Diritto dei Servizi Pubblici

Home

Sentenze

Articoli

Breve guida sulla applicazione del regolamento UE/2016/679 alle farmacie comunali

	di Leila Tessarolo	14 maggio 2018
	Materia: privacy / tutela dati personali

BREVE GUIDA SULLA APPLICAZIONE DEL REGOLAMENTO UE/2016/679 ALLE FARMACIE COMUNALI

Il 25 maggio 2018 sarà direttamente applicabile il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE: Regolamento Generale sulla Protezione dei Dati – RGPD o GDPR secondo la dizione inglese).

L’Unione Europea ha concesso agli Stati membri due anni dalla entrata in vigore del Regolamento (il 25 maggio 2016) per potersi adeguare alle novità stabilite dalla nuova normativa.

Di seguito una breve guida sulle principali prescrizioni e sugli adempimenti da rispettare sulla base del Regolamento 679, con particolare riferimento alla posizione delle farmacie comunali.

IL DATO PERSONALE E LA BASE GIURIDICA DEL TRATTAMENTO

Dati personali e particolari categorie di dati

Il regolamento considera “dato personale” qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»). Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (art. 4, n. 1 GDPR)

Tra i dati personali il Regolamento indica alcune categorie “particolari” che riguardano la sfera intima delle persone e che, come tali, necessitano di una tutela più forte (i dati che, con il d.lgs 196/03 - Codice della Privacy – erano definiti “dati sensibili”).

Sono “categorie particolari di dati personali” i dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona (art. 9 GDPR).

Il Regolamento specifica ulteriormente che «dati genetici» sono i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione; «dati biometrici» sono i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici; «dati relativi alla salute» sono i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, nn. 13, 14 e 15 GDPR).

Base giuridica (art. 6 GDPR)

Ogni trattamento dei dati deve necessariamente avere una base giuridica, ossia un fondamento di liceità, preventivamente stabilito dal Legislatore comunitario nell’art. 6 del Regolamento.

In particolare, il trattamento risulta lecito se è stato espresso il consenso dell’interessato oppure se è necessario: - all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso (esecuzione del contratto); - per adempiere un obbligo legale al quale è soggetto il titolare del trattamento (obbligo legale); - per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica (stato di necessità); - per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (compito di interesse pubblico); per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali (legittimo interesse).

Per ogni tipologia di trattamento effettuato il titolare del trattamento deve verificare la sussistenza della base giuridica (tra quelle sopra elencate) e dunque la liceità del medesimo.

Il consenso (art. 7 GDPR, Linee Guida WP 259) dei soggetti interessati deve necessariamente essere libero, specifico, informato e inequivocabile. Non è ammesso il consenso tacito o presunto.

Il Garante Privacy nelle sue “raccomandazioni” (cfr. Guida all'applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali pubblicata sul sito del Garante) ha precisato che il consenso raccolto prima della applicazione del regolamento 679 resta valido solo se ha le caratteristiche sopra indicate; in particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato, per esempio all’interno di modulistica. La formula utilizzata per chiedere il consenso deve essere comprensibile, semplice, chiara.

Bisognerà, dunque, verificare la conformità dei consensi già acquisiti e se necessario provvedere a raccoglierli nuovamente.

Liceità del trattamento dei dati relativi alla salute (art. 9 GDPR)

Nello svolgimento della propria attività le farmacie trattano prevalentemente dati relativi alla salute. La legge 833/1978 pone, invero, le farmacie come parte dell'organizzazione del S.S.N. in ragione della loro capillarità e del loro obbligo di erogare i farmaci agli assistiti ed a chiunque intenda acquistarli e di non interrompere lo svolgimento del servizio. Esse divengono, dunque, gli strumenti di cui le ASL si avvalgono per l’esercizio del compito di servizio pubblico loro assegnato dal Legislatore.

Risulta allora opportuna una considerazione specifica delle disposizioni del Regolamento relative a tali categorie di dati.

Per comprendere l’importanza di tali dati può essere utile fare riferimento a quanto precisato nel considerando 53 del Regolamento, secondo cui “Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate soltanto per finalità connesse alla salute, ove necessario per conseguire tali finalità a beneficio delle persone e dell'intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale (…). Pertanto il presente regolamento dovrebbe prevedere condizioni armonizzate per il trattamento di categorie particolari di dati personali relativi alla salute in relazione a esigenze specifiche, in particolare qualora il trattamento di tali dati sia svolto da persone vincolate dal segreto professionale per talune finalità connesse alla salute.”

