Informazioni ex art. 13, GDPR – prenotazione di servizi presso la farmacia

Identità e contatti dei contitolari del trattamento

Pharma Green Holding spa con sede legale in Via Sebeto 4, 20123 Milano (MI), codice fiscale e partita IVA 11869750965, e-mail info@pharma-green.it e la Farmacia selezionata dall’utente e i cui riferimenti identificativi e di contatto sono presenti nella scheda anagrafica della farmacia (nel seguito, se non altrimenti specificato, anche “i Contitolari”). Il contenuto essenziale dell’accordo di contitolarità ex art. 26, GDPR è disponibile consultando l’URL www.pharma-green.it/accordo_contitolarita.

Fonte e finalità del trattamento

I dati personali sono raccolti direttamente presso l’interessato (“utente” o “cliente”) e sono trattati per le seguenti finalità:

  1. Prenotazione di servizi di interesse presso la Farmacia, verificando disponibilità di giorni ed orari per la prestazione
  2. Contatti strumentali all’evasione della richiesta, specie in caso di indisponibilità del servizio o mutamenti nella sua erogazione, variazione di appuntamenti o cancellazione
  3. Attività amministrative, contabili, fiscali connesse all’acquisto del servizio, nonché adempimenti dovuti per legge, regolamento o normativa comunitaria.

Modalità di trattamento

  1. I dati personali sono trattati dai Contitolari con modalità prevalentemente elettroniche e sono conservati all’interno del loro sistema gestionale. Idonee misure di sicurezza sono osservate per prevenire la perdita o alterazione dei dati – anche accidentale – usi illeciti o non corretti ed accessi non autorizzati.
  2. I contatti di cui al punto 2, “Fonte e finalità del trattamento” saranno eseguiti via e-mail o telefono, nonché sistemi di messaggistica (es.: SMS).
  3. Per il tipo di servizio richiesto potrebbero essere trattati anche dati relativi alla salute (art. 4, comma 15, GDPR: “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”) che saranno esclusivamente trattati per la prestazione richiesta e non per ulteriori finalità.

Base giuridica del trattamento

  1. Per le finalità di cui ai punti 1. e 2., la base giuridica è l’art. 6, comma 1, lettera b), GDPR, perché il trattamento è necessario per l’adempimento di obblighi contrattuali o per prendere misure precontrattuali su istanza dell’interessato. Per i dati relativi alla salute, trattati per la gestione della prenotazione del servizio e prestazione conseguente è il consenso (art. 9, comma 1, lettera a), GDPR).
  2. Per le finalità di cui al punto 3., la base giuridica è l’art. 6, comma 1 lettera c), GDPR poiché il trattamento è necessario per adempiere a obblighi legali cui i Contitolari sono soggetti.

Criteri della raccolta dei dati

Il carattere obbligatorio o facoltativo di conferimento dei dati è stato ponderato considerando quali obbligatori soltanto i dati per cui la loro assenza non permette di dar corso alla gestione della richiesta di prenotazione di servizi ed organizzare la attività strumentali e conseguenti. I dati di carattere obbligatorio sono contrassegnati con asterisco. I restanti dati sono di conferimento facoltativo e, in loro assenza, l’interessato avrà, comunque, diritto alla prenotazione e alla prestazione del servizio desiderato. Tale decisione è stata conseguente all’applicazione delle prescrizioni di cui all’art. 25, GDPR (“Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” – “Data Protection by design and by default”), che impongono di valutare previamente le misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati. Inoltre, i Contitolari hanno messo in atto misure tecniche e organizzative adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per consentire le attività connesse alla prenotazione.

Responsabili del trattamento, persone autorizzate al trattamento dei dati, autonomi titolari del trattamento

  1. Le persone autorizzate al trattamento sono preposte alle attività di relazione con la clientela, ai farmacisti o loro collaboratori preposti alla vendita, all’amministrazione, ai sistemi informativi e di sicurezza dei dati.
  2. Non sono previsti, allo stato attuale, responsabili del trattamento.
  3. Possono essere comunicati a enti pubblici, magistratura o forze dell’ordine, in caso ciò sia imposto da legge, regolamento o normativa comunitaria, che agiranno in qualità di autonomi titolari del trattamento.

