Compilando il form sottostante puoi fare una richiesta o chiedere un consiglio direttamente ai nostri farmacisti che risponderanno via mail nel più breve tempo possibile.
https://www.regione.veneto.it/web/sanita/vendita-on-line-di-medicinali-senza-obbligo-di-prescrizione
Con il GDPR, tutta la tematica che orbita attorno alla protezione dei dati personali si fonda sul principio di responsabilizzazione o di “accountability”[2]. Le 3– in qualità di titolari del trattamento dei dati – sono autonomamente responsabili delle loro scelte, delle loro azioni e di tutte le misure tecniche ed organizzative messe in campo (art. 5.2 e 24 GDPR); inoltre, devono “darne conto” ai pazienti/clienti interessati al trattamento, al Garante Privacy[3] e all’autorità giudiziaria. La farmacia opera come titolare del trattamento dei dati perché determina autonomamente le finalità e le modalità del trattamento. Quindi la farmacia tratta i dati dei pazienti, ad esempio, per finalità di terapia sanitaria, con strumenti informatici (ad es. PC o tablet, ricetta elettronica ecc.) e/o cartacei (ad es. ricetta medica cartacea).
Generalmente la farmacia “persona giuridica” opera sempre come titolare del trattamento, sia essa ditta o società. Più rara, la figura del titolare “persona fisica”, ossia il singolo farmacista nella duplice veste di imprenditore e di titolare del trattamento.
Non frequente ma possibile è la figura della farmacia contitolare del trattamento. Ai sensi dell’art. 26 GDPR quando due o più titolari determinano congiuntamente le finalità e le modalità del trattamento, essi sono contitolari del trattamento. La contitolarità viene sancita da un accordo interno che delinea le rispettive responsabilità in merito all’ottemperanza al GDPR. Può accadere, ad esempio, che una società ed una farmacia, oppure più società e/o più farmacie, stipulino un accordo nel quale determinano congiuntamente finalità e modalità del trattamento: in questo caso sarà fondamentale disciplinare adeguatamente l’esercizio dei diritti da parte degli interessati
Indice degli argomenti
Fondamentale per ogni titolare del trattamento, soprattutto in costanza di GDPR, è la “coppia” informazioni-diritti del paziente/cliente interessato.
Il GDPR pone tale binomio su una “posizione privilegiata”, in quanto – è doveroso ribadirlo – il paziente è proprietario dei suoi dati. Quindi è necessario che sia informato puntualmente su come i suoi dati personali vengono trattati e cosa può disporre su di loro. Esaminiamo ora le informazioni che attengono la protezione dei dati personali del paziente/cliente in farmacia.
Innanzitutto – al pari di ogni altro settore che tratta dati personali – si deve procedere all’eliminazione di tutte le “vecchie” informative[4] privacy che è possibile trovare ancora in alcune farmacie. Ma non è sufficiente. Il GDPR non ammette la presenza di nuove informative che siano una fredda riproduzione del testo di legge (ad esempio, riproduzione totale degli artt. 13-14 GDPR), oppure che abbiano caratteri illeggibili (dimensione e/o formato), ovvero che siano scritti a mo’ di contratto con uno stile “legalese”. L’art. 12 GDPR, infatti, su questo punto non transige, e dispone che bisogna:
Per quanto attiene il contenuto, l’informativa ex art. 13 GDPR[5] è composta da alcuni elementi:
In tutti questi casi la farmacia dovrà procedere alla cancellazione di tali dati (a prescindere se su supporto elettronico o cartaceo) senza ingiustificato ritardo.
Non si applica il diritto alla cancellazione in farmacia quando
Ai sensi dell’art. 18 GDPR il paziente/cliente interessato ha il diritto di ottenere la limitazione del trattamento dei dati personali che lo riguardano quando
Ai sensi dell’art. 20 GDPR[10] il paziente/cliente interessato ha il diritto alla portabilità dei suoi dati, ossia di ricevere dalla farmacia i dati personali che lo riguardano, e ha il diritto di chiedere alla farmacia di trasmetterli ad altro titolare del trattamento (es. una ditta od una società). La farmacia deve consegnare i dati – o trasmetterli – in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Il paziente/cliente può esercitare il diritto alla portabilità dei suoi dati a due condizioni: che vi sia la presenza di una base giuridica in alternativa tra consenso e contratto; e che il trattamento sia effettuato con mezzi automatizzati (non è possibile la portabilità di dati contenuti in modulistica cartacea). Chiaramente l’esercizio del diritto alla portabilità non pregiudica altri diritti (ad esempio, non pregiudica il diritto alla cancellazione ex art. 17 GDPR).