Inoltre, il considerando 54 specifica ulteriormente che “Il trattamento di categorie particolari di dati personali può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell'interessato. Tale trattamento dovrebbe essere soggetto a misure appropriate e specifiche a tutela dei diritti e delle libertà delle persone fisiche.”

Il Regolamento prevede un generale divieto di trattare tali dati, che viene meno alla ricorrenza di alcuni presupposti, indicati nell’art. 9 del Regolamento.

In particolare, secondo l’art. 9 par. 2 lett. h), è considerato lecito il trattamento qualora sia “necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità”; il paragrafo 3 del medesimo articolo 9 specifica che tali dati devono essere trattati “da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch'essa soggetta all'obbligo di segretezza conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti”.

La liceità del trattamento dei dati relativi alla salute per le finalità di assistenza sanitaria risulta dunque evidente per le farmacie, anche di appartenenza comunale, che svolgono il servizio farmaceutico sulla base della normativa nazionale. A ciò si aggiunga che, come prescritto dal Regolamento, il farmacista è soggetto all’obbligo del segreto professionale (come prescritto dal Codice deontologico dei farmacisti).

Chiaramente, laddove la farmacia tratti i dati di cui all’art. 9 del Regolamento per finalità differenti dalla assistenza sanitaria, dovrà sussistere una diversa base giuridica tra quelle previste dal medesimo articolo 9.

Informativa (artt. 13 e 14 GDPR - Linee Guida WP 260)

Qualsiasi sia la base giuridica del trattamento, risulta in ogni caso necessario prestare agli interessati idonea informativa (che si inserisce nel più ampio obbligo di trasparenza imposto al titolare del trattamento) che deve essere aggiornata alle nuove disposizioni. In particolare, rispetto a quanto stabilito dal Codice Privacy, sarà necessario indicare i dati di contatto del responsabile della protezione dei dati – ove nominato – la base giuridica del trattamento, se i dati sono trasferiti in paesi terzi, il periodo di conservazione dei dati nonché il diritto di presentare un reclamo.

Inoltre, l’informativa dovrà essere concisa, trasparente, intellegibile per l’interessato e facilmente accessibile. Occorre, dunque, utilizzare un linguaggio chiaro e semplice che sia consono ai destinatari della stessa.

Profilazione (art. 22 GDPR e Linee Guida WP 251)

Il Regolamento definisce la profilazione “qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica” (art. 4 n. 4 GDPR).

Considerando le particolari conseguenze della profilazione, la stessa è oggetto di particolari cautele.

In particolare, secondo il Regolamento, l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona, tranne quando la decisione sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento; sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato; si basi sul consenso esplicito dell’interessato.

Inoltre, pur non essendo vietata la profilazione delle categorie particolari di dati, di cui all’art. 9 del Regolamento, in tale caso risulta necessario che l'interessato abbia prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche oppure che il trattamento sia necessario per motivi di interesse pubblico e devono essere in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato.

I SOGGETTI

Titolare e contitolare (artt. 24 e ss. GDPR)

Il titolare del trattamento è definito dal Regolamento come “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4, n. 7 del Regolamento).

È in altri termini il soggetto che prende le decisioni sui dati personali.

Al fine di individuare chi sia il titolare del trattamento nelle farmacie comunali, occorre ricordare che la l. 475/1968 (art. 9 come sostituito dall’art.10 l. 362/1991), prevede che le farmacie di cui il Comune abbia acquisito la titolarità possono essere gestite: a) in economia; b) a mezzo di azienda speciale; c) a mezzo di consorzi tra comuni per la gestione delle farmacie di cui sono unici titolari; d) a mezzo di società di capitali costituite tra il comune e i farmacisti che, al momento della costituzione della società prestino servizio presso farmacie di cui il Comune abbia la titolarità. Tale elenco non è, però, tassativo e le farmacie comunali possono essere gestite anche con modalità diverse quali, ad esempio la società in house, la società mista o la concessione a terzi.

Questa peculiarità non deve però trarre in inganno relativamente alla ipotesi in esame, in quanto, pur rimanendo il Comune <titolare> della farmacia, lo stesso non sarà per ciò solo il <titolare del trattamento>.

