fonte: FEDERFARMA
IL GDPR PER LE ASSOCIAZIONI PROVINCIALI E LE UNIONI REGIONALI
- AMBITO DI APPLICAZIONE e DATI TRATTATI DALLE ASSOCIAZIONI
Il regolamento si applica relativamente alla protezione dei dati personali[1] delle persone fisiche. ( Art.1)
Il regolamento pertanto si applica certamente alle associazioni territoriali (Unioni regionali e Associazioni provinciali, da ora in avanti ASSOCIAZIONI) perché possono trattare una molteplicità di dati personali da considerarsi sensibili.
Tutte le associazioni trattano, in qualità di titolari del trattamento, i dati personali degli iscritti alla associazione, per adempiere alle finalità dello statuto. Si tratta, ad esempio, dell’anagrafica (ad es. dati identificativi, indirizzo, contatti telefonici e contatti email) del registro delle presenze degli iscritti nelle riunioni degli organi associativi, dei verbali nei quali sono riportate le dichiarazioni effettuate nell’ambito delle riunioni, dell’eventuale registrazione audio delle riunioni degli organi associativi, dei documenti dai quali si evincono eventuali rimborsi spese o indennità, etc. Inoltre possono essere trattati altri dati personali in relazione ai servizi svolti dalla singola associazione alle farmacie associate.
In qualità di titolari del trattamento, le associazioni trattano i dati personali dei dipendenti, per eseguire il contratto di lavoro in conformità a quanto di disciplinato dalla legge e dal contratto collettivo. In caso di installazione di sistemi di videosorveglianza, le associazioni possono trattare informazioni relative a tutti i soggetti che accedono nel locali nei quali sono effettuate le riprese.
In qualità di responsabili del trattamento possono trattare, in collaborazione con Promofarma, i dati delle prescrizioni SSN in virtù di una delega espressa conferita dalle farmacie, ai fini dell’invio dei dati alla SOGEI ai sensi dell’art.50, tramite l’applicativo messo a disposizione di Promofarma.
Infine, alcuni accordi sulla distribuzione per conto o sulla distribuzione di prodotti in regime di assistenza integrativa prevedono che l’Unione Regionale metta a disposizione delle regioni una piattaforma informatica per la gestione delle prescrizioni. Alcuni accordi attribuiscono all’Associazione il ruolo di responsabile del trattamento dei dati personali. In altri casi, alcune associazioni sono state considerate titolari del trattamento nell’ipotesi in cui mettano a disposizione delle farmacie piattaforme per la gestione delle prenotazioni private delle quali hanno la licenza d’uso.
- PRINCIPI APPLICABILI AL TRATTAMENTO DEI DATI E RESPONSABILIZZAZIONE
L’ associazione di categoria può trattare dati personali nel rispetto dei principi di cui all’art.5 del Regolamento e “deve essere in grado di comprovarlo” (responsabilizzazione).
Secondo l’art. 5 i dati personali sono:
- a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
- b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
- c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
- d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
- e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
- f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate.
- CONSENSO AL TRATTAMENTO DEI DATI SOLO PER I DATI COMUNICATI ALL’ESTERNO
I dati personali degli iscritti all’associazione sono informazioni che rivelano l’appartenenza sindacale e pertanto sono da considerarsi sensibili ai sensi dell’art.9 del Regolamento. Secondo il regolamento, le associazioni possono trattare dati che rivelano l’appartenenza sindacale senza richiedere il consenso esplicito se il trattamento è effettuato nell’ambito delle sue legittime attività e con adeguate garanzie, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con l’associazione a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato (art.9, paragrafo 2, lett d.).
Pertanto, per comunicare i dati all’esterno dell’associazione è necessario sempre il consenso dell’iscritto.
L’associazione può rendere servizi dedicati agli associati in conformità alle finalità statutarie anche utilizzando soggetti esterni. Tali soggetti, per fornire servizi agli iscritti per conto dell’associazione, devono necessariamente conoscere l’identità dei beneficiari dei servizi, vale a dire i dati identificativi delle farmacie aderenti a Federfarma. In tal caso, qualora tali soggetti siano designati Responsabili del trattamento non è necessario il consenso dell’iscritto.
