Informazioni ex art. 13, GDPR – prenotazione medicinali con e senza obbligo di prescrizione medica 

 

Identità e contatti del titolare del trattamento

Il titolare del trattamento è identificabile nella Farmacia selezionata dall’utente e i cui riferimenti identificativi e di contatto sono presenti nella scheda anagrafica della farmacia (nel seguito, anche “il Titolare” o “Farmacia”).

 

Fonte e finalità del trattamento

I dati personali sono raccolti direttamente presso l’interessato (“utente” o “cliente”) e sono trattati per le seguenti finalità:

  1. Prenotazione di medicinali con o senza l’obbligo di prescrizione medica presso la Farmacia
  2. Contatti strumentali all’evasione della richiesta, specie in caso di indisponibilità del prodotto o per segnalare quando il prodotto prenotato è disponibile per il ritiro oppure per la sua consegna all’indirizzo di residenza o domicilio (in funzione di come sia stato scelto dal cliente)
  3. Attività amministrative, contabili, fiscali connesse all’acquisto del medicinale, nonché adempimenti dovuti per legge, regolamento o normativa comunitaria.

 

Modalità di trattamento

  1. I dati personali sono trattati dal Titolare con modalità prevalentemente elettroniche e sono conservati all’interno del proprio sistema gestionale. Idonee misure di sicurezza sono osservate per prevenire la perdita o alterazione dei dati – anche accidentale – usi illeciti o non corretti ed accessi non autorizzati.
  2. I contatti di cui al punto 2, “Fonte e finalità del trattamento” saranno eseguiti via e-mail o telefono, nonché sistemi di messaggistica (es.: SMS).
  3. Posto che sono prenotati medicinali da cui è desumibile lo stato di salute sono trattati anche dati relativi alla salute (art. 4, comma 15, GDPR: “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”) che saranno esclusivamente trattati per la prenotazione del medicinale e sua consegna e non per ulteriori finalità.

 

Base giuridica del trattamento

  1. Per le finalità di cui ai punti 1. e 2., la base giuridica è l’art. 6, comma 1, lettera b), GDPR, perché il trattamento è necessario per l’adempimento di obblighi contrattuali o per prendere misure precontrattuali su istanza dell’interessato. Il trattamento dei dati relativi alla salute è consentito senza il consenso dell’interessato, poiché trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale o da persona anch’essa soggetta al vincolo di riservatezza, quale un medico o un farmacista (art. 9, comma 2, lettera h), GDPR e art. 9, comma 3, GDPR).
  2. Per le finalità di cui al punto 3., la base giuridica è l’art. 6, comma 1 lettera c), GDPR poiché il trattamento è necessario per adempiere a obblighi legali cui il Titolare è soggetto. In particolare, i dati – ivi compresi inseriti nelle prescrizioni mediche – saranno comunicati, in forza di legge, al Servizio Sanitario Nazionale competente territorialmente. Inoltre, i dati di fatturazione dovranno essere, per legge, comunicati all’Agenzia delle Entrate, anche per consentire direttamente la precompilazione della dichiarazione dei redditi, laddove il cliente sia tenuto a presentarla o intenda fruire delle relative detrazioni fiscali ammesse per spese mediche.

 

Criteri della raccolta dei dati

Il carattere obbligatorio o facoltativo di conferimento dei dati è stato ponderato considerando quali obbligatori soltanto i dati per cui la loro assenza non permette di dar corso alla gestione della richiesta di prenotazione di medicinali servizi ed organizzare attività strumentali e conseguenti. I dati di carattere obbligatorio sono contrassegnati con asterisco. I restanti dati sono di conferimento facoltativo e, in loro assenza, l’interessato avrà, comunque, diritto alla prenotazione e alla consegna del medicinale prenotato. Tale decisione è stata conseguente all’applicazione delle prescrizioni di cui all’art. 25, GDPR (“Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” – “Data Protection by design and by default”), che impongono di valutare previamente le misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati. Inoltre, il Titolare ha messo in atto misure tecniche e organizzative adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per consentire le attività connesse alla prenotazione e consegna diretta in Farmacia o a domicilio / residenza.