Ogni qual volta la gestione venga affidata ad un soggetto diverso dal Comune, il titolare del trattamento sarà, infatti, il soggetto gestore spettando a quest’ultimo il potere decisionale sul trattamento dei dati.

Nel caso in cui il Comune mantenga un potere decisionale sui trattamenti dei dati della farmacia di cui è titolare si avrà un caso di contitolarità, disciplinato dall’art. 26 del Regolamento (si pensi ad esempio al caso in cui venga stipulata una convenzione tra Comuni ex art. 30 del TUEL o al caso di gestione della farmacia tramite azienda speciale o società in house, considerate quali “articolazioni” dell’amministrazione pubblica di riferimento).

In tutti i casi di contitolarità dovrà essere redatto un apposito accordo attraverso il quale i contitolari determineranno in modo trasparente le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal Regolamento con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni.

Risulta, dunque, necessario verificare il contenuto dell’atto di affidamento della farmacia e, nel caso in cui si ravvisino ipotesi di co-decisione, disciplinare, sulla base di quanto previsto dal Regolamento, le rispettive responsabilità in materia di protezione dei dati personali.

Responsabile del trattamento (art. 28 GDPR)

Il responsabile del trattamento è definito dal Regolamento come “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, n. 8 GDPR).

A differenza del Codice della privacy che prevedeva espressamente che responsabile potesse essere anche un soggetto interno (art. 29 del Codice Privacy; per lo più responsabili erano i dipendenti in posizione apicale), con l’avvento del Regolamento, il “responsabile” viene configurato come un soggetto esterno, non attagliandosi le disposizioni del Regolamento a figure interne del titolare.

Potranno, ovviamente, essere nominati soggetti interni “autorizzati” al trattamento, che dovranno essere appositamente istruiti (si vedano gli articoli 29 e 32 del Regolamento), ma che non saranno soggetti alle specifiche disposizioni del Regolamento stabilite per i responsabili.

Ogni qual volta, dunque, la farmacia si rivolga a soggetti esterni per determinate prestazioni che prevedono un trattamento di dati personali di cui essa è titolare, dovrà nominare tali soggetti come responsabili del trattamento.

Il responsabile del trattamento nominato dal titolare deve presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell'interessato.

I rapporti tra titolare e responsabile devono essere disciplinati da un apposito contratto in cui vengono indicati la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

Nel caso in cui sia, invece, la farmacia a svolgere prestazioni per conto di terzi per le quali è previsto un trattamento di dati personali sarà essa a dover essere designata dal titolare quale responsabile del trattamento dati (si pensi alle prestazioni previste dal decreto legislativo 3 ottobre 2009, n. 153: servizi di prenotazione delle prestazioni di assistenza specialistica ambulatoriale presso le strutture sanitarie pubbliche e private accreditate, pagamento delle relative quote di partecipazione alla spesa a carico del cittadino, ritiro dei relativi referti, disciplinati dal decreto Ministero della salute 8 Luglio 2011, pubblicato nella Gazzetta Ufficiale n. 229 del 1 Ottobre 2011). In tali casi la farmacia, quale responsabile, dovrà rispettare le disposizioni normative previste per i responsabili del trattamento dal Regolamento e sarà responsabile secondo le prescrizioni di cui agli artt. 82 e 83 del Regolamento medesimo).

Responsabile della protezione dei dati - DPO (artt. 37-39 GDPR, Linee Guida WP 243)

Il Regolamento ha previsto una nuova figura che deve essere obbligatoriamente designata in alcune specifiche ipotesi dai titolari e dai responsabili del trattamento: il Responsabile della Protezione dei Dati (RPD – o Data Protection Officer- DPO nella versione inglese).

Si tratta di una figura, già nota in alcuni ordinamenti europei, che il Legislatore europeo ha voluto introdurre in via generale allo scopo di rafforzare gli strumenti per garantire il rispetto della normativa in situazioni considerate di elevato rischio.

Secondo il Regolamento, la nomina del DPO è obbligatoria solo in tre casi specifici ossia quando:

a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.

Sulla base di tali indicazioni, risulta evidente che il DPO dovrà certamente essere nominato nel caso in cui la farmacia venga gestita in economia (ma in questo caso, ovviamente, il Comune è già onerato di tale incombente) o per il tramite di un soggetto pubblico (consorzio di comuni, azienda speciale).

