina Facebook (o di altro Social) deve essere disciplinata come il sito web, quindi fondamentali devono essere le informazioni sul trattamento dei dati personali fornite nell’apposita sezione (ove possibile).
• La messaggistica istantanea. È ormai consolidato che gli strumenti di messaggistica istantanea non danno alcuna garanzia legale sull’identità del mittente, quindi è sempre un rischio utilizzarli in ambito sanitario. In altre parole: mentre al telefono si ha un minimo di possibilità di identificare colui che sta dall’altra parte, perché magari se ne conosce la voce, nelle chat o nei messaggi non c’è modo per avere una minima sicurezza su chi c’è dall’altra parte. Si tratta di strumenti certamente molto utili nelle relazioni quotidiane, ma probabilmente non sono il mezzo migliore per comunicare e trasmettere dati particolari (o sensibili). Nel rapporto fiduciario tra farmacia e paziente/cliente è diffuso lo scambio di dati particolari, soprattutto tramite Whatsapp[35] e Facebook Messenger. Tuttavia non è consigliabile affidarsi a tali strumenti, sia per problemi di sicurezza delle informazioni[36], che per problemi di non aderenza al GDPR[37].

È indubbio che la quasi totalità delle farmacie possiede dispositivi di videosorveglianza, che cercano di minimizzare i rischi della sempre maggior pressione della presenza criminale.

Ad oggi la materia della videosorveglianza si basa ancora sul Provvedimento Generale 8 Aprile 2010[38], non essendoci stati interventi ulteriori da parte del Garante Privacy negli ultimi tempi. In attesa, quindi, di un intervento dell’Autorità in materia, il Provvedimento deve necessariamente subire delle “cesellature” per adeguarlo al GDPR.

In primis, l’informativa. La materia della Videosorveglianza ha la caratteristica della “doppia informativa”, ossia un’informativa minima (cartello “Area Videosorvegliata”) ed un’informativa completa. Se il cartello probabilmente sopravviverà nel formato attuale (indicazione del Titolare e delle finalità di trattamento), l’informativa completa – che la farmacia deve esporre all’interno – deve avere le medesime caratteristiche dell’informativa privacy di cui al punto 2.

Per quanto attiene la conservazione dei filmati, attenersi a quanto previsto dal Provvedimento Generale: “La conservazione deve essere limitata a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o esercizi, nonché nel caso in cui si deve aderire ad una specifica richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria. Solo in alcuni casi, per peculiari esigenze tecniche (mezzi di trasporto) o per la particolare rischiosità dell´attività svolta dal titolare del trattamento (ad esempio, per alcuni luoghi come le banche può risultare giustificata l´esigenza di identificare gli autori di un sopralluogo nei giorni precedenti una rapina), può ritenersi ammesso un tempo più ampio di conservazione dei dati che, sulla scorta anche del tempo massimo legislativamente posto per altri trattamenti, si ritiene non debba comunque superare la settimana”. Inserire il periodo di conservazione all’interno dell’informativa completa.

Le misure di sicurezza da adottare in materia di Videosorveglianza devono rispettare l’art. 32 GDPR (si veda il punto 4). Parafrasando il Provvedimento Generale, i dati raccolti mediante sistemi di videosorveglianza devono essere protetti con adeguate misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini.