Ambito di comunicazione e diffusione dei dati

  1. I dati non sono comunicati ad altre associazioni, né società né enti per loro autonome finalità di trattamento
  2. I dati potrebbero essere comunicati a forze dell’ordine, alla magistratura o organi di controllo per loro attività istituzionali, su loro espressa richiesta o per far valere o difendere un diritto in sede giudiziaria dei Contitolari o di un terzo.
  3. I dati non sono e non saranno oggetto di diffusione, se non previo consenso dell’interessato.

Periodo di conservazione dei dati

In funzione delle finalità di trattamento dei dati, i periodi di conservazione sono così stabiliti:

  1. Per le finalità ai punti 1. e 2., i dati personali sono conservati fintanto che il servizio di prenotazione non è stato correttamente concluso e non sono più necessari contatti strumentali alla sua gestione. In sostanza, sono conservati fintanto che la prestazione del servizio non è stata erogata. Nel caso di erogazione di servizi connessi ad analisi e test di laboratorio eseguiti regolarmente presso la Farmacia i dati registrati saranno conservati per il periodo congruo a valutare le variazioni (in negativo e in positivo) rispetto ai precedenti valori rilevati e fintanto che l’interesse del cliente nel servizio permane. Successivamente, saranno distrutti oppure consegnati al cliente, in funzione della sua esplicita richiesta.
  2. Per le finalità di cui al punto 3., i dati personali sono conservati per il periodo imposto dalle norme, regolamenti e legislazione nazionale e internazionale. Per fini fiscali i dati personali sono conservati per n.  10 (dieci) anni.

Resta inteso che i dati personali saranno conservati per periodi diversi da quelli sopra indicati laddove ciò sia imposto da legge, regolamento o normativa comunitaria o in forza a disposizioni di organi di controllo, forze dell’ordine e magistratura. Inoltre, la conservazione cesserà nel momento in cui l’interessato esercita i diritti di opposizione di cui ai “Diritti degli interessati ai sensi degli artt. 15-22, GDPR”.

Luogo del trattamento e trasferimento dei dati in Paesi extra-UE

Il trattamento avviene su server di proprietà dei Contitolari e/o di società terze incaricate e debitamente nominate quali responsabili del trattamento, ubicati all’interno dell’Unione Europea. Resta in ogni caso inteso che i Contitolari, ove si rendesse necessario, avranno facoltà di trasferire il trattamento, ivi compresa la conservazione, in Paesi extra-UE. In questo caso i Contitolari assicurano sin d’ora che il trasferimento dei dati avverrà in conformità alle disposizioni di legge applicabili (artt. 45, 46, 47 e 49, GDPR).

Diritti degli interessati ai sensi degli artt. 15-22, GDPR

Ai sensi degli artt. 15-22, GDPR, scrivendo all’indirizzo postale di Pharma Green Holding spa, o all’e-mail info@pharma-green.it, oppure rivolgendosi direttamente in Farmacia selezionata o utilizzando i recapiti desumibili dalla sua scheda anagrafica, si possono esercitare i diritti di: accesso, rettifica, portabilità, cancellazione, limitazione del trattamento, opposizione al trattamento per motivi legittimi. In qualsiasi momento, l’interessato può richiedere l’elenco completo e aggiornato dei terzi cui i dati personali possono essere comunicati.

Reclamo all’Autorità di Controllo

L’interessato ha il diritto di proporre reclamo presso l’Autorità di Controllo, che in Italia è il Garante per la Protezione dei Dati Personali – Piazza Venezia 11, 00187 Roma (RM) – www.garanteprivacy.it, e-mail: protocollo@pec.gpdp.it, utilizzando il modello reperibile all’indirizzo https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4535524&zx=e0yn0riezmmw.

Data Protection Officer

Il Data Protection Officer di Pharma Green Holding spa è contattabile all’e-mail dpo@pharma-green.it per informazioni sul trattamento dei dati.