Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

il vademecum

GDPR per le farmacie: la guida agli adempimenti

Con il GDPR e il nuovo Codice Privacy adeguato alla normativa europea, anche le farmacie si trovano a dover adempiere ad una serie di obblighi che, a vario titolo, provocano diversi mutamenti al loro interno. Un piccolo vademecum per l’adempimento degli obblighi previsti dalla normativa privacy

03 Dic 2018

Luigi Mischitelli

Privacy & Data Protection Specialist at IRCCS Casa Sollievo della Sofferenza

Farmacia Donnanna, Rossano

Con il GDPR, tutta la tematica che orbita attorno alla protezione dei dati personali si fonda sul principio di responsabilizzazione o di “accountability”[2]. Le 3– in qualità di titolari del trattamento dei dati – sono autonomamente responsabili delle loro scelte, delle loro azioni e di tutte le misure tecniche ed organizzative messe in campo (art. 5.2 e 24 GDPR); inoltre, devono “darne conto” ai pazienti/clienti interessati al trattamento, al Garante Privacy[3] e all’autorità giudiziaria. La farmacia opera come titolare del trattamento dei dati perché determina autonomamente le finalità e le modalità del trattamento. Quindi la farmacia tratta i dati dei pazienti, ad esempio, per finalità di terapia sanitaria, con strumenti informatici (ad es. PC o tablet, ricetta elettronica ecc.) e/o cartacei (ad es. ricetta medica cartacea).

Generalmente la farmacia “persona giuridica” opera sempre come titolare del trattamento, sia essa ditta o società. Più rara, la figura del titolare “persona fisica”, ossia il singolo farmacista nella duplice veste di imprenditore e di titolare del trattamento.

Non frequente ma possibile è la figura della farmacia contitolare del trattamento. Ai sensi dell’art. 26 GDPR quando due o più titolari determinano congiuntamente le finalità e le modalità del trattamento, essi sono contitolari del trattamento. La contitolarità viene sancita da un accordo interno che delinea le rispettive responsabilità in merito all’ottemperanza al GDPR. Può accadere, ad esempio, che una società ed una farmacia, oppure più società e/o più farmacie, stipulino un accordo nel quale determinano congiuntamente finalità e modalità del trattamento: in questo caso sarà fondamentale disciplinare adeguatamente l’esercizio dei diritti da parte degli interessati

Le informazioni e i diritti degli interessati

Fondamentale per ogni titolare del trattamento, soprattutto in costanza di GDPR, è la “coppia” informazioni-diritti del paziente/cliente interessato.

Il GDPR pone tale binomio su una “posizione privilegiata”, in quanto – è doveroso ribadirlo – il paziente è proprietario dei suoi dati. Quindi è necessario che sia informato puntualmente su come i suoi dati personali vengono trattati e cosa può disporre su di loro. Esaminiamo ora le informazioni che attengono la protezione dei dati personali del paziente/cliente in farmacia.

Innanzitutto – al pari di ogni altro settore che tratta dati personali – si deve procedere all’eliminazione di tutte le “vecchie” informative[4] privacy che è possibile trovare ancora in alcune farmacie. Ma non è sufficiente. Il GDPR non ammette la presenza di nuove informative che siano una fredda riproduzione del testo di legge (ad esempio, riproduzione totale degli artt. 13-14 GDPR), oppure che abbiano caratteri illeggibili (dimensione e/o formato), ovvero che siano scritti a mo’ di contratto con uno stile “legalese”. L’art. 12 GDPR, infatti, su questo punto non transige, e dispone che bisogna:

  • Utilizzare un linguaggio semplice e chiaro con una forma intellegibile, ossia comprensibile “dall’uomo medio” e, quindi, dalla maggior parte dei pazienti/clienti della farmacia. Raccomandazione: è necessario far riferimento all’età media e al livello di istruzione (generalmente, lì dove i farmacisti conoscono i propri pazienti/clienti abituali, è più semplice decidere quale linguaggio utilizzare).
  • Utilizzare una forma concisa. Le informative privacy “chilometriche” e vuote di significato altro non fanno che scoraggiare il paziente/cliente alla lettura, e questo è un problema risaputo.
  • Utilizzare una forma trasparente. Bisogna fare in modo che ciò che si scrive nell’informativa privacy risponda a realtà: meglio scrivere qualcosa di essenziale ma veritiero, che qualcosa di bello e pomposo ma palesemente falso.
  • Utilizzare una forma facilmente accessibile. Più informative, ben diffuse all’interno della farmacia, e/o la loro presenza sotto forma di dépliant, potrebbe risultare una formula vincente. Da non scartare, inoltre, la pubblicazione dell’informativa – aggiornata – sul sito web, o sui social della farmacia (si veda il punto 9).
  • Ulteriore raccomandazione: non sottovalutare l’uso del colore e di determinati caratteri nella redazione di informative privacy. Più si cattura la curiosità del paziente/cliente, più l’efficacia dell’informativa raggiunge il suo scopo.

Per quanto attiene il contenuto, l’informativa ex art. 13 GDPR[5] è composta da alcuni elementi:

  • L’identità e i dati di contatto del titolare del trattamento. In questo caso è necessario inserire la ragione sociale e i dati di contatto della farmacia. Nel caso di titolare del trattamento persona fisica inserire i dati anagrafici del farmacista in luogo della ragione sociale. Raccomandazione: i dati di contatto devono corrispondere al vero e devono essere sempre aggiornati.
  • I dati di contatto del DPO. Inserirli solo se richiesto dalla norma (trattamento dati su “larga scala”) ovvero inserirli nel caso in cui la farmacia decidesse di nominarne uno facoltativamente.
  • Le finalità del trattamento, ossia: perché la farmacia deve trattare i dati personali?
    • Solitamente le finalità riguardano l’assistenza sanitaria e la terapia da parte del farmacista, il quale opera come professionista soggetto al segreto professionale.
    • Raccomandazione: inserire le finalità che effettivamente si perseguono, che possono essere anche diverse da quelle precedentemente elencate.
  • La base giuridica del trattamento. Si veda il punto 3.
  • I destinatari del trattamento. La domanda alla quale rispondere è: quale persona fisica, giuridica, autorità pubblica o organismo riceve comunicazione dei dati personali? Si può far riferimento a soggetti interni alla farmacia (es. collaboratori), o soggetti esterni che effettuano trattamenti per conto della farmacia (es. commercialista e/o consulente del lavoro) ovvero Enti pubblici (es. Regione). In ogni caso è necessario specificare nell’informativa privacy almeno la categoria di riferimento dei destinatari.
  • Il trasferimento all’estero di dati verso paesi terzi o organizzazioni internazionali. Caso non comune tra la maggior parte delle farmacie, ma non impossibile. In questo caso se vi fosse necessità (ed intenzione) di trasferire alcuni dati verso paesi terzi (ad es. extra UE) o organizzazioni internazionali bisogna inserirlo nell’informativa privacy. È, inoltre, necessario inserire la presenza o l’assenza di decisioni di adeguatezza della Commissione Europea. [6]
  • Il periodo di conservazione dei dati o i criteri utilizzati per determinarne il periodo. La farmacia deve inserire nell’informativa privacy la tempistica di conservazione delle diverse categorie di dati personali trattati. È da sottolineare che la normativa di settore ha diverse tempistiche di conservazione dei dati: un esempio fra tutti, le ricette non ripetibili, le quali sono conservate per un periodo massimo di sei mesi e successivamente distrutte[7]. È fondamentale, in ogni caso, quanto meno stimare diversi periodi di conservazione per le diverse tipologie di dati trattati (anagrafici, salute, ecc.).
  • I diritti del paziente/cliente interessato sui suoi dati personali. Questa è la parte più importante dell’informativa privacy, quindi la farmacia deve dedicarvi la massima attenzione. Importante: sono diritti esercitati dal paziente/cliente senza alcuna formalità e gratuitamente (salvo richieste reiterate, eccessive o infondate); la farmacia deve ottemperare alle richieste senza ingiustificato ritardo, al massimo entro un mese dal ricevimento delle stesse (prorogato di due mesi in caso di richieste numerose o complesse). Infine si risponde, ove possibile, alle richieste del paziente/cliente nella stessa loro forma: a richieste cartacee si risponde in maniera cartacea, a richieste elettroniche si risponde in maniera elettronica.