Per quanto riguarda il trattamento dei dati delle ricette ex art.50 da parte delle Associazioni non è necessario il consenso degli intestatari delle ricette in quanto le associazioni operano su delega delle farmacie e sono considerate responsabili del trattamento.
Per quanto riguarda i dati dei dipendenti o collaboratori necessari per eseguire il contratto, o per adempiere ad un obbligo di legge non è necessario il consenso ma solo rendere una informativa sui trattamenti effettuati.
INFORMATIVA
Le associazioni devono rendere una informativa ai propri iscritti, ai dipendenti e collaboratori in relazione a tutte le finalità dei dati trattati Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici.
L’art. 13 e l’art.14 stabiliscono il contenuto dell’informativa obbligatoria, (parzialmente diverso da quello attuale) .
Si consiglia di rendere la nuove informative a tutti gli iscritti entro il 25 maggio 2018, con modalità che attestino la ricezione della stessa (PEC, firma per presa visione).
PRINCIPIO DI RESPONSABILIZZAZIONE DEI TITOLARI. MISURE TECNICHE E ORGANIZZATIVE. OBBLIGO DI DIMOSTRAZIONE.
Le associazioni devono effettuare il trattamento dei dati nel rispetto del regolamento e “deve essere in grado di comprovarlo” (responsabilizzazione).
Al fine di rispettare il regolamento sulla privacy non sussiste elenco tassativo di misure completo ed esaustivo da porre in essere, ma il nuovo regolamento, introducendo il principio di responsabilizzazione, si limita a obbligare i titolari e i responsabili a mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Il regolamento attribuisce la responsabilità al titolare che deve attuare le misure, sempre aggiornate “tenendo conto della natura, dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche” (Art.24). Inoltre è stato introdotto l’obbligo di dimostrazione che il trattamento è effettuato nel rispetto del regolamento.
Pertanto il titolare del trattamento nel decidere quali misure adottare dovrò effettuare una valutazione dei rischi dei dati trattati in associazione.
Il Regolamentò impone e/o suggerisce le modalità per tenere traccia di una policy privacy adeguata in modo che il titolare possa rispettare l’obbligo di dimostrazione che il trattamento di dati è conforme al regolamento.
RUOLI: TITOLARE RESPONSABILE PERSONE AUTORIZZATE AL TRATTAMENTO (Incaricati)
Al fine di adottare misure organizzative dimostrabili è necessario verificare ruoli e responsabilità in ordine a tali trattamenti, tracciandoli con apposita documentazione.
Di norma, l’associazione in quanto tale è titolare del trattamento. Si ricorda che il titolare del trattamento ha una responsabilità generale sull’attuazione della normativa che non viene meno quando esternalizza i trattamenti o incarica persone specifiche.
In ogni caso quando l’associazione esternalizza l’effettuazione di un trattamento di dati o parte di esso ad un altro soggetto (persona fisica o società), deve designarlo responsabile del trattamento (art.28). L’associazione potrebbe ricorrere a soggetti esterni, ad esempio, in caso di trasmissione dei dati personali al Commercialista o al consulente del lavoro (buste paga. Inoltre ricorre a soggetti esterni per determinati servizi rivolti agli iscritti.
In tal caso, l’associazione ha la responsabilità di ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato.
L’atto con cui il titolare designa un responsabile del trattamento deve trattarsi di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28.
Il regolamento consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3);
Infine, come in passato, ogni Associazione designerà incaricati al trattamento i dipendenti e i collaboratori autorizzati al trattamento dei dati personali sotto l’autorità diretta del titolare.
A differenza del Codice privacy italiano, il regolamento non prevede espressamente la figura dell’ “incaricato” del trattamento (ex art. 30 Codice), ma fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (si veda, in particolare, art. 4, n. 10, del regolamento).
Il Garante[2] ha affermato che “alla luce del principio di “responsabilizzazione” di titolari e responsabili del trattamento si ritiene opportuno che titolari e responsabili del trattamento mantengano in essere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante”
REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO (ART.30)
Per agevolare l’identificazione e l’analisi dei dati trattati, la valutazione dei rischi, l’adozione di misure idonee a proteggere i dati e aumentare la consapevolezza e la responsabilità dei soggetti coinvolti, i titolari e i responsabili del trattamento che trattano particolari categorie di dati tra cui i dati che rilevano l’appartenenza sindacale o dati sanitari devono detenere, in forma scritta, anche in formato elettronico, un registro delle attività di trattamento svolte sotto la propria responsabilità.