Il Garante Privacy ha precisato (FAQ sul Responsabile della Protezione dei dati in ambito pubblico, pubblicata sul sito internet dell’Autorità) che, “allo stato, in ambito pubblico, devono ritenersi tenuti alla designazione di un RPD i soggetti che oggi ricadono nell'ambito di applicazione degli artt. 18 - 22 del Codice, che stabiliscono le regole generali per i trattamenti effettuati dai soggetti pubblici (ad esempio, le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.)”. Si ricorda, in proposito, che tra i <soggetti pubblici> il Codice della Privacy escludeva espressamente gli enti pubblici economici, equiparati ai soggetti privati.

Nel caso di società a partecipazione pubblica, considerata la loro peculiare posizione, potrebbe risultare dubbia la loro classificazione quali <organismi pubblici> e sarebbe perciò opportuno un intervento normativo che specifichi l’applicabilità nei loro confronti della disciplina europea, come, ad esempio, effettuato dal decreto legislativo 97/2016 che ha esteso l’ambito di applicazione della normativa in materia di trasparenza e anticorruzione alle società <in controllo pubblico> e, parzialmente, alle società <in partecipazione pubblica> (si veda l’art. 3 che ha inserito l’art. 2 bis al d.lgs 33/13.)

Nel caso in cui il titolare sia un soggetto privato, invece, risulta necessario effettuare una verifica sulla tipologia di trattamento effettuato e sulle modalità con cui il medesimo trattamento viene svolto.

Mentre, infatti, è evidente che la farmacia esegue, come attività principale (intesa come attività inscindibile dell’attività svolta), il trattamento di categorie particolari di dati, tra i quali, come si è visto, rientrano i dati relativi alla salute, è necessario accertare che tale trattamento avvenga su “larga scala”. Pur non esistendo una definizione di tale parametro, il Gruppo di Lavoro Articolo 29, nelle Linee Guida WP 243, ha considerato come fattori utili per verificare se un trattamento è eseguito su larga scala il numero di soggetti interessati dal trattamento, il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento, la durata dell’attività di trattamento, la portata geografica dell’attività di trattamento.

Orbene, risulta evidente che un trattamento su larga scala certamente non sussiste nel caso di piccole farmacie che operano a livello meramente locale (si pensi alle farmacie aperte in zone disagiate con il criterio topografico, alle farmacie rurali, e in generale a tutte le farmacie con un ridotto bacino di utenza). In tale caso, infatti, il farmacista può essere certamente paragonato ad un singolo professionista sanitario che, secondo le Linee guida Gruppo di Lavoro articolo 29, WP 243, effettua trattamenti “non su larga scala”.

Altrettanto non può certamente dirsi con riferimento alle grandi società che detengono molte farmacie, oppure al caso in cui una farmacia abbia un elevato bacino di utenza, perché, ad esempio, è collocata in un punto strategico (si pensi alle farmacie istituite nelle stazioni ferroviarie, negli aeroporti civili a traffico internazionale, nelle stazioni marittime e nelle aree di servizio autostradali o nei centri commerciali, ai sensi dell’art. 1 bis della L. così come inserito all'articolo 11, comma 1, lettera b), del D.L. 24 gennaio 2012, n. 1, convertito, con modificazioni, dalla Legge 24 marzo 2012, n. 27. d.l. 2012, sulle quali peraltro i Comuni possono esercitare la prelazione fino al 2022).

Deve in proposito considerarsi che, al fine di assicurare l’esigenza dell’assistenza sanitaria della popolazione, la legge non attribuisce ad ogni farmacia un numero determinato di abitanti (sicché impropriamente di parla di “bacino di utenza” di ogni singola sede farmaceutica) ma indica il rapporto numerico con riferimento alla popolazione complessiva del Comune posto che, ai sensi dell’art. 15 della l. 475/68, ogni cittadino può accedere a qualunque esercizio farmaceutico.

Ebbene, negli esempi suddetti, da valutare con riferimento al caso concreto, si potrebbe verificare un trattamento di dati <particolari> su larga scala e potrebbe essere, dunque, necessaria la nomina di un Responsabile della Protezione dei dati.