I diritti del paziente/cliente sui dati personali

  • Ai sensi dell’art. 15 GDPR il paziente/cliente interessato ha il diritto di ottenere (gratuitamente) dalla farmacia la conferma che è in atto – o meno – un trattamento di dati personali che lo riguarda, di ottenere l’accesso a questi dati ed alcune informazioni già previste (e garantite) nell’informativa[8].
  • Ai sensi dell’art. 16 GDPR il paziente/cliente interessato ha il diritto di ottenere la rettifica di dati personali inesatti ovvero l’integrazione di dati personali incompleti.
  • Ai sensi dell’art. 17 GDPR il paziente/cliente interessato ha il diritto alla cancellazione dei suoi dati nel caso che (a suo avviso) non siano più necessari rispetto alle finalità di raccolta;
  • nel caso revochi il suo consenso e manchino altre basi giuridiche (si veda il punto 4); nel caso il paziente/cliente si opponga al trattamento e non vi siano altri motivi legittimi per procedere con lo stesso;
  • nel caso i dati siano trattati illecitamente da parte della farmacia;
  • nel caso i dati debbano essere cancellati per adempiere ad un obbligo di legge cui è soggetta la farmacia.

In tutti questi casi la farmacia dovrà procedere alla cancellazione di tali dati (a prescindere se su supporto elettronico o cartaceo) senza ingiustificato ritardo.

Non si applica il diritto alla cancellazione in farmacia quando

  • vi è un obbligo di legge da rispettare, un compito da svolgere nel pubblico interesse ovvero l’esercizio di pubblici poteri cui può essere investita la farmacia; non si applica quando vi sono motivi di interesse pubblico nel settore della sanità pubblica (es. trattamento necessario per finalità di terapia sanitaria);
  • non si applica per fini di archiviazione nel pubblico interesse e ricerca scientifica nella misura in cui il diritto alla cancellazione non pregiudichi tali obiettivi;
  • ed infine non si applica per l’accertamento, l’esercizio o la difesa di un suo diritto in sede giudiziaria (art. 24 Cost.). [9]

Ai sensi dell’art. 18 GDPR il paziente/cliente interessato ha il diritto di ottenere la limitazione del trattamento dei dati personali che lo riguardano quando

  • contesta l’esattezza dei dati personali;
  • il trattamento è illecito;
  • il paziente/cliente ha necessità di utilizzare i suoi dati per l’accertamento, l’esercizio o la difesa di un suo diritto in sede giudiziaria benché la farmacia non abbia più bisogno di questi dati;
  • infine, quando il paziente/cliente si oppone al trattamento dei suoi dati.

Ai sensi dell’art. 20 GDPR[10] il paziente/cliente interessato ha il diritto alla portabilità dei suoi dati, ossia di ricevere dalla farmacia i dati personali che lo riguardano, e ha il diritto di chiedere alla farmacia di trasmetterli ad altro titolare del trattamento (es. una ditta od una società). La farmacia deve consegnare i dati – o trasmetterli – in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Il paziente/cliente può esercitare il diritto alla portabilità dei suoi dati a due condizioni: che vi sia la presenza di una base giuridica in alternativa tra consenso e contratto; e che il trattamento sia effettuato con mezzi automatizzati (non è possibile la portabilità di dati contenuti in modulistica cartacea). Chiaramente l’esercizio del diritto alla portabilità non pregiudica altri diritti (ad esempio, non pregiudica il diritto alla cancellazione ex art. 17 GDPR).

Infine, ai sensi dell’art. 21 GDPR il paziente/cliente interessato ha il diritto di opporsi in qualsiasi momento al trattamento avente come basi giuridiche l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, ovvero il legittimo interesse della farmacia.

L’informativa privacy

  • L’informativa privacy deve inoltre contenere la possibilità che il paziente/cliente revochi il suo consenso – se tra le basi giuridiche che la farmacia utilizza vi è questo – in qualunque momento (e senza motivazioni). In questo caso è lecito il trattamento effettuato prima della revoca del consenso. Raccomandazione: siccome il consenso deve poter essere revocato con la stessa facilità con la quale è prestato, sarebbe utile che la farmacia adottasse una modulistica ad hoc per facilitare la revoca del consenso.
  • L’informativa privacy deve contenere il diritto di proporre reclamo presso un’Autorità di Controllo. Raccomandazione: è consigliabile inserire nell’informativa direttamente il binomio Autorità di Controllo e Sito Web (ad esempio, Garante Privacy – https://www.garanteprivacy.it).
  • L’informativa privacy deve specificare se la comunicazione di dati personali (ai destinatari) è un obbligo di legge o contrattuale, se il paziente/cliente ha l’obbligo di fornire tali dati e le possibili conseguenze nel caso in cui lo stesso non volesse procedere con la comunicazione.
  • Infine, l’informativa privacy deve specificare se è in atto un processo decisionale automatizzato (art. 22 GDPR), con la logica utilizzata, l’importanza e le conseguenze di tale trattamento.

Importante: se la farmacia avesse necessità di trattare ulteriormente i dati personali dei suoi pazienti/clienti per un’altra finalità sarà necessario che informi i suoi pazienti/clienti in merito a questo ulteriore trattamento.

Le basi giuridiche: la particolarità delle farmacie

Con il GDPR un trattamento di dati personali è lecito solo in costanza di determinate basi giuridiche. Se, in molti ambiti, il consenso è stato – e in molti casi continua ad essere – la base giuridica più utilizzata, nel caso delle farmacie ci troviamo dinanzi a diverse basi giuridiche poste ad egual livello di importanza.

Innanzitutto, la base giuridica per eccellenza nel trattamento dei dati particolari[11] relativi alla salute di cui all’Art. 9.2 h) GDPR. In tale articolo si dispone che: è lecito il trattamento dei dati particolari per finalità di medicina preventiva, medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale, ovvero gestione dei sistemi e servizi sanitari o sociali […] In pratica, non è più necessario il “consenso privacy” accanto al consenso al trattamento sanitario, in quanto è superfluo trovarsi davanti a due autorizzazioni per la medesima finalità assistenza o terapia sanitaria. Il trattamento dei dati personali è strumentale al trattamento sanitario, quindi è lecito “di per sé”. A garanzia di quanto affermato vi è l’art. 9.3 GDPR, il quale dispone che è possibile utilizzare la base giuridica di cui all’Art. 9.2 h) solo se tali dati sono trattati da o sotto la responsabilità di un professionista (ad es. il farmacista) soggetto al segreto professionale […] o da altra persona anch’essa soggetta all’obbligo di segretezza (ad. es. collaboratore del farmacista) […][12].

Raccomandazioni: nell’informativa privacy della farmacia, ben esposta, si inserisca chiaramente la base giuridica scelta (ovvero le basi).

Al secondo gradino del podio è inevitabile inserirvi il consenso (art. 6.1 a, art. 9.1 a GDPR) che, pur rivestendo sempre un suo peso, nell’ambito delle farmacie è una base giuridica come un’altra. Nella farmacia è possibile utilizzare il consenso con alcune tipologie di trattamento. Ad esempio: nell’elaborazione delle schede sanitarie dei pazienti/clienti; nel caso della compilazione delle fatture per la vendita di medicinali ai pazienti/clienti; servizi di noleggio di apparecchi che trattano dati personali; oppure nel caso di dispensazione dei presidi di cui al nomenclatore tariffario e alla assistenza integrativa regionale (in quest’ultimo caso si procede al consenso privacy in farmacia in luogo dell’ASL, la quale utilizza la base giuridica dell’obbligo legale).

Nel caso della “fidelity card[13], utilizzata da diverse farmacie, è necessario il consenso privacy, in special modo nel caso di profilazione della clientela (come le abitudini o le scelte di consumo della clientela), ovvero nel caso di invio di materiale pubblicitario.

Particolare è il caso della ricetta medica. Infatti, il farmacista non ha l’obbligo di rendere l’informativa e di acquisire il consenso in quanto già disciplinati dal medico in precedenza[14].