Infine, ai sensi dell’art. 21 GDPR il paziente/cliente interessato ha il diritto di opporsi in qualsiasi momento al trattamento avente come basi giuridiche l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, ovvero il legittimo interesse della farmacia.
Importante: se la farmacia avesse necessità di trattare ulteriormente i dati personali dei suoi pazienti/clienti per un’altra finalità sarà necessario che informi i suoi pazienti/clienti in merito a questo ulteriore trattamento.
Con il GDPR un trattamento di dati personali è lecito solo in costanza di determinate basi giuridiche. Se, in molti ambiti, il consenso è stato – e in molti casi continua ad essere – la base giuridica più utilizzata, nel caso delle farmacie ci troviamo dinanzi a diverse basi giuridiche poste ad egual livello di importanza.
Innanzitutto, la base giuridica per eccellenza nel trattamento dei dati particolari[11] relativi alla salute di cui all’Art. 9.2 h) GDPR. In tale articolo si dispone che: è lecito il trattamento dei dati particolari per finalità di medicina preventiva, medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale, ovvero gestione dei sistemi e servizi sanitari o sociali […] In pratica, non è più necessario il “consenso privacy” accanto al consenso al trattamento sanitario, in quanto è superfluo trovarsi davanti a due autorizzazioni per la medesima finalità assistenza o terapia sanitaria. Il trattamento dei dati personali è strumentale al trattamento sanitario, quindi è lecito “di per sé”. A garanzia di quanto affermato vi è l’art. 9.3 GDPR, il quale dispone che è possibile utilizzare la base giuridica di cui all’Art. 9.2 h) solo se tali dati sono trattati da o sotto la responsabilità di un professionista (ad es. il farmacista) soggetto al segreto professionale […] o da altra persona anch’essa soggetta all’obbligo di segretezza (ad. es. collaboratore del farmacista) […][12].
Raccomandazioni: nell’informativa privacy della farmacia, ben esposta, si inserisca chiaramente la base giuridica scelta (ovvero le basi).
Al secondo gradino del podio è inevitabile inserirvi il consenso (art. 6.1 a, art. 9.1 a GDPR) che, pur rivestendo sempre un suo peso, nell’ambito delle farmacie è una base giuridica come un’altra. Nella farmacia è possibile utilizzare il consenso con alcune tipologie di trattamento. Ad esempio: nell’elaborazione delle schede sanitarie dei pazienti/clienti; nel caso della compilazione delle fatture per la vendita di medicinali ai pazienti/clienti; servizi di noleggio di apparecchi che trattano dati personali; oppure nel caso di dispensazione dei presidi di cui al nomenclatore tariffario e alla assistenza integrativa regionale (in quest’ultimo caso si procede al consenso privacy in farmacia in luogo dell’ASL, la quale utilizza la base giuridica dell’obbligo legale).
Nel caso della “fidelity card”[13], utilizzata da diverse farmacie, è necessario il consenso privacy, in special modo nel caso di profilazione della clientela (come le abitudini o le scelte di consumo della clientela), ovvero nel caso di invio di materiale pubblicitario.
Particolare è il caso della ricetta medica. Infatti, il farmacista non ha l’obbligo di rendere l’informativa e di acquisire il consenso in quanto già disciplinati dal medico in precedenza[14].
A titolo di “reminder”, è bene sottolineare che il consenso è disciplinato rigidamente nel GDPR, che gli dedica l’intero art. 7. Tra le disposizioni:
Come ribadito, la farmacia può utilizzare altre basi giuridiche:
Pur non avendo sufficiente “spazio di manovra” la farmacia – quando possibile – valuta autonomamente le basi giuridiche che vuole utilizzare: per il principio di responsabilizzazione è possibile utilizzare altre basi giuridiche, l’importante è saper giustificare le scelte.