Il Garante ha affermato che “si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda” Su richiesta, l’associazione deve mettere il registro a disposizione del Garante.
Pertanto tutte le associazioni devono detenere il registro delle attività di trattamento, anche in formato elettronico.
Il contenuto minimo obbligatorio del registro è indicato nel regolamento.
VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DEI DATI PERSONALI (DPIA)
Qualora nell’ambito della valutazione del rischio il titolare del trattamento verifica che il trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche” il titolare è obbligato ad effettuare e formalizzare in un documento la valutazione di impatto sulla protezione dei dati personali (art. 35, paragrafo 1).
La DPIA, pertanto, non è obbligatoria per ogni singolo trattamento.
Federfarma ha effettuato una analisi preventiva in relazione ai trattamenti di dati più comunemente effettuati dalle Associazioni al fine di valutare se, per quei trattamenti, siano obbligate ad effettuare una DPIA, tenendo conto delle indicazioni fornite dallo stesso Regolamento e delle Linee-guida del Gruppo di lavoro art. 29 n. 248 concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679.
- Trattamento dei dati degli iscritti
Si ritiene che in riferimento ai dati degli iscritti, le associazioni provinciali e le Unioni regionali, non effettuino trattamenti su larga scala. Manca il requisito del trattamento di una “notevole quantità di dati” che può incidere su un “vasto numero di interessati”. Inoltre, è un trattamento circoscritto a livello territoriale. Pertanto, per tali trattamenti, l’associazione non è obbligata ad effettuare una valutazione di impatto sulla protezione dei dati personali.
- Trattamenti di dati sanitari mediante farma 32 on line
Invece, per quanto riguarda il trattamento di dati utilizzando “farma 32 on line”, essendo su larga scala, è necessaria una valutazione di impatto sulla protezione dei dati. Tuttavia, essendo un trattamento standardizzato, sarà Promofarma a mettere a disposizione la valutazione di impatto sulla protezione dei dati personali alle singole associazioni e alle farmacie.
Ogni eventuale ulteriore trattamento di dati non assimilabile a quelli standard indicati deve essere valutato dalla Associazione utilizzando i criteri di cui alle Linee-guida del Gruppo di lavoro ex art.
29 n. 248, al fine di verificare la sussistenza del rischio elevato per i diritti e le liberta delle persone fisiche e del conseguente obbligo di effettuare una valutazione di impatto sulla protezione dei dati personali.
MISURE DI SICUREZZA (ART. 32)
Non esiste più un elenco tassativo di misure di sicurezza adottato dal legislatore ma ogni titolare del trattamento dovrà scegliere e adottare misure organizzative e tecniche adeguate per garantire un livello di sicurezza adeguato al rischio.
Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Obbligo di fornire istruzioni
Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento.
NOTIFICA IN CASO DI VIOLAZIONE DI DATI PERSONALI – DATA BREACH (ART.33)
Il Regolamento introduce un nuovo obbligo consistente nella notifica all’autorità di controllo, di casi di violazione dei dati personali.
Per violazione di dati personali si intende la distruzione, perdita, modifica, divulgazione non autorizzata l’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati (comma 2 art.33).
La notifica non deve essere fatta qualora il titolare del trattamento ritenga sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
La notifica deve essere entro 72 ore dal momento in cui ne è venuto a conoscenza. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
RESPONSABILE DELLA PROTEZIONE DEI DATI (DPO – Data protection officer)
In base all’art.37 del regolamento, tutti i soggetti pubblici e alcuni soggetti privati, in presenza di determinati trattamenti, dovranno obbligatoriamente nominare un responsabile della protezione dei dati (DPO – Data protection officer) che abbia una conoscenza specialistica della normativa in materia di protezione dei dati personali e che possa assistere il titolare del trattamento o il responsabile del trattamento nell’attuazione della normativa.
Saranno obbligati a nominare il DPO tutti i soggetti pubblici, e
- i soggetti privati la cui attività principale consiste nel trattamento di particolari categorie di dati su larga scala tra cui i dati sanitari;
- oppure i soggetti privati che effettuato trattamenti su larga scala che richiedono un monitoraggio regolare e sistematico dei dati.