A titolo di “reminder”, è bene sottolineare che il consenso è disciplinato rigidamente nel GDPR, che gli dedica l’intero art. 7. Tra le disposizioni:

  • La farmacia deve dimostrare che il paziente/cliente interessato ha prestato il proprio consenso;
  • Ad ogni finalità del trattamento deve esserci un autonomo consenso;
  • Il consenso deve essere comprensibile, facilmente accessibile, con linguaggio semplice e chiaro e chiaramente distinguibile da altre materie (e finalità);
  • Il consenso è revocabile con la stessa facilità con la quale è prestato, in qualsiasi momento;
  • La revoca del consenso non pregiudica il trattamento posto in essere sino ad allora;
  • Il consenso è sempre informato (così come l’informativa privacy deve essere cristallina);
  • Infine, siccome siamo in ambito sanitario, il consenso deve essere esplicito (art. 9.2 a – ad esempio con dichiarazione scritta o elettronica).

Come ribadito, la farmacia può utilizzare altre basi giuridiche:

  • Art. 9.2 c) quando il trattamento dei dati è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica (anche 6.1 d) qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso (ad es. il paziente che giunge in farmacia in stato di particolare gravità fisica);
  • Art. 6.1 b) quando il trattamento è necessario all’esecuzione di un contratto in cui l’interessato è parte (si pensi al rapporto contrattuale che lega il farmacista titolare della ditta con i suoi collaboratori ai quali, peraltro, va fornita apposita ed idonea informativa);
  • Art. 6.1 c) quando il trattamento è necessario per adempiere ad un obbligo legale cui è soggetto la farmacia (ad esempio, invio di alcuni dati al SSR);
  • Art. 6.1 e) quando il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui può essere investita la farmacia;
  • Ed infine, Art. 6.1 f) quando il trattamento è necessario per il perseguimento del legittimo interesse[15] del titolare del trattamento o di terzi.[16]

Pur non avendo sufficiente “spazio di manovra” la farmacia – quando possibile – valuta autonomamente le basi giuridiche che vuole utilizzare: per il principio di responsabilizzazione è possibile utilizzare altre basi giuridiche, l’importante è saper giustificare le scelte.

La sicurezza dei dati personali

Con il GDPR non esistono più misure di sicurezza standard, ben elencate e “pronte per l’uso”. Consegnando alla storia il binomio misure minime / misure idonee di sicurezza di cui al vecchio Codice, con il GPDR le uniche misure di sicurezza ammesse sono quelle “adeguate”.

L’art. 32 GDPR dispone che per approntare delle adeguate misure di sicurezza bisogna tener conto dello stato dell’arte (avanzamento tecnologico), dei costi di attuazione (delle misure di sicurezza), della natura, dell’oggetto, del contesto e delle finalità del trattamento dei dati, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (porre in essere, quindi, un’analisi del rischio sui dati personali trattati). Il tutto per garantire un livello di sicurezza adeguato al rischio. Tra le “soluzioni” che l’art. 32 elenca – in maniera non esaustiva – vi sono:

  • la pseudonimizzazione[17] e la cifratura[18] dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (ovvero, anche la capacità del sistema di resistere e reagire);
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico (es. backup / disaster recovery[19]);
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Inoltre, nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Inoltre, la farmacia titolare del trattamento fa sì che chiunque agisca sotto la Sua autorità, e abbia accesso a dati personali, non tratti tali dati se non è istruito in tal senso (si veda il punto 5).

È sempre utile rammentare quelle che sono le misure imprescindibili per una farmacia (al pari di uno studio medico e odontoiatrico) che, in un certo senso, precedono quanto previsto dall’art. 32 GDPR:

  • Controllo degli accessi alle postazioni PC, nonché ad altri terminali, mediante username e password per ogni singolo operatore;
  • Username e password devono essere perfettamente memorizzati, non vanno scritti su carta e collocati a vista presso la postazione PC, sono personali e non cedibili a nessuno;
  • Ogni volta che si abbandona la postazione PC, anche per pochi secondi, va effettuata la disconnessione dal terminale (ad esempio, Logo Windows + L);
  • La password va cambiata periodicamente e non oltre 90 giorni;
  • Su ogni PC e terminale vanno installati Antivirus e Firewall con licenze d’uso originali (preferibilmente, non affidarsi a software gratuiti);
  • Antivirus e Firewall devono essere aggiornati quotidianamente;
  • Dotarsi di soluzioni di crittografia / pseudonimizzazione per gli archivi elettronici;
  • Porre in essere backup periodici.
  • Replicare le stesse misure di sicurezza sui terminali mobili (smartphone, tablet ecc.).

Ma cosa succede se la farmacia subisce un Data Breach (Violazione di dati personali – Artt. 33 e 34 GDPR)?[20]

In caso di Data Breach, la farmacia deve, senza ingiustificato ritardo e non oltre 72 ore dal momento in cui ne è venuto a conoscenza, notificare la violazione al Garante Privacy, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche[21]. Oltre le 72 ore è necessario allegare alla notifica il motivo del ritardo.

Cosa contiene la notifica del Data Breach al Garante Privacy?

  • Descrizione dettagliata del Data Breach;
  • Categorie (pazienti/clienti e/o altre persone fisiche) e numero approssimativo di interessati;
  • Categorie e numero approssimativo di registrazioni dei dati personali;
  • Dati di contatto della farmacia per tutte le informazioni richieste dal Garante Privacy;
  • Descrizione delle probabili conseguenze del Data Breach;
  • Descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio.

In ogni caso, a prescindere dalla necessità di notifica o meno di un Data Breach, la farmacia ha l’obbligo di documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente al Garante Privacy di verificare il rispetto di quanto disposto dal GDPR (art. 33.5 GDPR).

Il personale della farmacia e la sua formazione

Come affermato in precedenza, nella maggior parte delle farmacie operano diversi collaboratori, a prescindere dal rapporto di lavoro con il quale sono legati al titolare della farmacia.

L’art. 32.4 GDPR impone che chiunque agisca sotto l’autorità del titolare del trattamento, e abbia accesso ai dati personali, non tratti i dati se non è istruito in tal senso dal titolare del trattamento. L’art. 2-quaterdecies del Codice Privacy afferma che il titolare del trattamento può prevedere, sotto la sua responsabilità e nell’ambito del suo assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la sua autorità. Inoltre, il titolare sceglie le modalità più opportune per autorizzare al trattamento tali persone fisiche.

Quindi, da un lato abbiamo il GDPR con il termine “istruito”, dall’altro il Codice Privacy con i termini “attribuzione” e “autorizzare”. Da un lato la farmacia può autorizzare come meglio crede (responsabilizzazione) il proprio personale al trattamento dei dati, mediante l’attribuzione di specifici compiti e funzioni; dall’altro tale personale deve essere istruito, ossia deve comprendere la reale portata dell’autorizzazione. In altre parole, il personale autorizzato deve essere formato.

La formazione del personale di farmacia dovrebbe essere la priorità per il suo titolare: avere degli operatori che comprendano l’importanza di trattare adeguatamente i dati personali espone a rischi privacy e di sicurezza nettamente minori, a tutto vantaggio per la farmacia stessa.

Si raccomanda, come sempre, di finanziare un corso privacy specifico al proprio personale (non importa la quantità di ore, bensì la qualità di ciò che viene impartito in questo lasso di tempo). Inoltre si consiglia di fare in modo che gli operatori della farmacia si impegnino, con apposito atto firmato, alla riservatezza circa le informazioni apprese all’interno del luogo di lavoro (sia privacy, sia know-how aziendale).

Gli operatori esterni responsabili del trattamento

Per la farmacia è inevitabile interfacciarsi con soggetti esterni che trattano dati personali per suo conto. Si prenda, ad esempio, il caso del commercialista che cura la gestione contabile, il consulente del lavoro che gestisce le buste paga, oppure la società che fornisce il software gestionale della farmacia. In questo caso si parla di rapporto tra titolare del trattamento e responsabile del trattamento, disciplinato dagli artt. 28 e 29 GDPR.