Con il GDPR non esistono più misure di sicurezza standard, ben elencate e “pronte per l’uso”. Consegnando alla storia il binomio misure minime / misure idonee di sicurezza di cui al vecchio Codice, con il GPDR le uniche misure di sicurezza ammesse sono quelle “adeguate”.
L’art. 32 GDPR dispone che per approntare delle adeguate misure di sicurezza bisogna tener conto dello stato dell’arte (avanzamento tecnologico), dei costi di attuazione (delle misure di sicurezza), della natura, dell’oggetto, del contesto e delle finalità del trattamento dei dati, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (porre in essere, quindi, un’analisi del rischio sui dati personali trattati). Il tutto per garantire un livello di sicurezza adeguato al rischio. Tra le “soluzioni” che l’art. 32 elenca – in maniera non esaustiva – vi sono:
Inoltre, nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Inoltre, la farmacia titolare del trattamento fa sì che chiunque agisca sotto la Sua autorità, e abbia accesso a dati personali, non tratti tali dati se non è istruito in tal senso (si veda il punto 5).
È sempre utile rammentare quelle che sono le misure imprescindibili per una farmacia (al pari di uno studio medico e odontoiatrico) che, in un certo senso, precedono quanto previsto dall’art. 32 GDPR:
Ma cosa succede se la farmacia subisce un Data Breach (Violazione di dati personali – Artt. 33 e 34 GDPR)?[20]
In caso di Data Breach, la farmacia deve, senza ingiustificato ritardo e non oltre 72 ore dal momento in cui ne è venuto a conoscenza, notificare la violazione al Garante Privacy, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche[21]. Oltre le 72 ore è necessario allegare alla notifica il motivo del ritardo.
Cosa contiene la notifica del Data Breach al Garante Privacy?
In ogni caso, a prescindere dalla necessità di notifica o meno di un Data Breach, la farmacia ha l’obbligo di documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente al Garante Privacy di verificare il rispetto di quanto disposto dal GDPR (art. 33.5 GDPR).
Come affermato in precedenza, nella maggior parte delle farmacie operano diversi collaboratori, a prescindere dal rapporto di lavoro con il quale sono legati al titolare della farmacia.
L’art. 32.4 GDPR impone che chiunque agisca sotto l’autorità del titolare del trattamento, e abbia accesso ai dati personali, non tratti i dati se non è istruito in tal senso dal titolare del trattamento. L’art. 2-quaterdecies del Codice Privacy afferma che il titolare del trattamento può prevedere, sotto la sua responsabilità e nell’ambito del suo assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la sua autorità. Inoltre, il titolare sceglie le modalità più opportune per autorizzare al trattamento tali persone fisiche.
Quindi, da un lato abbiamo il GDPR con il termine “istruito”, dall’altro il Codice Privacy con i termini “attribuzione” e “autorizzare”. Da un lato la farmacia può autorizzare come meglio crede (responsabilizzazione) il proprio personale al trattamento dei dati, mediante l’attribuzione di specifici compiti e funzioni; dall’altro tale personale deve essere istruito, ossia deve comprendere la reale portata dell’autorizzazione. In altre parole, il personale autorizzato deve essere formato.
La formazione del personale di farmacia dovrebbe essere la priorità per il suo titolare: avere degli operatori che comprendano l’importanza di trattare adeguatamente i dati personali espone a rischi privacy e di sicurezza nettamente minori, a tutto vantaggio per la farmacia stessa.
Si raccomanda, come sempre, di finanziare un corso privacy specifico al proprio personale (non importa la quantità di ore, bensì la qualità di ciò che viene impartito in questo lasso di tempo). Inoltre si consiglia di fare in modo che gli operatori della farmacia si impegnino, con apposito atto firmato, alla riservatezza circa le informazioni apprese all’interno del luogo di lavoro (sia privacy, sia know-how aziendale).
Per la farmacia è inevitabile interfacciarsi con soggetti esterni che trattano dati personali per suo conto. Si prenda, ad esempio, il caso del commercialista che cura la gestione contabile, il consulente del lavoro che gestisce le buste paga, oppure la società che fornisce il software gestionale della farmacia. In questo caso si parla di rapporto tra titolare del trattamento e responsabile del trattamento, disciplinato dagli artt. 28 e 29 GDPR.