Il Provvedimento dispone che devono essere adottate specifiche misure tecniche ed organizzative che consentano alla farmacia di verificare l’attività svolta da parte di chi accede alle immagini o controlla i sistemi di ripresa. È fatta salva la necessità di avere differenti livelli di visibilità e trattamento delle immagini (rilevazione e registrazione). Sia i soggetti che rilevano (visualizzano le immagini in tempo reale), sia i soggetti che registrano devono possedere credenziali di autenticazione che permettano di effettuare, a seconda dei compiti attribuiti ad ognuno, unicamente le operazioni di propria competenza. Laddove i sistemi siano configurati per la registrazione e successiva conservazione delle immagini rilevate, deve essere altresì attentamente limitata la possibilità, per i soggetti abilitati, di visionare non solo in sincronia con la ripresa, ma anche in tempo differito, le immagini registrate e di effettuare sulle medesime operazioni di cancellazione o duplicazione. Per quanto riguarda il periodo di conservazione delle immagini devono essere predisposte misure tecniche od organizzative per la cancellazione, anche in forma automatica, delle registrazioni, allo scadere del termine previsto (utilizzare la sovrascrittura). Nel caso di interventi derivanti da esigenze di manutenzione, occorre adottare specifiche cautele: in particolare, i soggetti preposti alle predette operazioni possono accedere alle immagini solo se ciò si renda indispensabile al fine di effettuare eventuali verifiche tecniche ed in presenza dei soggetti dotati di credenziali di autenticazione abilitanti alla visione delle immagini. Qualora si utilizzino apparati di ripresa digitali connessi a reti informatiche, gli apparati medesimi devono essere protetti contro i rischi di accesso abusivo di cui all´art. 615-ter del codice penale[39]. La trasmissione tramite una rete pubblica di comunicazioni di immagini riprese da apparati di videosorveglianza deve essere effettuata previa applicazione di tecniche crittografiche che ne garantiscano la riservatezza. Le stesse cautele sono richieste per la trasmissione di immagini da punti di ripresa dotati di connessioni wireless (Es. WI-FI). Particolare, infine, essere cauti nell’utilizzo dei monitor per la rilevazione delle immagini.[40]

Per i diritti degli interessati (pazienti/clienti e personale della farmacia) vale quanto esposto al punto 2.

È necessario sottolineare che la farmacia, a meno che non vi operi il singolo farmacista, è un luogo di lavoro. Come tale si applica quanto disposto dal 4.1 del Provvedimento Generale e dallo Statuto dei Lavoratori (L. 300/1970). In particolare, con la videosorveglianza occorre rispettare il divieto di controllo a distanza dell’attività lavorativa; è vietata, quindi, l’installazione di apparecchiature specificatamente preordinate alla predetta finalità. Non devono essere effettuate riprese al fine di verificare l’osservanza dei doveri di diligenza stabiliti per il rispetto dell’orario di lavoro e la correttezza nell’esecuzione della prestazione lavorativa. Vanno poi osservate le garanzie previste in materia di lavoro quando la videosorveglianza è resa necessaria da esigenze organizzative o produttive, ovvero è richiesta per la sicurezza del lavoro: in tali casi, ai sensi dell´art. 4 della Legge 300/1970 (modificata dal D. Lgs. 151/2015), gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. […] In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro […]. Siccome è quasi impossibile che la farmacia abbia una rappresentanza sindacale al suo interno, il titolare della stessa deve necessariamente inoltrare un’istanza[41] dinanzi l’Ispettorato del lavoro prima che installi l’impianto di videosorveglianza. Importante: non è ammissibile il consenso dei dipendenti/lavoratori all’installazione dell’impianto di videosorveglianza in alternativa alla procedura dinanzi l’Ispettorato del lavoro.[42]

Infine, non bisogna dimenticare che anche in ambito Videosorveglianza trovano largo spazio il Registro dei Trattamenti e la Valutazione di Impatto, trattate nei punti 8 e 9. Nel Registro della farmacia dovrà essere inserita un’apposita riga per il trattamento dati Videosorveglianza; mentre bisognerà condurre una Valutazione di Impatto per tutti quei trattamenti dati Videosorveglianza che possano essere un rischio per i diritti e le libertà delle persone fisiche. Non ci si dimentichi, inoltre, l’art. 35.3 c) GDPR, che obbliga la conduzione di una Valutazione di Impatto in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (caso tipico di videosorveglianza, ma su larga scala, concetto accennato al punto 8).

Alle battute finali è doveroso esporre quelli che sono i “motori propulsivi” che spingono i professionisti, le aziende e gli enti ad adeguarsi alla normativa, ossia le sanzioni e le responsabilità in capo al titolare del trattamento.

Il GDPR e il nuovo Codice Privacy introducono un apparato sanzionatorio “misto”, fino a tempi recenti monopolio del vecchio Codice Privacy. Nel nuovo assetto, il GDPR disciplina le sanzioni amministrative, mentre il Codice Privacy le sanzioni penali.