Questo rapporto deve essere sancito da un contratto o da un altro atto giuridico che abbia la caratteristica di vincolare il Titolare al Responsabile. Raccomandazione: sarebbe meglio che al contratto di fornitura seguisse in parallelo un contratto/atto vincolante sul trattamento dei dati; se vi sono già contratti di fornitura in essere, stipulare immediatamente i rispettivi contratti/atti vincolanti sul trattamento dei dati.

L’art. 28 GDPR fissa dei paletti inderogabili per “delegare” un trattamento: l’operatore esterno deve fornire delle “garanzie sufficienti” di compliance al GDPR (in primo luogo, misure adeguate e diritti dell’interessato). E la valutazione sul possesso di queste garanzie (come tutte le valutazioni in seno al GDPR e al principio di responsabilizzazione) la pone in essere la farmacia. Raccomandazione: se possibile, scegliere l’operatore esterno già “GDPR compliant”; in alternativa, valutare attentamente il fornitore nel rapporto costi-benefici (in ambito privacy). Il che non è sempre facile.

L’operatore terzo, che riveste la qualifica di responsabile del trattamento, non può ricorrere ad un “subresponsabile del trattamento” senza la previa autorizzazione scritta della farmacia. Inoltre l’autorizzazione può essere specifica o generale e, in quest’ultimo caso, il responsabile del trattamento informa la farmacia titolare di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri subresponsabili, dando così alla farmacia l’opportunità di opporsi a tali modifiche.

Ma quali sono i contenuti che deve possedere il contratto/atto vincolante con il responsabile del trattamento?

  • Il responsabile tratta i dati personali soltanto su istruzione documentata della farmacia titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale. Raccomandazione: si metta nero su bianco il margine di manovra che la farmacia “cede” all’operatore terzo (generale o specifico).
  • Il responsabile del trattamento garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza (si prenda spunto dal punto 5).
  • Il responsabile del trattamento deve adottare tutte le misure di sicurezza adeguate richieste ai sensi dell’articolo 32 GDPR (punto 4).
  • Il responsabile del trattamento si impegna a rispettare quanto sopra disposto per i subresponsabili del trattamento.
  • Il responsabile del trattamento deve assistere la farmacia con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo della farmacia di dare seguito alle richieste per l’esercizio dei diritti dei pazienti interessati (si veda il punto 2).
  • Il responsabile del trattamento assiste la farmacia nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 GPDR (Misure di Sicurezza, Data Breach e Valutazione di Impatto – per quest’ultima si veda punto 8).
  • Il responsabile del trattamento – su scelta della farmacia – deve provvedere alla cancellazione o alla restituzione di tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento; il responsabile deve, inoltre, cancellare le copie esistenti, salvo che la legge non preveda la conservazione dei dati.
  • Il responsabile del trattamento deve mettere a disposizione della farmacia tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e deve consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzati direttamente dalla farmacia o da un altro soggetto incaricato. Tolta la parte relativa alla richiesta di informazioni, che è limpida, le attività di revisione ed ispezione presso il fornitore devono essere molto ponderate da parte della farmacia. Si consiglia di valutare sempre caso per caso, in quanto il principio di responsabilizzazione impone di rendere conto di ogni singola scelta.
  • Inoltre, il responsabile del trattamento informa immediatamente la farmacia qualora, a suo parere, un’istruzione violi il GDPR o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati. Una disposizione non facilmente attuabile.

L’art. 28 GDPR è un articolo molto importante poiché, in un certo senso, “diluisce” il principio di responsabilizzazione di cui all’Art. 5.2 GDPR. Ciò non significa che con un contratto/atto vincolante la farmacia possa “appaltare” – oltre al trattamento dei dati – anche tutte le responsabilità connesse; bensì, seguendo scrupolosamente quanto dettato dall’art. 28 GDPR, è possibile quantomeno cedere una parte di responsabilità.[22]

Il registro delle attività di trattamento

Ulteriore novità del GDPR è il Registro delle Attività di Trattamento[23], perno centrale del principio di responsabilizzazione e di tutto il GDPR.

Per le farmacie il Registro delle Attività di Trattamento è un obbligo tassativo ed inderogabile. Esso dipende essenzialmente dalle categorie di dati trattate. Il trattamento su base permanente di dati particolari e, principalmente, di dati relativi la salute (o sanitari), costituisce un obbligo al quale nessuna farmacia può sottrarsi.

Il Registro è tenuto in forma scritta e sotto la responsabilità della farmacia, in qualità di titolare del trattamento.

Come procedere? A parere di chi scrive un foglio in formato xls/xlsx (Es. MS Excel) può andare più che bene. Ovviamente si possono utilizzare anche dei software ad hoc nel vasto panorama di servizi offerti da diverse società.

Quali sono i contenuti del Registro del titolare del trattamento? I suoi sette contenuti sono ben descritti dall’art. 30.1 GDPR.

  • Primo punto (o casella di Excel). Inserire il nome e i dati di contatto del titolare del trattamento. Quindi: ragione sociale della farmacia – o nome del farmacista, nel caso di titolare del trattamento persona fisica (si veda punto 1) – e dati di contatto (via, civico, CAP, città, provincia, contatto telefonico e mail). Nel caso la farmacia operi come contitolare del trattamento, inserirvi anche nome/i e dati di contatto del/i contitolare/i (si veda il punto 1). Inoltre, nella remota ipotesi la farmacia abbia un DPO (si veda il punto 8), inserirvi il suo nome e i suoi dati di contatto.
  • Secondo punto. Delineare in maniera compiuta quali sono le finalità del trattamento dei dati poste in essere nella farmacia. È fondamentale che alla modifica/integrazione delle finalità nel Registro segua la modifica/integrazione dell’informativa privacy (si veda il punto 2). Quindi nella nostra casella Excel potremmo inserire sotto finalità, ad esempio: “trattamento dati per finalità assistenza o terapia sanitaria”.
  • Terzo punto. Descrivere le categorie di interessati e le categorie di dati personali. Creando due caselle, nella prima si inseriscono le categorie di interessati, che per la farmacia sono generalmente i suoi pazienti/clienti; nella seconda casella si inseriscono le categorie di dati personali trattati, che sono solitamente dati personali non particolari (es. anagrafici) e dati particolari (es. dati relativi la salute). L’uso degli avverbi “generalmente” e “solitamente” lascia volontariamente aperta la porta ad altre possibili categorie di interessati e di dati trattati, poiché è possibile vi siano dati diversi per diverse categorie di interessati.
  • Quarto punto. Descrivere le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi (se del caso) i destinatari di paesi terzi od organizzazioni internazionali. Anche qui è fondamentale che alla modifica/integrazione delle finalità nel Registro segua la modifica/integrazione dell’informativa privacy. Ad esempio, tra i destinatari figureranno il commercialista e il consulente del lavoro.
  • Quinto punto. Ove applicabile, inserire i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate. Anche qui omogeneità con l’informativa privacy.
  • Sesto punto. Inserire (ove possibile) i termini ultimi previsti per la cancellazione delle diverse categorie di dati, che non devono discostarsi da quanto previsto nell’informativa privacy. Raccomandazione: valutare caso per caso la conservazione di ogni dato per ogni trattamento, rifacendosi ove possibile – e “ove disposto” – alle norme di legge.
  • Settimo punto. Mettere in campo una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32.1 GDPR (si veda il punto 4).

Raccomandazione: è necessario tenere costantemente aggiornato il Registro delle Attività di Trattamento, almeno a cadenza bimestrale o trimestrale.

Valutazione di impatto, DPO e trasferimento all’estero dei dati

Veniamo ora ai tre grandi – e dibattuti – pilastri del GDPR: Valutazione d’Impatto, DPO e Trasferimento dati all’estero.

Scopo di questo punto è di disciplinare le tre aree che potrebbero (o meno) interessare le farmacie titolari del trattamento.