Questo rapporto deve essere sancito da un contratto o da un altro atto giuridico che abbia la caratteristica di vincolare il Titolare al Responsabile. Raccomandazione: sarebbe meglio che al contratto di fornitura seguisse in parallelo un contratto/atto vincolante sul trattamento dei dati; se vi sono già contratti di fornitura in essere, stipulare immediatamente i rispettivi contratti/atti vincolanti sul trattamento dei dati.
L’art. 28 GDPR fissa dei paletti inderogabili per “delegare” un trattamento: l’operatore esterno deve fornire delle “garanzie sufficienti” di compliance al GDPR (in primo luogo, misure adeguate e diritti dell’interessato). E la valutazione sul possesso di queste garanzie (come tutte le valutazioni in seno al GDPR e al principio di responsabilizzazione) la pone in essere la farmacia. Raccomandazione: se possibile, scegliere l’operatore esterno già “GDPR compliant”; in alternativa, valutare attentamente il fornitore nel rapporto costi-benefici (in ambito privacy). Il che non è sempre facile.
L’operatore terzo, che riveste la qualifica di responsabile del trattamento, non può ricorrere ad un “subresponsabile del trattamento” senza la previa autorizzazione scritta della farmacia. Inoltre l’autorizzazione può essere specifica o generale e, in quest’ultimo caso, il responsabile del trattamento informa la farmacia titolare di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri subresponsabili, dando così alla farmacia l’opportunità di opporsi a tali modifiche.
Ma quali sono i contenuti che deve possedere il contratto/atto vincolante con il responsabile del trattamento?
L’art. 28 GDPR è un articolo molto importante poiché, in un certo senso, “diluisce” il principio di responsabilizzazione di cui all’Art. 5.2 GDPR. Ciò non significa che con un contratto/atto vincolante la farmacia possa “appaltare” – oltre al trattamento dei dati – anche tutte le responsabilità connesse; bensì, seguendo scrupolosamente quanto dettato dall’art. 28 GDPR, è possibile quantomeno cedere una parte di responsabilità.[22]
Ulteriore novità del GDPR è il Registro delle Attività di Trattamento[23], perno centrale del principio di responsabilizzazione e di tutto il GDPR.
Per le farmacie il Registro delle Attività di Trattamento è un obbligo tassativo ed inderogabile. Esso dipende essenzialmente dalle categorie di dati trattate. Il trattamento su base permanente di dati particolari e, principalmente, di dati relativi la salute (o sanitari), costituisce un obbligo al quale nessuna farmacia può sottrarsi.
Il Registro è tenuto in forma scritta e sotto la responsabilità della farmacia, in qualità di titolare del trattamento.
Come procedere? A parere di chi scrive un foglio in formato xls/xlsx (Es. MS Excel) può andare più che bene. Ovviamente si possono utilizzare anche dei software ad hoc nel vasto panorama di servizi offerti da diverse società.
Quali sono i contenuti del Registro del titolare del trattamento? I suoi sette contenuti sono ben descritti dall’art. 30.1 GDPR.
Raccomandazione: è necessario tenere costantemente aggiornato il Registro delle Attività di Trattamento, almeno a cadenza bimestrale o trimestrale.
Veniamo ora ai tre grandi – e dibattuti – pilastri del GDPR: Valutazione d’Impatto, DPO e Trasferimento dati all’estero.
Scopo di questo punto è di disciplinare le tre aree che potrebbero (o meno) interessare le farmacie titolari del trattamento.
paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
Come nel caso degli studi medici e odontoiatrici, anche le farmacie possono “collidere” con il punto b). Innanzitutto, “interpretando il considerando” 91 GDPR, per il quale “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”, anche il singolo farmacista non rientra nell’obbligo di Valutazione di Impatto.
In ogni caso, volendo dirimere la matassa, ossia comprendere se la farmacia deve o meno procedere con la Valutazione di Impatto, secondo le Linee Guida del già “Gruppo dei Garanti Privacy europei” (WP29)[24],[25] per determinare se un trattamento è svolto su larga scala si deve far riferimento al numero degli interessati, al volume di dati e/o tipologie di dati, alla durata dell’attività di trattamento e all’ambito geografico dell’attività di trattamento. In altri termini, se la farmacia tratta dati particolari su larga scala, è tenuto a porre in essere una Valutazione d’Impatto.