L’art. 83 GDPR si occupa di due casistiche diversamente sanzionabili, a seconda della gravità della violazione. La prima casistica, che coincide con l’art. 83.4, riguarda le violazioni di minore gravità, sanzionabili sino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. In particolare riguardano la violazione degli obblighi del titolare ed il responsabile del trattamento (consenso minori in relazione ai servizi della società dell’informazione, trattamento che non richiede l’identificazione, privacy by design e by default[43], contitolari e responsabili del trattamento, Registri delle attività di trattamento, misure di sicurezza e Data Breach, Valutazione di Impatto e DPO, certificazione[44]), degli obblighi dell’organismo di certificazione e degli obblighi dell’organismo di controllo dei codici di condotta[45].

La seconda casistica, che coincide con l’art. 83.5, riguarda le violazioni di maggiore gravità, sanzionabili sino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. In particolare riguardano la violazione dei principi di base del trattamento, comprese le condizioni relative al consenso; la violazione dei diritti degli interessati; i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale; qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX (disposizioni relative a specifiche situazioni di trattamento); l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (Garante Privacy). Bisogna sottolineare che il Garante Privacy è l’unica autorità che può irrogare le sanzioni – effettive, proporzionate e dissuasive – previste dal GDPR, valutando caso per caso le singole violazioni e il loro carattere doloso o colposo.

Il nuovo Codice Privacy – con la novella del D. Lgs. 101/2018 entrato in vigore il 19 Settembre 2018 – ha introdotto un ulteriore impianto sanzionatorio, che il GDPR riserva agli Stati UE in base all’art. 84.

In particolare il nuovo art. 166 Codice Privacy è l’unico superstite del Titolo III – Capo I, una volta disciplinante le violazioni amministrative del vecchio Codice Privacy. Il primo comma del nuovo art. 166 Codice Privacy prevede la sanzione fino a 10 milioni di euro o al 2% del fatturato dell’impresa in caso di violazioni delle disposizioni di cui agli articoli 2-quinquies, comma 2, relativo all’informativa da rendere con linguaggio semplificato rilasciata ai minori di quattordici anni in occasione dell’offerta diretta di servizi della società dell’informazione, 2-quinquiesdecies, sui trattamenti svolti per l’esecuzione di un compito di interesse pubblico che presentano rischi elevati, 92, comma 1, 93, comma 1, relativi alle cartelle cliniche e ai certificati di assistenza al parto, 123, comma 4, 128, 129, comma 2, e 132-ter, relativi ai trattamenti posti in essere dai fornitori di reti pubbliche di comunicazioni o di servizi di comunicazione elettronica accessibili al pubblico. Alla medesima sanzione amministrativa è inoltre soggetto colui che non effettua la valutazione di impatto di cui all’articolo 110, comma 1, primo periodo, ovvero non sottopone il programma di ricerca a consultazione preventiva del Garante a norma del terzo periodo del predetto comma, in relazione alle attività di ricerca medica, biomedica ed epidemiologica.

Il secondo comma dell’art. 166 prevede la sanzione fino a 20 milioni di euro o al 4% del fatturato dell’impresa in caso di violazioni delle disposizioni di cui agli articoli 2-ter, sui trattamenti svolti per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, 2-quinquies, comma 1, relativo alla raccolta del consenso prestato dai minori di quattordici anni in occasione dell’offerta diretta di servizi della società dell’informazione, 2-sexies, relativo al trattamento di particolari categorie di dati per motivi di interesse pubblico rilevante, 2-septies, comma 7, relativo alle procedure di accesso fisico e logico ai dati genetici, biometrici o relativi alla salute, 2-octies, riguardante i trattamenti di dati relativi a condanne penali e reati, 2-terdecies, commi 1, 2, 3 e 4, relativo ai diritti delle persone decedute, 52, commi 4 e 5, sulla diffusione di provvedimenti giudiziari contenenti dati personali, 75, 78, 79, 80, 82, 92, comma 2, 93, commi 2 e 3, in relazione al trattamento di dati sanitari, 96, sui dati personali degli studenti, 99, 100, commi 1, 2 e 4, 101, 105 commi 1, 2 e 4, 110-bis, commi 2 e 3, sui trattamenti a fini statistici e di ricerca scientifica, 111, 111-bis, 116, comma 1, per i trattamenti nell’ambito di lavoro, 120, comma 2, in relazione alle assicurazioni, 122, 123, commi 1, 2, 3 e 5, 124, 125, 126, 130, commi da 1 a 5, 131, 132, 132-bis, comma 2, 132-quater, tutte disposizioni relative ai servizi di comunicazione elettronica, 157, nonché delle misure di garanzia, delle regole deontologiche di cui rispettivamente agli articoli 2-septies e 2-quater.