La Valutazione d’Impatto sulla Protezione dei Dati

  • Rubricata negli artt. 35-36 GDPR si configura come un’autonoma valutazione che il titolare del trattamento pone in essere per analizzare la necessità, la proporzionalità e i rischi di un determinato trattamento dati per i diritti e le libertà delle persone fisiche. È richiesta in particolar modo in tre casi:
  • una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9,

paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o

  • la sorveglianza sistematica su larga scala di una zona accessibile al pubblico (es. Videosorveglianza su larga scala).

Come nel caso degli studi medici e odontoiatrici, anche le farmacie possono “collidere” con il punto b). Innanzitutto, “interpretando il considerando” 91 GDPR, per il quale “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”, anche il singolo farmacista non rientra nell’obbligo di Valutazione di Impatto.

In ogni caso, volendo dirimere la matassa, ossia comprendere se la farmacia deve o meno procedere con la Valutazione di Impatto, secondo le Linee Guida del già “Gruppo dei Garanti Privacy europei” (WP29)[24],[25] per determinare se un trattamento è svolto su larga scala si deve far riferimento al numero degli interessati, al volume di dati e/o tipologie di dati, alla durata dell’attività di trattamento e all’ambito geografico dell’attività di trattamento. In altri termini, se la farmacia tratta dati particolari su larga scala, è tenuto a porre in essere una Valutazione d’Impatto.

Per quanto scritto, è – però – piuttosto difficile che una farmacia tratti dati particolari su larga scala. Nella remota ipotesi che ciò accada, l’art. 35.7 dispone che la Valutazione d’Impatto deve contenere:

    • una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
    • una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
    • una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
    • le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Se del caso, è possibile avvalersi dell’ottimo software messo a disposizione gratuitamente dal Garante francese CNIL e consigliato, nel suo utilizzo, dal Garante privacy italiano[26]. [27]

Il DPO (Data Protection Officer – Responsabile della Protezione dei Dati)

Destinatario della Sezione 4 (Artt. 37-38-39) GDPR, questa figura è stata introdotta come “supervisore” in materia di protezione dei dati personali all’interno delle aziende[28]. Anche qui, come per la Valutazione di Impatto, per la quasi totalità delle farmacie la presenza del DPO non è obbligatoria. Infatti l’obbligo scatta, ai sensi dell’art. 37 GDPR, solo nei seguenti casi:

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Anche qui, quindi, con il termine larga scala si relega l’obbligatorietà della nomina del DPO ad una fetta marginale di titolari del trattamento.

Tuttavia, se si volesse ugualmente procedere alla nomina di un DPO per la propria farmacia, sarà fondamentale affidarsi ad un soggetto che abbia una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati[29], e della capacità di assolvere i compiti di cui all’articolo 39 (informare, fornire consulenza, sorvegliare l’osservanza del GDPR, sensibilizzare e formare il personale, fornire un parere sulla Valutazione d’Impatto, cooperare e fungere da punto di contatto con il Garante Privacy). Inoltre, il DPO potrà essere un dipendente della farmacia ovvero assolvere i suoi compiti in base a un contratto di servizi (ad esempio, con una società di consulenza che offre servizi DPO).

Il Trasferimento all’estero dei dati

Altra eventualità – che potrebbe, però, risultare più frequente rispetto a Valutazione di Impatto e DPO – è il trasferimento all’estero dei dati. Per “estero” si intendono i paesi extra UE ed extra SEE. Nel caso vi sia necessità di trasferire fuori dall’Unione Europea o fuori dallo Spazio Economico Europeo alcuni dati personali è necessario esaminare tre condizioni alternative.

  • 1. Presenza di una “decisione di adeguatezza”. Se il paese verso cui la farmacia vuole trasferire i dati – allo stato attuale: Andorra, Argentina, Canada, Isole Faer Oer, Guernsey, Israele, Isola di Man, Jersey, Nuova Zelanda, Svizzera, Uruguay e USA[30] (e a breve Giappone[31]).
  • 2. In assenza di una “decisione di adeguatezza”: il trasferimento dei dati personali deve essere effettuato sulla base di accordi contrattuali, stipulati tra il titolare stabilito in Unione Europea e i soggetti destinatari dei dati stabiliti fuori dall’Unione Europea (quali ad esempio responsabili o contitolari del trattamento), che forniscano garanzie adeguate agli utenti (esempio l’esercizio da parte di questi dei diritti a loro accordati dal GDPR). Per la conclusione di tali accordi contrattuali, la Commissione Europea ha emanato dei modelli standard.
  • 3. In assenza delle precedenti condizioni, l’articolo 49 GDPR, prevede alcune eccezioni – da utilizzare in limitate ipotesi e non per trattamenti continuativi – che giustificano comunque il trasferimento.

Il trasferimento, può avvenire, alternativamente, soltanto se si verificano le seguenti condizioni:

  • l’utente ha espresso esplicitamente il proprio consenso al trasferimento, una volta informato dal titolare del trattamento dell’assenza delle condizioni precedenti e degli eventuali rischi;
  • il trasferimento è necessario per l’esecuzione di un contratto concluso tra l’utente e il Titolare stabilito in Unione Europea, ovvero nell’esecuzione di misure precontrattuali su istanza dell’utente.[32]

La farmacia, il web e i social media

Come ogni altro titolare del trattamento, anche le farmacie sono alle prese con siti internet, Social Media e messaggistica istantanea. Esaminiamoli nel dettaglio:

  • Il Sito Web. Diverse farmacie dispongono di un sito web, e la normativa privacy è presente anche in tale contesto. Alcune raccomandazioni:
  • Aggiornare la privacy policy del sito web e aggiornarla periodicamente. La privacy policy è l’informativa privacy del sito, quindi è fondamentale che abbia le stesse caratteristiche di cui al punto 2.
  • Disciplinare i cookie del sito e la policy che li riguarda (banner compreso).[33]
  • Disciplinare le newsletter, le prenotazioni e i contatti.
  • Disciplinare i collegamenti con società di pagamento digitale e social media / applicazioni.
  • I Social Media. Particolare attenzione all’utilizzo dei Social Media (es. Facebook, Instagram, Twitter ecc.). Chi amministra una pagina di Social Media è, in alcuni casi, (addirittura) contitolare del trattamento (art. 26 GDPR). Con una recente sentenza – da prendere cum grano salis – la Corte di Giustizia dell’Unione Europea ha riconosciuto una contitolarità del trattamento in capo all’amministratore di una pagina ed alla stessa Facebook, dal momento che quest’ultima determina in via principale le finalità e le modalità del trattamento dei dati sulla propria piattaforma, puntualizzando anche che in caso di contitolarità la responsabilità non è equamente suddivisa tra i contitolari in maniera automatica, ma va determinata caso per caso. Tutti i soggetti che amministrano una pagina Facebook o altri social media rientrano nel campo di applicazione del GDPR, quindi devono valutare se stiano effettuando un trattamento dei dati personali in contitolarità con il social network. Tuttavia, è difficile immaginare un’applicazione fedele della norma del GDPR sulla contitolarità, in quanto difficilmente un titolare del trattamento può stipulare un accordo ai sensi dell’art. 26 GDPR con Facebook[34]. In ogni caso la pagina Facebook (o di altro Social) deve essere disciplinata come il sito web, quindi fondamentali devono essere le informazioni sul trattamento dei dati personali fornite nell’apposita sezione (ove possibile).
  • La messaggistica istantanea. È ormai consolidato che gli strumenti di messaggistica istantanea non danno alcuna garanzia legale sull’identità del mittente, quindi è sempre un rischio utilizzarli in ambito sanitario. In altre parole: mentre al telefono si ha un minimo di possibilità di identificare colui che sta dall’altra parte, perché magari se ne conosce la voce, nelle chat o nei messaggi non c’è modo per avere una minima sicurezza su chi c’è dall’altra parte. Si tratta di strumenti certamente molto utili nelle relazioni quotidiane, ma probabilmente non sono il mezzo migliore per comunicare e trasmettere dati particolari (o sensibili). Nel rapporto fiduciario tra farmacia e paziente/cliente è diffuso lo scambio di dati particolari, soprattutto tramite Whatsapp[35] e Facebook Messenger. Tuttavia non è consigliabile affidarsi a tali strumenti, sia per problemi di sicurezza delle informazioni[36], che per problemi di non aderenza al GDPR[37].