Per quanto scritto, è – però – piuttosto difficile che una farmacia tratti dati particolari su larga scala. Nella remota ipotesi che ciò accada, l’art. 35.7 dispone che la Valutazione d’Impatto deve contenere:
Se del caso, è possibile avvalersi dell’ottimo software messo a disposizione gratuitamente dal Garante francese CNIL e consigliato, nel suo utilizzo, dal Garante privacy italiano[26]. [27]
Destinatario della Sezione 4 (Artt. 37-38-39) GDPR, questa figura è stata introdotta come “supervisore” in materia di protezione dei dati personali all’interno delle aziende[28]. Anche qui, come per la Valutazione di Impatto, per la quasi totalità delle farmacie la presenza del DPO non è obbligatoria. Infatti l’obbligo scatta, ai sensi dell’art. 37 GDPR, solo nei seguenti casi:
Anche qui, quindi, con il termine larga scala si relega l’obbligatorietà della nomina del DPO ad una fetta marginale di titolari del trattamento.
Tuttavia, se si volesse ugualmente procedere alla nomina di un DPO per la propria farmacia, sarà fondamentale affidarsi ad un soggetto che abbia una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati[29], e della capacità di assolvere i compiti di cui all’articolo 39 (informare, fornire consulenza, sorvegliare l’osservanza del GDPR, sensibilizzare e formare il personale, fornire un parere sulla Valutazione d’Impatto, cooperare e fungere da punto di contatto con il Garante Privacy). Inoltre, il DPO potrà essere un dipendente della farmacia ovvero assolvere i suoi compiti in base a un contratto di servizi (ad esempio, con una società di consulenza che offre servizi DPO).
Altra eventualità – che potrebbe, però, risultare più frequente rispetto a Valutazione di Impatto e DPO – è il trasferimento all’estero dei dati. Per “estero” si intendono i paesi extra UE ed extra SEE. Nel caso vi sia necessità di trasferire fuori dall’Unione Europea o fuori dallo Spazio Economico Europeo alcuni dati personali è necessario esaminare tre condizioni alternative.
Il trasferimento, può avvenire, alternativamente, soltanto se si verificano le seguenti condizioni:
Come ogni altro titolare del trattamento, anche le farmacie sono alle prese con siti internet, Social Media e messaggistica istantanea. Esaminiamoli nel dettaglio:
È indubbio che la quasi totalità delle farmacie possiede dispositivi di videosorveglianza, che cercano di minimizzare i rischi della sempre maggior pressione della presenza criminale.
Ad oggi la materia della videosorveglianza si basa ancora sul Provvedimento Generale 8 Aprile 2010[38], non essendoci stati interventi ulteriori da parte del Garante Privacy negli ultimi tempi. In attesa, quindi, di un intervento dell’Autorità in materia, il Provvedimento deve necessariamente subire delle “cesellature” per adeguarlo al GDPR.
In primis, l’informativa. La materia della Videosorveglianza ha la caratteristica della “doppia informativa”, ossia un’informativa minima (cartello “Area Videosorvegliata”) ed un’informativa completa. Se il cartello probabilmente sopravviverà nel formato attuale (indicazione del Titolare e delle finalità di trattamento), l’informativa completa – che la farmacia deve esporre all’interno – deve avere le medesime caratteristiche dell’informativa privacy di cui al punto 2.
Per quanto attiene la conservazione dei filmati, attenersi a quanto previsto dal Provvedimento Generale: “La conservazione deve essere limitata a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o esercizi, nonché nel caso in cui si deve aderire ad una specifica richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria. Solo in alcuni casi, per peculiari esigenze tecniche (mezzi di trasporto) o per la particolare rischiosità dell´attività svolta dal titolare del trattamento (ad esempio, per alcuni luoghi come le banche può risultare giustificata l´esigenza di identificare gli autori di un sopralluogo nei giorni precedenti una rapina), può ritenersi ammesso un tempo più ampio di conservazione dei dati che, sulla scorta anche del tempo massimo legislativamente posto per altri trattamenti, si ritiene non debba comunque superare la settimana”. Inserire il periodo di conservazione all’interno dell’informativa completa.