Anche a seguito di un confronto con il Garante della privacy in merito a tale problematica si è giunti alle conclusioni di seguito specificate. Le Associazioni provinciali o le Unioni regionali oltre a trattare i dati personali degli iscritti sono delegate dalle farmacie in virtù dell’art.50 legge 24 novembre 2003, n. 326 a trasmettere telematicamente i dati delle prescrizioni di farmaci al Ministero dell’Economia. Per effettuare tale trattamento relativo all’invio dei dati, in qualità di responsabili del trattamento, le associazioni provinciali di titolari di farmacia si avvalgono di una piattaforma informatica web messa a disposizione da una società unipersonale di Federfarma, denominata Promofarma. Si tratta pertanto di un trattamento standardizzato e uniforme, le cui modalità e le condizioni di sicurezza sono decise da Promofarma.
Altro analogo trattamento che prevede un flusso simile, diretto in tal caso al Ministero della salute, è previsto dal DPR 371/1998 che all’art.8, comma 2, che prevede per le farmacie l’obbligo di consegna – per il tramite di Federfarma – dei dati delle prescrizioni. Anche in tal caso, la raccolta viene effettuata dalle associazioni tramite la medesima piattaforma di Promofarma.
In tal caso sussiste il requisito del trattamento di dati sanitari su larga scala che obbliga le associazioni a nominare un DPO.
Tuttavia, Federfarma, dopo essersi consultata con gli uffici del Garante, ritiene che la nomina di tanti DPO quanti sono le associazioni per un trattamento standardizzato gestito da Promofarma appare superfluo. Sarà pertanto Promofarma, società unipersonale di Federfarma, a mettere a disposizione gratuitamente delle associazioni che si avvalgono della piattaforma farma 32 on line di Promofarma un unico DPO.
Al fine di agevolare il lavoro del DPO designato da Promofarma, ogni associazione provinciale deve comunicare il nominativo di un referente con il quale il DPO potrà agevolmente interloquire, per le questioni inerenti la gestione dei dati personali.
Ogni Associazione, nel caso in cui tratti dati sanitari su larga scala a diverso titolo dalla fattispecie precedente (farma 32 on line) – sia in qualità di responsabile del trattamento che di titolare di trattamento – è obbligata a designare un autonomo responsabile della protezione dei dati (DPO). Si pensi al caso in cui alcune unioni o associazioni sono nominate responsabili del trattamento nell’ambito degli accordi di DPC o assistenza integrativa che prevedono la messa a disposizione della parte pubblica di piattaforme informatiche (ad es. web dpc) che trattano i dati dei cittadini.
DIRITTO DI ACCESSO, RETTIFICA, CANCELLAZIONE, LIMITAZIONE E PORTABILITÀ DEI DATI
Diritto alla portabilità del dato
L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti (art. 20 GDPR)
Il considerando 68 promuove lo sviluppo di formati interoperabili da parte dei titolari così da consentire la portabilità dei dati, ma non configura un obbligo in capo ai titolari stessi di introdurre o mantenere sistemi di trattamento tecnicamente compatibili.
Inoltre, l’art. 20, paragrafo 2, obbliga il titolare a trasmettere i dati portabili direttamente a un diverso titolare “se tecnicamente fattibile”.
Diritto di accesso dell’interessato
L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali
Diritto di rettifica
L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Diritto alla cancellazione («diritto all’oblio»)
L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
- a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolto altrimenti trattati;
- b) l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento;
- c) l’interessato si oppone al trattamento e non sussiste (diritto di opposizione al trattamento) alcun motivo legittimo prevalente per procedere al trattamento,
- d) i dati personali sono stati trattati illecitamente;
- e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
- f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.
***
Come sopra detto Promofarma metterà a disposizione delle Associazioni, a titolo gratuito, una Piattaforma informatica che consentirà l’adeguamento alla normativa sopra descritta. In particolare oltre ad agevolare la valutazione dei rischi, consentirà
- la redazione e la detenzione del registro delle attività di trattamento
- l’individuazione delle misure tecniche ed organizzative adeguate
- la redazione delle designazioni a responsabile ed incaricato al trattamento
- la redazione delle informative
- la gestione degli adempimenti relativi data breach
- l’individuazione delle modalità per il rispetto per i diritti degli interessati
[1] Art.4. 1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
[2] Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personal