La videosorveglianza

È indubbio che la quasi totalità delle farmacie possiede dispositivi di videosorveglianza, che cercano di minimizzare i rischi della sempre maggior pressione della presenza criminale.

Ad oggi la materia della videosorveglianza si basa ancora sul Provvedimento Generale 8 Aprile 2010[38], non essendoci stati interventi ulteriori da parte del Garante Privacy negli ultimi tempi. In attesa, quindi, di un intervento dell’Autorità in materia, il Provvedimento deve necessariamente subire delle “cesellature” per adeguarlo al GDPR.

In primis, l’informativa. La materia della Videosorveglianza ha la caratteristica della “doppia informativa”, ossia un’informativa minima (cartello “Area Videosorvegliata”) ed un’informativa completa. Se il cartello probabilmente sopravviverà nel formato attuale (indicazione del Titolare e delle finalità di trattamento), l’informativa completa – che la farmacia deve esporre all’interno – deve avere le medesime caratteristiche dell’informativa privacy di cui al punto 2.

Per quanto attiene la conservazione dei filmati, attenersi a quanto previsto dal Provvedimento Generale: “La conservazione deve essere limitata a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o esercizi, nonché nel caso in cui si deve aderire ad una specifica richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria. Solo in alcuni casi, per peculiari esigenze tecniche (mezzi di trasporto) o per la particolare rischiosità dell´attività svolta dal titolare del trattamento (ad esempio, per alcuni luoghi come le banche può risultare giustificata l´esigenza di identificare gli autori di un sopralluogo nei giorni precedenti una rapina), può ritenersi ammesso un tempo più ampio di conservazione dei dati che, sulla scorta anche del tempo massimo legislativamente posto per altri trattamenti, si ritiene non debba comunque superare la settimana”. Inserire il periodo di conservazione all’interno dell’informativa completa.

Le misure di sicurezza da adottare in materia di Videosorveglianza devono rispettare l’art. 32 GDPR (si veda il punto 4). Parafrasando il Provvedimento Generale, i dati raccolti mediante sistemi di videosorveglianza devono essere protetti con adeguate misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini.

Il Provvedimento dispone che devono essere adottate specifiche misure tecniche ed organizzative che consentano alla farmacia di verificare l’attività svolta da parte di chi accede alle immagini o controlla i sistemi di ripresa. È fatta salva la necessità di avere differenti livelli di visibilità e trattamento delle immagini (rilevazione e registrazione). Sia i soggetti che rilevano (visualizzano le immagini in tempo reale), sia i soggetti che registrano devono possedere credenziali di autenticazione che permettano di effettuare, a seconda dei compiti attribuiti ad ognuno, unicamente le operazioni di propria competenza. Laddove i sistemi siano configurati per la registrazione e successiva conservazione delle immagini rilevate, deve essere altresì attentamente limitata la possibilità, per i soggetti abilitati, di visionare non solo in sincronia con la ripresa, ma anche in tempo differito, le immagini registrate e di effettuare sulle medesime operazioni di cancellazione o duplicazione. Per quanto riguarda il periodo di conservazione delle immagini devono essere predisposte misure tecniche od organizzative per la cancellazione, anche in forma automatica, delle registrazioni, allo scadere del termine previsto (utilizzare la sovrascrittura). Nel caso di interventi derivanti da esigenze di manutenzione, occorre adottare specifiche cautele: in particolare, i soggetti preposti alle predette operazioni possono accedere alle immagini solo se ciò si renda indispensabile al fine di effettuare eventuali verifiche tecniche ed in presenza dei soggetti dotati di credenziali di autenticazione abilitanti alla visione delle immagini. Qualora si utilizzino apparati di ripresa digitali connessi a reti informatiche, gli apparati medesimi devono essere protetti contro i rischi di accesso abusivo di cui all´art. 615-ter del codice penale[39]. La trasmissione tramite una rete pubblica di comunicazioni di immagini riprese da apparati di videosorveglianza deve essere effettuata previa applicazione di tecniche crittografiche che ne garantiscano la riservatezza. Le stesse cautele sono richieste per la trasmissione di immagini da punti di ripresa dotati di connessioni wireless (Es. WI-FI). Particolare, infine, essere cauti nell’utilizzo dei monitor per la rilevazione delle immagini.[40]

Per i diritti degli interessati (pazienti/clienti e personale della farmacia) vale quanto esposto al punto 2.

È necessario sottolineare che la farmacia, a meno che non vi operi il singolo farmacista, è un luogo di lavoro. Come tale si applica quanto disposto dal 4.1 del Provvedimento Generale e dallo Statuto dei Lavoratori (L. 300/1970). In particolare, con la videosorveglianza occorre rispettare il divieto di controllo a distanza dell’attività lavorativa; è vietata, quindi, l’installazione di apparecchiature specificatamente preordinate alla predetta finalità. Non devono essere effettuate riprese al fine di verificare l’osservanza dei doveri di diligenza stabiliti per il rispetto dell’orario di lavoro e la correttezza nell’esecuzione della prestazione lavorativa. Vanno poi osservate le garanzie previste in materia di lavoro quando la videosorveglianza è resa necessaria da esigenze organizzative o produttive, ovvero è richiesta per la sicurezza del lavoro: in tali casi, ai sensi dell´art. 4 della Legge 300/1970 (modificata dal D. Lgs. 151/2015), gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. […] In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro […]. Siccome è quasi impossibile che la farmacia abbia una rappresentanza sindacale al suo interno, il titolare della stessa deve necessariamente inoltrare un’istanza[41] dinanzi l’Ispettorato del lavoro prima che installi l’impianto di videosorveglianza. Importante: non è ammissibile il consenso dei dipendenti/lavoratori all’installazione dell’impianto di videosorveglianza in alternativa alla procedura dinanzi l’Ispettorato del lavoro.[42]

Infine, non bisogna dimenticare che anche in ambito Videosorveglianza trovano largo spazio il Registro dei Trattamenti e la Valutazione di Impatto, trattate nei punti 8 e 9. Nel Registro della farmacia dovrà essere inserita un’apposita riga per il trattamento dati Videosorveglianza; mentre bisognerà condurre una Valutazione di Impatto per tutti quei trattamenti dati Videosorveglianza che possano essere un rischio per i diritti e le libertà delle persone fisiche. Non ci si dimentichi, inoltre, l’art. 35.3 c) GDPR, che obbliga la conduzione di una Valutazione di Impatto in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (caso tipico di videosorveglianza, ma su larga scala, concetto accennato al punto 8).

Responsabilità e sanzioni

Alle battute finali è doveroso esporre quelli che sono i “motori propulsivi” che spingono i professionisti, le aziende e gli enti ad adeguarsi alla normativa, ossia le sanzioni e le responsabilità in capo al titolare del trattamento.

Il GDPR e il nuovo Codice Privacy introducono un apparato sanzionatorio “misto”, fino a tempi recenti monopolio del vecchio Codice Privacy. Nel nuovo assetto, il GDPR disciplina le sanzioni amministrative, mentre il Codice Privacy le sanzioni penali.

L’art. 83 GDPR si occupa di due casistiche diversamente sanzionabili, a seconda della gravità della violazione. La prima casistica, che coincide con l’art. 83.4, riguarda le violazioni di minore gravità, sanzionabili sino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. In particolare riguardano la violazione degli obblighi del titolare ed il responsabile del trattamento (consenso minori in relazione ai servizi della società dell’informazione, trattamento che non richiede l’identificazione, privacy by design e by default[43], contitolari e responsabili del trattamento, Registri delle attività di trattamento, misure di sicurezza e Data Breach, Valutazione di Impatto e DPO, certificazione[44]), degli obblighi dell’organismo di certificazione e degli obblighi dell’organismo di controllo dei codici di condotta[45].

La seconda casistica, che coincide con l’art. 83.5, riguarda le violazioni di maggiore gravità, sanzionabili sino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. In particolare riguardano la violazione dei principi di base del trattamento, comprese le condizioni relative al consenso; la violazione dei diritti degli interessati; i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale; qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX (disposizioni relative a specifiche situazioni di trattamento); l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (Garante Privacy). Bisogna sottolineare che il Garante Privacy è l’unica autorità che può irrogare le sanzioni – effettive, proporzionate e dissuasive – previste dal GDPR, valutando caso per caso le singole violazioni e il loro carattere doloso o colposo.

