Informazioni ex art. 13, GDPR – prenotazione di offerte presso la farmacia
Identità e contatti del titolare del trattamento
Il titolare del trattamento è identificabile nella Farmacia selezionata dall’utente e i cui riferimenti identificativi e di contatto sono presenti nella scheda anagrafica della farmacia (nel seguito, anche “il Titolare” o “Farmacia”).
Fonte e finalità del trattamento
I dati personali sono raccolti direttamente presso l’interessato (“utente” o “cliente”) e sono trattati per le seguenti finalità:
- Prenotazione di prodotti in offerta presso la Farmacia
- Contatti strumentali all’evasione della richiesta, specie in caso di indisponibilità del prodotto o per segnalare quando il prodotto prenotato è disponibile per il ritiro
- Attività amministrative, contabili, fiscali connesse all’acquisto del prodotto, nonché adempimenti dovuti per legge, regolamento o normativa comunitaria.
Modalità di trattamento
- I dati personali sono trattati dal Titolare con modalità prevalentemente elettroniche e sono conservati all’interno del proprio sistema gestionale. Idonee misure di sicurezza sono osservate per prevenire la perdita o alterazione dei dati – anche accidentale – usi illeciti o non corretti ed accessi non autorizzati.
- I contatti di cui al punto 2, “Fonte e finalità del trattamento” saranno eseguiti via e-mail o telefono, nonché sistemi di messaggistica (es.: SMS).
- Posto che possono essere prenotati anche medicinali senza obbligo di prescrizione medica o parafarmaci o integratori alimentari su cui è praticato uno sconto da cui è desumibile lo stato di salute sono trattati anche dati relativi alla salute (art. 4, comma 15, GDPR: “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”) che saranno esclusivamente trattati per la prenotazione e sua consegna e non per ulteriori finalità.
Base giuridica del trattamento
- Per le finalità di cui ai punti 1. e 2., la base giuridica è l’art. 6, comma 1, lettera b), GDPR, perché il trattamento è necessario per l’adempimento di obblighi contrattuali o per prendere misure precontrattuali su istanza dell’interessato. Il trattamento dei dati relativi alla salute è consentito senza il consenso dell’interessato, poiché trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale o da persona anch’essa soggetta al vincolo di riservatezza, quale un medico o un farmacista (art. 9, comma 2, lettera h), GDPR e art. 9, comma 3, GDPR).
- Per le finalità di cui al punto 3., la base giuridica è l’art. 6, comma 1 lettera c), GDPR poiché il trattamento è necessario per adempiere a obblighi legali cui il Titolare è soggetto.
Criteri della raccolta dei dati
Il carattere obbligatorio o facoltativo di conferimento dei dati è stato ponderato considerando quali obbligatori soltanto i dati per cui la loro assenza non permette di dar corso alla gestione della richiesta di prenotazione del prodotto ed organizzare attività strumentali e conseguenti. I dati di carattere obbligatorio sono contrassegnati con asterisco. I restanti dati sono di conferimento facoltativo e, in loro assenza, l’interessato avrà, comunque, diritto alla prenotazione e alla consegna del prodotto prenotato. Tale decisione è stata conseguente all’applicazione delle prescrizioni di cui all’art. 25, GDPR (“Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” – “Data Protection by design and by default”), che impongono di valutare previamente le misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati. Inoltre, il Titolare ha messo in atto misure tecniche e organizzative adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per consentire le attività connesse alla prenotazione e consegna del prodotto.
Responsabili del trattamento, persone autorizzate al trattamento dei dati, autonomi titolari del trattamento
- Le persone autorizzate al trattamento sono preposte alle attività di relazione con la clientela, ai farmacisti o loro collaboratori preposti alla vendita, all’amministrazione, ai sistemi informativi e di sicurezza dei dati.
- Possono essere comunicati a enti pubblici, magistratura o forze dell’ordine, in caso ciò sia imposto da legge, regolamento o normativa comunitaria, che agiranno in qualità di autonomi titolari del trattamento.
Ambito di comunicazione e diffusione dei dati
- I dati non sono comunicati ad altre associazioni, né società né enti per loro autonome finalità di trattamento.
- I dati potrebbero essere comunicati a forze dell’ordine, alla magistratura o organi di controllo per loro attività istituzionali, su loro espressa richiesta o per far valere o difendere un diritto in sede giudiziaria del Titolare o di un terzo.
- I dati non sono e non saranno oggetto di diffusione, se non previo consenso dell’interessato.
Periodo di conservazione dei dati
In funzione delle finalità di trattamento dei dati, i periodi di conservazione sono così stabiliti:
- Per le finalità ai punti 1. e 2., “Fonte e finalità del trattamento”, i dati personali sono conservati fintanto che il servizio di prenotazione non è stato correttamente concluso e non sono più necessari contatti strumentali alla sua gestione. In sostanza, sono conservati fintanto che il prodotto non è stato consegnato al cliente.
- Per le finalità di cui al punto 3., “Fonte e finalità del trattamento”, i dati personali sono conservati per il periodo imposto dalle norme, regolamenti e legislazione nazionale e internazionale. Per fini fiscali i dati personali sono conservati per n. 10 (dieci) anni.
Resta inteso che i dati personali saranno conservati per periodi diversi da quelli sopra indicati laddove ciò sia imposto da legge, regolamento o normativa comunitaria o in forza a disposizioni di organi di controllo, forze dell’ordine e magistratura. Inoltre, la conservazione cesserà nel momento in cui l’interessato esercita i diritti di opposizione di cui ai “Diritti degli interessati ai sensi degli artt. 15-22, GDPR”.
Luogo del trattamento e trasferimento dei dati in Paesi extra-UE
Il trattamento avviene su server di proprietà della Farmacia e/o di società terze incaricate e debitamente nominate quali responsabili del trattamento, ubicati all’interno dell’Unione Europea. Resta in ogni caso inteso che il Titolare, ove si rendesse necessario, avrà facoltà di trasferire il trattamento, ivi compresa la conservazione, in Paesi extra-UE. In questo caso il Titolare assicura sin d’ora che il trasferimento dei dati avverrà in conformità alle disposizioni di legge applicabili (artt. 45, 46, 47 e 49, GDPR).
Diritti degli interessati ai sensi degli artt. 15-22, GDPR
Ai sensi degli artt. 15-22, GDPR, rivolgendosi direttamente in Farmacia selezionata o utilizzando i recapiti desumibili dalla sua scheda anagrafica, si possono esercitare i diritti di: accesso, rettifica, portabilità, cancellazione, limitazione del trattamento, opposizione al trattamento per motivi legittimi. In qualsiasi momento, l’interessato può richiedere l’elenco completo e aggiornato dei responsabili del trattamento e dei terzi cui i dati personali possono essere comunicati.
Reclamo all’Autorità di Controllo
L’interessato ha il diritto di proporre reclamo presso l’Autorità di Controllo, che in Italia è il Garante per la Protezione dei Dati Personali – Piazza Venezia 11, 00187 Roma (RM) – www.garanteprivacy.it, e-mail: protocollo@pec.gpdp.it, utilizzando il modello reperibile all’indirizzo https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4535524&zx=e0yn0riezmmw.