Ma è indubbiamente il Titolo III – Capo II la parte più interessante del nuovo Codice Privacy, ossia quella che riguarda gli illeciti penali.

L’art. 167 (Trattamento illecito dei dati) dispone che salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123 (dati relativi al traffico), 126 (dati relativi all’ubicazione) e 130 (comunicazione indesiderate) o dal provvedimento di cui all’articolo 129 (elenchi di contraenti) arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi.

• Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 (trattamento di categorie particolari di dati personali) e 10 (trattamento di dati personali relativi a condanne penali e reati) del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies (trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante) e 2-octies (principi relativi al trattamento di dati relativi a condanne penali e reati), o delle misure di garanzia di cui all’articolo 2-septies (misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) ovvero operando in violazione delle misure adottate ai sensi dell’articolo 2- quinquiesdecies (trattamento che presenta rischi elevati per l’esecuzione di un compito di interesse pubblico) arreca nocumento all’interessato, è punito con la reclusione da uno a tre anni.
• Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 si applica altresì a chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45 (trasferimento sulla base di una decisione di adeguatezza), 46 (trasferimento soggetto a garanzie adeguate) o 49 (deroghe in specifiche situazioni) del Regolamento, arreca nocumento all’interessato.
• Il Pubblico ministero, quando ha notizia dei reati di cui ai commi 1, 2 e 3, ne informa senza ritardo il Garante.
• Il Garante trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell’attività di accertamento nel caso in cui emergano elementi che facciano presumere la esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell’attività di accertamento delle violazioni delle disposizioni di cui al presente decreto.
• Quando per lo stesso fatto è stata applicata a norma del presente codice o del Regolamento a carico dell’imputato o dell’ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è diminuita.

L’art. 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala) dispone che salvo che il fatto costituisca più grave reato, chiunque comunica o diffonde al fine di trarre profitto per se’ o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in violazione degli articoli 2-ter (Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri), 2-sexies (trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante) e 2-octies (principi relativi al trattamento di dati relativi a condanne penali e reati), è punito con la reclusione da uno a sei anni.

• Salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per se’ o altri ovvero di arrecare danno, comunica o diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, e’ punito con la reclusione da uno a sei anni, quando il consenso dell’interessato è richiesto per le operazioni di comunicazione e di diffusione.
• Per i reati di cui ai commi 1 e 2, si applicano i commi 4, 5 e 6 dell’articolo 167.

L’art. 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala) dispone che salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per sé o altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a quattro anni.

• Per il reato di cui al comma 1 si applicano i commi 4, 5 e 6 dell’articolo 167.

L’art. 168 (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante) dispone che salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.

• Fuori dei casi di cui al comma 1, è punito con la reclusione sino ad un anno chiunque intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti.

L’articolo 170 (Inosservanza dei provvedimenti del Garante) dispone che chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 58, paragrafo 2, lettera f) del Regolamento (imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento), dell’articolo 2-septies, comma 1 (In attuazione di quanto previsto dall’articolo 9, paragrafo 4, del regolamento, i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo), nonché i provvedimenti generali di cui all’articolo 21, comma 1, del decreto legislativo di attuazione dell’articolo 13 della legge 25 ottobre 2017, n. 163 è punito con la reclusione da tre mesi a due anni.

Infine l’art. 171 (Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori) dispone che la violazione delle disposizioni di cui agli articoli 4 (impianti audiovisivi), comma 1, e 8 (divieto di indagini sulle opinioni) della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all’articolo 38 (disposizioni penali) della medesima legge.[46]

Infine, non si può sorvolare su un’altra possibile “grana” che potrebbe riguardare la farmacia: la responsabilità per danno causato all’interessato per violazione del GDPR.

In base all’art. 82 GDPR chiunque subisca un danno materiale o immateriale causato da una violazione del GDPR ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

• Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
• Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
• Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.
• Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
• Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2 (in Italia, il giudice ordinario).