Il nuovo Codice Privacy – con la novella del D. Lgs. 101/2018 entrato in vigore il 19 Settembre 2018 – ha introdotto un ulteriore impianto sanzionatorio, che il GDPR riserva agli Stati UE in base all’art. 84.

In particolare il nuovo art. 166 Codice Privacy è l’unico superstite del Titolo III – Capo I, una volta disciplinante le violazioni amministrative del vecchio Codice Privacy. Il primo comma del nuovo art. 166 Codice Privacy prevede la sanzione fino a 10 milioni di euro o al 2% del fatturato dell’impresa in caso di violazioni delle disposizioni di cui agli articoli 2-quinquies, comma 2, relativo all’informativa da rendere con linguaggio semplificato rilasciata ai minori di quattordici anni in occasione dell’offerta diretta di servizi della società dell’informazione, 2-quinquiesdecies, sui trattamenti svolti per l’esecuzione di un compito di interesse pubblico che presentano rischi elevati, 92, comma 1, 93, comma 1, relativi alle cartelle cliniche e ai certificati di assistenza al parto, 123, comma 4, 128, 129, comma 2, e 132-ter, relativi ai trattamenti posti in essere dai fornitori di reti pubbliche di comunicazioni o di servizi di comunicazione elettronica accessibili al pubblico. Alla medesima sanzione amministrativa è inoltre soggetto colui che non effettua la valutazione di impatto di cui all’articolo 110, comma 1, primo periodo, ovvero non sottopone il programma di ricerca a consultazione preventiva del Garante a norma del terzo periodo del predetto comma, in relazione alle attività di ricerca medica, biomedica ed epidemiologica.

Il secondo comma dell’art. 166 prevede la sanzione fino a 20 milioni di euro o al 4% del fatturato dell’impresa in caso di violazioni delle disposizioni di cui agli articoli 2-ter, sui trattamenti svolti per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, 2-quinquies, comma 1, relativo alla raccolta del consenso prestato dai minori di quattordici anni in occasione dell’offerta diretta di servizi della società dell’informazione, 2-sexies, relativo al trattamento di particolari categorie di dati per motivi di interesse pubblico rilevante, 2-septies, comma 7, relativo alle procedure di accesso fisico e logico ai dati genetici, biometrici o relativi alla salute, 2-octies, riguardante i trattamenti di dati relativi a condanne penali e reati, 2-terdecies, commi 1, 2, 3 e 4, relativo ai diritti delle persone decedute, 52, commi 4 e 5, sulla diffusione di provvedimenti giudiziari contenenti dati personali, 75, 78, 79, 80, 82, 92, comma 2, 93, commi 2 e 3, in relazione al trattamento di dati sanitari, 96, sui dati personali degli studenti, 99, 100, commi 1, 2 e 4, 101, 105 commi 1, 2 e 4, 110-bis, commi 2 e 3, sui trattamenti a fini statistici e di ricerca scientifica, 111, 111-bis, 116, comma 1, per i trattamenti nell’ambito di lavoro, 120, comma 2, in relazione alle assicurazioni, 122, 123, commi 1, 2, 3 e 5, 124, 125, 126, 130, commi da 1 a 5, 131, 132, 132-bis, comma 2, 132-quater, tutte disposizioni relative ai servizi di comunicazione elettronica, 157, nonché delle misure di garanzia, delle regole deontologiche di cui rispettivamente agli articoli 2-septies e 2-quater.

Ma è indubbiamente il Titolo III – Capo II la parte più interessante del nuovo Codice Privacy, ossia quella che riguarda gli illeciti penali.

L’art. 167 (Trattamento illecito dei dati) dispone che salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123 (dati relativi al traffico), 126 (dati relativi all’ubicazione) e 130 (comunicazione indesiderate) o dal provvedimento di cui all’articolo 129 (elenchi di contraenti) arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi.

  • Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 (trattamento di categorie particolari di dati personali) e 10 (trattamento di dati personali relativi a condanne penali e reati) del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies (trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante) e 2-octies (principi relativi al trattamento di dati relativi a condanne penali e reati), o delle misure di garanzia di cui all’articolo 2-septies (misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) ovvero operando in violazione delle misure adottate ai sensi dell’articolo 2- quinquiesdecies (trattamento che presenta rischi elevati per l’esecuzione di un compito di interesse pubblico) arreca nocumento all’interessato, è punito con la reclusione da uno a tre anni.
  • Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 si applica altresì a chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45 (trasferimento sulla base di una decisione di adeguatezza), 46 (trasferimento soggetto a garanzie adeguate) o 49 (deroghe in specifiche situazioni) del Regolamento, arreca nocumento all’interessato.
  • Il Pubblico ministero, quando ha notizia dei reati di cui ai commi 1, 2 e 3, ne informa senza ritardo il Garante.
  • Il Garante trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell’attività di accertamento nel caso in cui emergano elementi che facciano presumere la esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell’attività di accertamento delle violazioni delle disposizioni di cui al presente decreto.
  • Quando per lo stesso fatto è stata applicata a norma del presente codice o del Regolamento a carico dell’imputato o dell’ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è diminuita.

L’art. 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala) dispone che salvo che il fatto costituisca più grave reato, chiunque comunica o diffonde al fine di trarre profitto per se’ o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in violazione degli articoli 2-ter (Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri), 2-sexies (trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante) e 2-octies (principi relativi al trattamento di dati relativi a condanne penali e reati), è punito con la reclusione da uno a sei anni.

  • Salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per se’ o altri ovvero di arrecare danno, comunica o diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, e’ punito con la reclusione da uno a sei anni, quando il consenso dell’interessato è richiesto per le operazioni di comunicazione e di diffusione.
  • Per i reati di cui ai commi 1 e 2, si applicano i commi 4, 5 e 6 dell’articolo 167.

L’art. 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala) dispone che salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per sé o altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a quattro anni.

  • Per il reato di cui al comma 1 si applicano i commi 4, 5 e 6 dell’articolo 167.

L’art. 168 (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante) dispone che salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.

  • Fuori dei casi di cui al comma 1, è punito con la reclusione sino ad un anno chiunque intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti.

L’articolo 170 (Inosservanza dei provvedimenti del Garante) dispone che chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 58, paragrafo 2, lettera f) del Regolamento (imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento), dell’articolo 2-septies, comma 1 (In attuazione di quanto previsto dall’articolo 9, paragrafo 4, del regolamento, i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo), nonché i provvedimenti generali di cui all’articolo 21, comma 1, del decreto legislativo di attuazione dell’articolo 13 della legge 25 ottobre 2017, n. 163 è punito con la reclusione da tre mesi a due anni.

Infine l’art. 171 (Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori) dispone che la violazione delle disposizioni di cui agli articoli 4 (impianti audiovisivi), comma 1, e 8 (divieto di indagini sulle opinioni) della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all’articolo 38 (disposizioni penali) della medesima legge.[46]

Infine, non si può sorvolare su un’altra possibile “grana” che potrebbe riguardare la farmacia: la responsabilità per danno causato all’interessato per violazione del GDPR.

In base all’art. 82 GDPR chiunque subisca un danno materiale o immateriale causato da una violazione del GDPR ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

  • Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
  • Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
  • Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.
  • Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
  • Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2 (in Italia, il giudice ordinario).

____________________________________________________________

N.d.A. Il presente vademecum, date le molteplici assonanze tra le farmacie e il mondo medico-odontoiatrico, condivide lo schema del – e diverse parti con – l’articolo di cui al presente link: https://www.agendadigitale.eu/sicurezza/privacy/gdpr-per-lo-studio-medico-e-odontoiatrico-la-guida-per-gli-adempimenti/.