 

Responsabili del trattamento, persone autorizzate al trattamento dei dati, autonomi titolari del trattamento

  1. Le persone autorizzate al trattamento sono preposte alle attività di relazione con la clientela, ai farmacisti o loro collaboratori preposti alla vendita, all’amministrazione, ai sistemi informativi e di sicurezza dei dati.
  2. Talune attività di trattamento – quale la consegna domiciliare del medicinale – potrebbero essere affidate a responsabili del trattamento, il cui elenco è richiedibile direttamente alla Farmacia, presso il negozio oppure tramite i canali di contatto presenti nella sua scheda anagrafica.
  3. I dati personali e delle prescrizioni mediche a carico del SSN saranno comunicati allo stesso SSN per attività istituzionali e poiché imposto da legge. Il SSN agirà quale autonomo titolare del trattamento.
  4. I dati personali e di spesa medica possono essere comunicati all’Agenzia delle Entrate laddove il cliente intenda fruire della deducibilità fiscale per spese mediche. L’Agenzia delle Entrate agirà in qualità di titolare del trattamento.
  5. Possono essere comunicati a enti pubblici, magistratura o forze dell’ordine, in caso ciò sia imposto da legge, regolamento o normativa comunitaria, che agiranno in qualità di autonomi titolari del trattamento.

 

Ambito di comunicazione e diffusione dei dati

  1. I dati non sono comunicati ad altre associazioni, né società né enti per loro autonome finalità di trattamento, se non per quanto espressamente relazionato al capitolo “Responsabili del trattamento, persone autorizzate al trattamento dei dati, autonomi titolari del trattamento”.
  2. I dati potrebbero essere comunicati a forze dell’ordine, alla magistratura o organi di controllo per loro attività istituzionali, su loro espressa richiesta o per far valere o difendere un diritto in sede giudiziaria dei Contitolari o di un terzo.
  3. I dati non sono e non saranno oggetto di diffusione, se non previo consenso dell’interessato.

 

Periodo di conservazione dei dati

In funzione delle finalità di trattamento dei dati, i periodi di conservazione sono così stabiliti:

  1. Per le finalità ai punti 1. e 2., i dati personali sono conservati fintanto che il servizio di prenotazione non è stato correttamente concluso e non sono più necessari contatti strumentali alla sua gestione. In sostanza, sono conservati fintanto che il prodotto non è stato consegnato o ritirato in Farmacia. Nel caso di prescrizioni SSN, le prescrizioni sono conservate per un mese e sono consegnate direttamente – o per il tramite di responsabili – all’ASL competente territorialmente. Nel caso di prescrizioni private la loro conservazione è di n. 6 (sei) mesi e successivamente sono distrutte.
  2. Per le finalità di cui al punto 3., i dati personali sono conservati per il periodo imposto dalle norme, regolamenti e legislazione nazionale e internazionale. Per fini fiscali i dati personali sono conservati per n.  10 (dieci) anni.

Resta inteso che i dati personali saranno conservati per periodi diversi da quelli sopra indicati laddove ciò sia imposto da legge, regolamento o normativa comunitaria o in forza a disposizioni di organi di controllo, forze dell’ordine e magistratura. Inoltre, la conservazione cesserà nel momento in cui l’interessato esercita i diritti di opposizione di cui ai “Diritti degli interessati ai sensi degli artt. 15-22, GDPR”.

 

Luogo del trattamento e trasferimento dei dati in Paesi extra-UE

Il trattamento avviene su server di proprietà della Farmacia e/o di società terze incaricate e debitamente nominate quali responsabili del trattamento, ubicati all’interno dell’Unione Europea. Resta in ogni caso inteso che il Titolare, ove si rendesse necessario, avrà facoltà di trasferire il trattamento, ivi compresa la conservazione, in Paesi extra-UE. In questo caso il Titolare assicura sin d’ora che il trasferimento dei dati avverrà in conformità alle disposizioni di legge applicabili (artt. 45, 46, 47 e 49, GDPR).

 

Diritti degli interessati ai sensi degli artt. 15-22, GDPR

Ai sensi degli artt. 15-22, GDPR, rivolgendosi direttamente in Farmacia selezionata o utilizzando i recapiti desumibili dalla sua scheda anagrafica, si possono esercitare i diritti di: accesso, rettifica, portabilità, cancellazione, limitazione del trattamento, opposizione al trattamento per motivi legittimi. In qualsiasi momento, l’interessato può richiedere l’elenco completo e aggiornato dei responsabili del trattamento e dei terzi cui i dati personali possono essere comunicati.

 

Reclamo all’Autorità di Controllo

L’interessato ha il diritto di proporre reclamo presso l’Autorità di Controllo, che in Italia è il Garante per la Protezione dei Dati Personali – Piazza Venezia 11, 00187 Roma (RM) – www.garanteprivacy.it, e-mail: protocollo@pec.gpdp.it, utilizzando il modello reperibile all’indirizzo https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4535524&zx=e0yn0riezmmw.