Le misure di sicurezza da adottare in materia di Videosorveglianza devono rispettare l’art. 32 GDPR (si veda il punto 4). Parafrasando il Provvedimento Generale, i dati raccolti mediante sistemi di videosorveglianza devono essere protetti con adeguate misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini.
Il Provvedimento dispone che devono essere adottate specifiche misure tecniche ed organizzative che consentano alla farmacia di verificare l’attività svolta da parte di chi accede alle immagini o controlla i sistemi di ripresa. È fatta salva la necessità di avere differenti livelli di visibilità e trattamento delle immagini (rilevazione e registrazione). Sia i soggetti che rilevano (visualizzano le immagini in tempo reale), sia i soggetti che registrano devono possedere credenziali di autenticazione che permettano di effettuare, a seconda dei compiti attribuiti ad ognuno, unicamente le operazioni di propria competenza. Laddove i sistemi siano configurati per la registrazione e successiva conservazione delle immagini rilevate, deve essere altresì attentamente limitata la possibilità, per i soggetti abilitati, di visionare non solo in sincronia con la ripresa, ma anche in tempo differito, le immagini registrate e di effettuare sulle medesime operazioni di cancellazione o duplicazione. Per quanto riguarda il periodo di conservazione delle immagini devono essere predisposte misure tecniche od organizzative per la cancellazione, anche in forma automatica, delle registrazioni, allo scadere del termine previsto (utilizzare la sovrascrittura). Nel caso di interventi derivanti da esigenze di manutenzione, occorre adottare specifiche cautele: in particolare, i soggetti preposti alle predette operazioni possono accedere alle immagini solo se ciò si renda indispensabile al fine di effettuare eventuali verifiche tecniche ed in presenza dei soggetti dotati di credenziali di autenticazione abilitanti alla visione delle immagini. Qualora si utilizzino apparati di ripresa digitali connessi a reti informatiche, gli apparati medesimi devono essere protetti contro i rischi di accesso abusivo di cui all´art. 615-ter del codice penale[39]. La trasmissione tramite una rete pubblica di comunicazioni di immagini riprese da apparati di videosorveglianza deve essere effettuata previa applicazione di tecniche crittografiche che ne garantiscano la riservatezza. Le stesse cautele sono richieste per la trasmissione di immagini da punti di ripresa dotati di connessioni wireless (Es. WI-FI). Particolare, infine, essere cauti nell’utilizzo dei monitor per la rilevazione delle immagini.[40]
Per i diritti degli interessati (pazienti/clienti e personale della farmacia) vale quanto esposto al punto 2.
È necessario sottolineare che la farmacia, a meno che non vi operi il singolo farmacista, è un luogo di lavoro. Come tale si applica quanto disposto dal 4.1 del Provvedimento Generale e dallo Statuto dei Lavoratori (L. 300/1970). In particolare, con la videosorveglianza occorre rispettare il divieto di controllo a distanza dell’attività lavorativa; è vietata, quindi, l’installazione di apparecchiature specificatamente preordinate alla predetta finalità. Non devono essere effettuate riprese al fine di verificare l’osservanza dei doveri di diligenza stabiliti per il rispetto dell’orario di lavoro e la correttezza nell’esecuzione della prestazione lavorativa. Vanno poi osservate le garanzie previste in materia di lavoro quando la videosorveglianza è resa necessaria da esigenze organizzative o produttive, ovvero è richiesta per la sicurezza del lavoro: in tali casi, ai sensi dell´art. 4 della Legge 300/1970 (modificata dal D. Lgs. 151/2015), gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. […] In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro […]. Siccome è quasi impossibile che la farmacia abbia una rappresentanza sindacale al suo interno, il titolare della stessa deve necessariamente inoltrare un’istanza[41] dinanzi l’Ispettorato del lavoro prima che installi l’impianto di videosorveglianza. Importante: non è ammissibile il consenso dei dipendenti/lavoratori all’installazione dell’impianto di videosorveglianza in alternativa alla procedura dinanzi l’Ispettorato del lavoro.[42]
Infine, non bisogna dimenticare che anche in ambito Videosorveglianza trovano largo spazio il Registro dei Trattamenti e la Valutazione di Impatto, trattate nei punti 8 e 9. Nel Registro della farmacia dovrà essere inserita un’apposita riga per il trattamento dati Videosorveglianza; mentre bisognerà condurre una Valutazione di Impatto per tutti quei trattamenti dati Videosorveglianza che possano essere un rischio per i diritti e le libertà delle persone fisiche. Non ci si dimentichi, inoltre, l’art. 35.3 c) GDPR, che obbliga la conduzione di una Valutazione di Impatto in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (caso tipico di videosorveglianza, ma su larga scala, concetto accennato al punto 8).