  1. In lingua inglese i concetti di “Accountability” e “Responsibility” sono diversi. La differenza maggiore sta nella “condivisione”: la Responsibility può essere condivisa, l’Accountability no. Essere “Accountable” significa non solo essere “Responsible” per qualcosa, ma significa anche rispondere delle proprie azioni. Nella versione inglese del GDPR è presente la parola “Accountability”, tradotta in italiano con Responsabilizzazione. Ma, in ogni caso, si devono intendere similarmente.
  2. Autorità amministrativa indipendente che si occupa di tutti gli ambiti, pubblici e privati, nei quali occorre assicurare il corretto trattamento dei dati e il rispetto dei diritti delle persone connessi all’utilizzo delle informazioni personali. https://www.garanteprivacy.it/web/guest/home/autorita/compiti
  3. Ai fini di questo articolo si utilizza il termine “Informativa/e” in luogo di “Informazioni” per la maggiore diffusione del vecchio termine nel linguaggio comune, anche tra i professionisti sanitari. Raccomandazione: nei documenti della farmacia utilizzare sempre il termine “Informazioni”.
  4. Ai fini di questo articolo si fa riferimento all’art. 13 GDPR (Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato), in quanto nella maggior parte dei casi la raccolta di dati personali da parte della farmacia avviene direttamente presso l’interessato.
  5. Per approfondimenti: https://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativa-comunitaria-e-intenazionale/trasferimento-dei-dati-verso-paesi-terzi
  6. Per approfondimenti, si veda il D. Lgs. 539/1992.
  7. […] le finalità del trattamento; le categorie di dati personali in questione; i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; il diritto di proporre reclamo a un’autorità di controllo; qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; l’esistenza di un processo decisionale automatizzato […]
  8. Per approfondimenti sul Diritto alla Cancellazione dei dati: https://www.agendadigitale.eu/sicurezza/il-diritto-alloblio/
  9. Per approfondimenti sul Diritto alla Portabilità dei Dati: https://www.agendadigitale.eu/sicurezza/portabilita-dei-dati-nel-gdpr-cosa-significa-e-cosa-implica-questo-nuovo-diritto/
  10. Con il GDPR per dati particolari si intendono gli “ex” dati sensibili di cui al vecchio Codice Privacy.
  11. Si vedano, in particolare, gli artt. 39 e 40 del Codice Deontologico del Farmacista, http://www.ordfarmacistips.it/codice.asp.
  12. Su questo argomento si espresse il Garante Privacy nel lontano 2005 https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1103045
  13. Si veda l’art. 78 comma 4 del Codice Privacy.
  14. Si veda anche: https://www.agendadigitale.eu/sicurezza/gdpr-cose-legittimo-interesse-si-applica-al-marketing-diretto/
  15. Si veda anche: https://www.garanteprivacy.it/regolamentoue/fondamenti-di-liceita-del-trattamento
  16. Tecnica che permette di conservare i dati personali in una forma che impedisce l’identificazione del soggetto senza l’utilizzo di informazioni aggiuntive.
  17. Tecnica che permette di offuscare il dato personale, in modo da non essere comprensibile o intelligibile a persone non autorizzate a trattarlo.
  18. Il backup è la duplicazione di un file o di un insieme di dati su un supporto esterno al computer, per avere una copia di riserva; il disaster recovery è l’insieme delle misure tecnologiche e logistico/organizzative atte a ripristinare sistemi, dati e infrastrutture, a fronte di gravi emergenze che ne intacchino la regolare attività.
  19. Si veda: https://www.garanteprivacy.it/regolamentoue/databreach
  20. Per maggiori informazioni sulla notifica di un Data Breach al Garante Privacy si veda: https://www.agendadigitale.eu/sicurezza/data-breach-nel-gdpr-cose-e-cosa-sapere-per-segnalazione-e-prevenzione/
  21. Per approfondimenti: https://www.agendadigitale.eu/sicurezza/privacy/gdpr-come-devono-cambiare-i-rapporti-contrattuali-tra-titolare-e-responsabile-trattamento-dati/ e https://www.agendadigitale.eu/sicurezza/privacy/gdpr-chi-e-responsabile-di-cosa-chiariamo-i-dubbi-diffusi-tra-le-aziende/
  22. Al singolare, ai fini dell’articolo.
  23. Linee-guida del Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati (WP248) – https://www.garanteprivacy.it/regolamentoue/DPIA
  24. Dal 25 maggio 2018 il WP29 è diventato Comitato Europeo per la Protezione dei Dati – https://edpb.europa.eu/about-edpb/about-edpb_it
  25. Si veda: https://www.garanteprivacy.it/regolamentoue/DPIA#STRUMENTI
  26. Per approfondimenti sulla Valutazione d’Impatto: https://www.agendadigitale.eu/sicurezza/data-protection-ecco-cosa-cambia-con-le-linee-guida-sulla-dpia/
  27. Per approfondimenti sulla figura del DPO: https://www.agendadigitale.eu/sicurezza/privacy/privacy-cos-e-e-come-scegliere-il-data-protection-officer/
  28. Si veda anche la recente sentenza TAR Friuli Venezia Giulia sul DPO: http://www.dirittoegiustizia.it/allegati/16/0000082282/TAR_Friuli_Venezia_Giulia_sez_I_sentenza_n_287_18_depositata_il_13_settembre.html
  29. Si veda: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5306161
  30. Si veda: http://europa.eu/rapid/press-release_IP-18-4501_it.htm
  31. Per approfondimenti: https://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativa-comunitaria-e-intenazionale/trasferimento-dei-dati-verso-paesi-terzi
  32. Per maggiori dettagli: https://www.garanteprivacy.it/cookie
  33. CGUE – Sentenza del 5 giugno 2018 (Causa C-210/16) – http://curia.europa.eu/juris/liste.jsf?num=C-210/16
  34. Per la “frontiera” del marketing in farmacia tramite Whatsapp si veda: https://www.sofarmamorra.it/fare-marketing-con-whatsapp-per-la-tua-farmacia-e-possibile/.
  35. Si veda, tra tutte: https://blog.eset.it/2017/01/la-vulnerabilita-della-crittografia-end-to-end-di-whatsapp/
  36. Si veda il caso britannico: https://www.healthcareitnews.com/news/facebook-messenger-whatsapp-imessage-use-uk-nhs-adds-new-security-concerns
  37. Si veda: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1712680
  38. Art. 615-ter. – Accesso abusivo ad un sistema informatico o telematico.Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.La pena è della reclusione da uno a cinque anni:1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesamente armato;

    3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

    Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

    Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.

  39. Sul punto si espresse il Garante nel 2014, su istanza di un’associazione di categoria dei farmacisti: http://www.altalex.com/documents/news/2016/01/21/abuso-dei-monitor-per-la-videosorveglianza-quale-bilanciamento-tra-privacy-e-sicurezza
  40. Di seguito il modello utilizzabile per esperire l’istanza dinanzi l’Ispettorato del lavoro (si noti ancora il rimando al “defunto” art. 13 del D. Lgs. 196/2003): https://www.ispettorato.gov.it/it-it/strumenti-e-servizi/Modulistica/Documents/Autorizzazione%20installazione%20di%20impianti%20di%20videosorveglianza%20o%20GPS/Istanza-videosorveglianza-impianti-audiovisivi.pdf
  41. Cass. Pen. Sez. 3, n. 38882 e 38884 del 24 agosto 2018.
  42. Si veda: https://www.garanteprivacy.it/regolamentoue/approccio-basato-sul-rischio-e-misure-di-accountability-responsabilizzazione-di-titolari-e-responsabili
  43. Per approfondimenti (e sostituendo il refuso “entrato in vigore” con “applicabile”): https://www.accredia.it/2018/07/13/entrato-in-vigore-il-nuovo-gdpr-ecco-come-la-certificazione-tutela-la-privacy/
  44. Si veda: https://www.agendadigitale.eu/sanita/gdpr-e-codici-di-condotta-sui-dati-personali-in-sanita-che-succedera-nel-2018/
  45. Per approfondimenti si veda: https://www.agendadigitale.eu/sicurezza/privacy/gdpr-sanzioni-e-responsabilita-tutto-cio-che-ce-da-sapere/
@RIPRODUZIONE RISERVATA

Articolo 1 di 3