A quanto detto si aggiunga ancora che il Gruppo di Lavoro Articolo 29 si è preoccupato del fatto che nel caso di soggetti – formalmente privati – che erogano servizi pubblici, qual è il servizio farmaceutico, gli interessati si trovano in una situazione molto simile a quella in cui il trattamento è svolto da un’autorità pubblica o da un organismo pubblico avendo essi margine esiguo o nullo rispetto alla possibilità di decidere se e come possano essere trattati i propri dati personali, e ha raccomandato, in termini di buone prassi, che gli organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri nominino comunque un responsabile della protezione dei dati.

Nei casi di incertezza sulla obbligatorietà della nomina appare, quindi, opportuno nominare il RPD o, altrimenti, giustificare attentamente e esaustivamente la propria scelta di non procedere alla nomina, conservandone la relativa documentazione, ai fini del rispetto del principio di accountability.

Il RPD può essere sia un dipendente del titolare, sia un soggetto esterno al quale l’incarico è affidato con contratto di servizi.

Per la designazione del RPD il titolare (o responsabile) del trattamento dovrà, quindi, in primo luogo, verificare l’esistenza di una figura idonea all’interno della propria organizzazione, tenuto conto di quelle che devono essere le competenze, le conoscenze e la posizione che il soggetto deve rivestire all’interno dell’azienda.

In particolare, le qualità professionali del RPD devono sostanziarsi nella conoscenza specifica della normativa e delle prassi in materia di privacy, nonché della normativa e delle procedure amministrative che caratterizzano lo specifico settore di riferimento e dunque, nel caso che ci occupa, del servizio farmaceutico.

Nel caso in cui il titolare non ravvisi nel proprio organico alcun soggetto dotato delle su riferite caratteristiche dovrà procedere o alla formazione specifica dei propri dipendenti, o alla assunzione di un nuovo dipendente o alla stipula di un contratto di servizio con un soggetto terzo. In quest’ultimo caso il RPD può essere anche una persona giuridica.

Può essere inoltre designato un unico RPD da più amministrazioni, tenuto conto della loro struttura organizzativa e della loro dimensione, o da un gruppo imprenditoriale.

ACCOUNTABILITY – ADEMPIMENTI E RESPONSABILITA’ DEL TITOLARE DEL TRATTAMENTO

Il GDPR, a differenza di quanto previsto dal Codice della Privacy, lascia un’ampia libertà e discrezionalità al titolare del trattamento nella organizzazione della propria attività di compliance. Ciò significa che il titolare potrà parametrare gli adempimenti alla propria realtà organizzativa ed economica e scegliere il modo ritenuto più opportuno per rispettare le prescrizioni normative.

È importante sottolineare che il titolare sarà comunque sempre responsabile delle scelte attuate e che dovrà comprovare di aver adottato le misure idonee, secondo il principio di accountability (art. 5, par. 2 e art. 24 GDPR).

Il Regolamento fornisce in ogni caso delle specifiche indicazioni.

In primo luogo, l’impostazione di fondo di ogni trattamento dei dati deve essere conforme al modello “privacy by design e privacy by default” (art. 25 GDPR), in base al quale la protezione dei dati deve essere rispettata fin dalla progettazione del trattamento e deve essere una impostazione predefinita di ogni singolo trattamento dei dati.

Questa impostazione deve essere messa in pratica al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati. Occorre, a tal fine, ricordare che i principi che devono essere rispettati dal titolare nel trattamento dei dati sono i principi di «liceità, correttezza e trasparenza»; «limitazione della finalità»; «minimizzazione dei dati»; «esattezza»; «limitazione della conservazione»; «integrità e riservatezza» (art. 5 GDPR).

Il titolare del trattamento è chiamato, dunque, a predisporre misure a livello organizzativo e a livello tecnico che rispettino i principi in materia di protezione dei dati.

Tra queste non dovrà essere sottovalutata la formazione del personale (vd. art. 29, 32 par. 4 e 39 par. 1 lett. b GDPR).

Con riferimento alle misure di sicurezza, il legislatore europeo non dettaglia le misure idonee né prevede misure “minime”, come invece era previsto dal Codice (art. 33 e 34 e all. B) ma lascia la scelta al titolare di decidere quali siano le misure “adeguate”, sulla base di una specifica valutazione, attraverso una approfondita analisi del rischio (art. 32 e considerando 83 del Regolamento). Il titolare è chiamato, dunque, a verificare il rischio connesso ad ogni trattamento e a valutare, sulla base di tale analisi, le azioni da intraprendere.