Alle battute finali è doveroso esporre quelli che sono i “motori propulsivi” che spingono i professionisti, le aziende e gli enti ad adeguarsi alla normativa, ossia le sanzioni e le responsabilità in capo al titolare del trattamento.
Il GDPR e il nuovo Codice Privacy introducono un apparato sanzionatorio “misto”, fino a tempi recenti monopolio del vecchio Codice Privacy. Nel nuovo assetto, il GDPR disciplina le sanzioni amministrative, mentre il Codice Privacy le sanzioni penali.
L’art. 83 GDPR si occupa di due casistiche diversamente sanzionabili, a seconda della gravità della violazione. La prima casistica, che coincide con l’art. 83.4, riguarda le violazioni di minore gravità, sanzionabili sino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. In particolare riguardano la violazione degli obblighi del titolare ed il responsabile del trattamento (consenso minori in relazione ai servizi della società dell’informazione, trattamento che non richiede l’identificazione, privacy by design e by default[43], contitolari e responsabili del trattamento, Registri delle attività di trattamento, misure di sicurezza e Data Breach, Valutazione di Impatto e DPO, certificazione[44]), degli obblighi dell’organismo di certificazione e degli obblighi dell’organismo di controllo dei codici di condotta[45].
La seconda casistica, che coincide con l’art. 83.5, riguarda le violazioni di maggiore gravità, sanzionabili sino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. In particolare riguardano la violazione dei principi di base del trattamento, comprese le condizioni relative al consenso; la violazione dei diritti degli interessati; i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale; qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX (disposizioni relative a specifiche situazioni di trattamento); l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (Garante Privacy). Bisogna sottolineare che il Garante Privacy è l’unica autorità che può irrogare le sanzioni – effettive, proporzionate e dissuasive – previste dal GDPR, valutando caso per caso le singole violazioni e il loro carattere doloso o colposo.
Il nuovo Codice Privacy – con la novella del D. Lgs. 101/2018 entrato in vigore il 19 Settembre 2018 – ha introdotto un ulteriore impianto sanzionatorio, che il GDPR riserva agli Stati UE in base all’art. 84.
In particolare il nuovo art. 166 Codice Privacy è l’unico superstite del Titolo III – Capo I, una volta disciplinante le violazioni amministrative del vecchio Codice Privacy. Il primo comma del nuovo art. 166 Codice Privacy prevede la sanzione fino a 10 milioni di euro o al 2% del fatturato dell’impresa in caso di violazioni delle disposizioni di cui agli articoli 2-quinquies, comma 2, relativo all’informativa da rendere con linguaggio semplificato rilasciata ai minori di quattordici anni in occasione dell’offerta diretta di servizi della società dell’informazione, 2-quinquiesdecies, sui trattamenti svolti per l’esecuzione di un compito di interesse pubblico che presentano rischi elevati, 92, comma 1, 93, comma 1, relativi alle cartelle cliniche e ai certificati di assistenza al parto, 123, comma 4, 128, 129, comma 2, e 132-ter, relativi ai trattamenti posti in essere dai fornitori di reti pubbliche di comunicazioni o di servizi di comunicazione elettronica accessibili al pubblico. Alla medesima sanzione amministrativa è inoltre soggetto colui che non effettua la valutazione di impatto di cui all’articolo 110, comma 1, primo periodo, ovvero non sottopone il programma di ricerca a consultazione preventiva del Garante a norma del terzo periodo del predetto comma, in relazione alle attività di ricerca medica, biomedica ed epidemiologica.
Il secondo comma dell’art. 166 prevede la sanzione fino a 20 milioni di euro o al 4% del fatturato dell’impresa in caso di violazioni delle disposizioni di cui agli articoli 2-ter, sui trattamenti svolti per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, 2-quinquies, comma 1, relativo alla raccolta del consenso prestato dai minori di quattordici anni in occasione dell’offerta diretta di servizi della società dell’informazione, 2-sexies, relativo al trattamento di particolari categorie di dati per motivi di interesse pubblico rilevante, 2-septies, comma 7, relativo alle procedure di accesso fisico e logico ai dati genetici, biometrici o relativi alla salute, 2-octies, riguardante i trattamenti di dati relativi a condanne penali e reati, 2-terdecies, commi 1, 2, 3 e 4, relativo ai diritti delle persone decedute, 52, commi 4 e 5, sulla diffusione di provvedimenti giudiziari contenenti dati personali, 75, 78, 79, 80, 82, 92, comma 2, 93, commi 2 e 3, in relazione al trattamento di dati sanitari, 96, sui dati personali degli studenti, 99, 100, commi 1, 2 e 4, 101, 105 commi 1, 2 e 4, 110-bis, commi 2 e 3, sui trattamenti a fini statistici e di ricerca scientifica, 111, 111-bis, 116, comma 1, per i trattamenti nell’ambito di lavoro, 120, comma 2, in relazione alle assicurazioni, 122, 123, commi 1, 2, 3 e 5, 124, 125, 126, 130, commi da 1 a 5, 131, 132, 132-bis, comma 2, 132-quater, tutte disposizioni relative ai servizi di comunicazione elettronica, 157, nonché delle misure di garanzia, delle regole deontologiche di cui rispettivamente agli articoli 2-septies e 2-quater.
Ma è indubbiamente il Titolo III – Capo II la parte più interessante del nuovo Codice Privacy, ossia quella che riguarda gli illeciti penali.
L’art. 167 (Trattamento illecito dei dati) dispone che salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123 (dati relativi al traffico), 126 (dati relativi all’ubicazione) e 130 (comunicazione indesiderate) o dal provvedimento di cui all’articolo 129 (elenchi di contraenti) arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi.
L’art. 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala) dispone che salvo che il fatto costituisca più grave reato, chiunque comunica o diffonde al fine di trarre profitto per se’ o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in violazione degli articoli 2-ter (Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri), 2-sexies (trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante) e 2-octies (principi relativi al trattamento di dati relativi a condanne penali e reati), è punito con la reclusione da uno a sei anni.
L’art. 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala) dispone che salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per sé o altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a quattro anni.
L’art. 168 (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante) dispone che salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.
L’articolo 170 (Inosservanza dei provvedimenti del Garante) dispone che chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 58, paragrafo 2, lettera f) del Regolamento (imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento), dell’articolo 2-septies, comma 1 (In attuazione di quanto previsto dall’articolo 9, paragrafo 4, del regolamento, i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo), nonché i provvedimenti generali di cui all’articolo 21, comma 1, del decreto legislativo di attuazione dell’articolo 13 della legge 25 ottobre 2017, n. 163 è punito con la reclusione da tre mesi a due anni.
Infine l’art. 171 (Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori) dispone che la violazione delle disposizioni di cui agli articoli 4 (impianti audiovisivi), comma 1, e 8 (divieto di indagini sulle opinioni) della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all’articolo 38 (disposizioni penali) della medesima legge.[46]
Infine, non si può sorvolare su un’altra possibile “grana” che potrebbe riguardare la farmacia: la responsabilità per danno causato all’interessato per violazione del GDPR.
In base all’art. 82 GDPR chiunque subisca un danno materiale o immateriale causato da una violazione del GDPR ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
N.d.A. Il presente vademecum, date le molteplici assonanze tra le farmacie e il mondo medico-odontoiatrico, condivide lo schema del – e diverse parti con – l’articolo di cui al presente link: https://www.agendadigitale.eu/sicurezza/privacy/gdpr-per-lo-studio-medico-e-odontoiatrico-la-guida-per-gli-adempimenti/. ↑
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio. ↑
Compilando il form sottostante puoi fare una richiesta o chiedere un consiglio direttamente ai nostri farmacisti che risponderanno via mail nel più breve tempo possibile.