Solo a titolo esemplificativo e non esaustivo il Regolamento fa riferimento a: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (art. 32 GDPR).

Ai fini di accountability, il titolare del trattamento potrà avvalersi della adesione a codici di condotta, a meccanismi di certificazione oppure a linee guida fornite dal comitato dei Garanti europei o indicazioni fornite da un responsabile della protezione dei dati (vd considerando 77 del Regolamento).

Uno strumento fondamentale per la corretta gestione dei trattamenti è il registro dei trattamenti (art. 30 GDPR).

Il registro risulta obbligatorio solo in determinate circostanze anche se è certamente raccomandato per ogni trattamento (vd. Guida all'applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali, pubblicata sul sito del Garante Privacy). In particolare, per le farmacie risulta senz’altro obbligatorio in quanto la farmacia tratta, come si è detto, i dati relativi alla salute rientranti nelle “particolari categorie di dati” di cui all’art. 9 del Regolamento.

Il registro di trattamenti è il punto di partenza per comprendere le azioni da intraprendere. Esso infatti è una rappresentazione dei diversi tipi di trattamento che il titolare compie e permette di verificare la loro liceità nonché la sussistenza del rischio che deve essere affrontato.

L’analisi di rischi, che deve accompagnare l’intera attività del titolare è, infatti, funzionale alla valutazione di impatto (Data protection impact assessment – DPIA; art. 35 del Regolamento; si vedano anche le Linee Guida del Gruppo di lavoro Articolo 29, WP 248).

La DPIA risulta necessaria solo quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Il Regolamento individua tre casi in cui tale rischio si può verificare: a) valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; c) sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Le linee guida WP 248, nello specificare quanto disciplinato nel Regolamento, hanno previsto 9 criteri per individuare la sussistenza di un rischio elevato (trattamenti valutativi o di scoring, compresa la profilazione; decisioni automatizzate che producono significativi effetti giuridici; monitoraggio sistematico; trattamento di dati sensibili, giudiziari o di natura estremamente personale; trattamenti di dati personali su larga scala; combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale; dati relativi a soggetti vulnerabili; utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative; trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto), specificando che la DPIA è necessaria in presenza di almeno due di questi criteri.

Si noti che per alcuni trattamenti di dati non è necessario procedere alla DPIA. In particolare, come precisato dal citato art. 35 del Regolamento e specificato nelle linee guida WP 248, la DPIA non è necessaria quando il trattamento non è tale da presentare un rischio elevato oppure qualora esista una valutazione d'impatto sulla protezione dei dati analoga, o qualora il trattamento sia stato autorizzato prima del maggio 2018 oppure abbia una base giuridica o sia incluso nell'elenco delle tipologie di trattamento per le quali non è richiesta una valutazione d'impatto sulla protezione dei dati.

Il Regolamento ha, dunque, eliminato l’istituto delle notificazioni (art. 37 del codice Privacy) prevedendo una attività di autoanalisi da parte del titolare che può sfociare in un coinvolgimento della Autorità solo in caso di un trattamento che abbia un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio (consultazione preventiva del Garante, art. 36 GDPR).

Un’importante novità del Regolamento consiste nell’obbligo – in determinate ipotesi – del titolare di avvertire la autorità Garante in caso di data breach (artt. 33 e 34 GDPR e linee guida Gruppo di Lavoro Articolo 29, WP 250).

Per data breach si intende “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati” (art. 4 n. 12 del Regolamento).

In tali casi il titolare è obbligato ad effettuare la notifica al Garante senza ingiustificato ritardo e comunque, ove possibile, entro 72 ore dalla conoscenza, tranne il caso in cui sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà fondamentali.

Il titolare è, inoltre, obbligato a documentare qualsiasi violazione di dati personali, mentre l’obbligo di notificare la violazione agli interessati sussiste soltanto quando è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche e deve avvenire senza giustificato ritardo.

I DIRITTI DEGLI INTERESSATI (artt. 12 e ss. GDPR)

Il Regolamento 679 pone gli individui al centro del sistema della protezione dei dati con la conseguenza che il titolare deve necessariamente garantire il rispetto dei diritti degli individui predisponendo le misure adeguate a garantire l’esercizio di tali diritti.

In particolare, se l’interessato fa valere i propri diritti, il titolare dovrà dare un riscontro alle richieste dell’interessato entro un mese dalla richiesta, anche in caso di diniego (art. 12 GDPR).

La risposta, che di regola deve avvenire per iscritto (anche in formato elettronico), deve essere intellegibile, concisa, trasparente e facilmente accessibile, oltre ad utilizzare un linguaggio semplice e chiaro.

I diritti che possono essere fatti valere dagli interessati sono: il diritto di accesso (diritto di ottenere la conferma che sia o meno in corso un trattamento di dati che lo riguardano; ottenere l’accesso ai dati; ottenere l’accesso alle informazioni, art. 15 GDPR); il diritto alla rettifica e integrazione (diritto di ottenere dal titolare del trattamento la rettifica dei dati inesatti e l’integrazione dei dati personali incompleti, art. 16 GDPR); il diritto all’oblio (diritto ottenere la cancellazione dei dati alla ricorrenza di determinati motivi e se non ricorrano determinate situazioni; ha altresì diritto alla deindicizzazione dei suoi dati dai motori di ricerca; art. 17 GDPR); la limitazione dei dati (diritto di ottenere una restrizione al trattamento dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro, art. 18 GDPR); la portabilità dei dati (diritto di ricevere i dati personali forniti direttamente o indirettamente a un titolare del trattamento e il diritto di trasmettere tali dati ad un altro titolare, qualora il trattamento si basi su un consenso o su un contratto e il trattamento venga effettuato con mezzi automatizzati, art. 20 GDPR, si vedano anche le linee guida Gruppo di Lavoro Articolo 29, WP 242); l’opposizione (diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano, art. 21 GDPR).

RESPONSABILITA’ E SANZIONI (artt. 82 e 83 GDPR)

Da ultimo, non può mancare un cenno sulla responsabilità dei soggetti coinvolti e sulle sanzioni pecuniarie applicabili dall’Autorità garante in caso di violazione delle norme del Regolamento.

Secondo il Regolamento, il titolare del trattamento risponde per il danno cagionato dal suo trattamento che violi il Regolamento, mentre il responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. Sussiste un esonero da responsabilità solo laddove il titolare – o il responsabile - dimostri che l'evento dannoso non gli è in alcun modo imputabile.

L’art. 83 del Regolamento disciplina, invece, le sanzioni pecuniarie applicabili, specificando che le stesse devono essere effettive, proporzionate e dissuasive e stabilisce i criteri generali per la loro applicazione (si vedano le Linee Guida Gruppo di Lavoro Articolo 29, WP 253).

Le sanzioni applicabili vengono suddivise sulla base dell’oggetto della violazione: mancato rispetto degli obblighi imposti dal Regolamento (sanzioni amministrative pecuniarie fino a 10.000.000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore; art. 83, par. 4 GDPR); mancato rispetto dei principi e dei diritti degli interessati (sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore, art. 83, par. 5 GDPR); mancato rispetto delle prescrizioni del Garante (sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore; art. 83, par. 6 GDPR).

Si noti che le suddette sanzioni sono applicabili ai soggetti <privati>, mentre spetta al singolo Stato membro prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici.

CONSIDERAZIONI CONCLUSIVE

Le farmacie comunali, così come tutti i titolari di trattamento, dovranno, dunque, adeguare la propria organizzazione e la propria attività alle nuove disposizioni regolamentari (integrate dalle norme di diritto interno qualora emanate).

Con il Regolamento 679 si è inteso modificare l’impostazione di fondo della gestione di trattamenti di dati personali, in modo che sia dall’origine improntata ai principi stabiliti dal Regolamento medesimo. L’adeguamento alle nuove norme non dovrà allora essere un adeguamento puramente formale ma un adeguamento sostanziale, con un approccio sistematico differente rispetto al passato.

Il rispetto della normativa in materia di privacy merita quindi di essere considerato come un valore aggiunto in un’epoca in cui la privacy è diventata quasi un privilegio (ciò vale a maggior ragione per i titolari che trattano, come il caso delle farmacie, dati ultra sensibili quali il diritto alla salute) e l’adeguamento alla normativa in materia di protezione di dati personali dovrebbe essere colta come un’opportunità di sviluppo e di miglioramento.