Brescia, 29 aprile 2004 atf - federfarma brescia associazione dei titolari di farmacia della provincia di brescia Circ. n. 151 A tutti i Signori Titolari e Direttori di farmacia Loro Sedi Oggetto: Privacy: Provvedimento del Garante in materia di notificazione dei dati personali Federfarma comunica che il Garante per la protezione dei dati personali, con Provvedimento Generale n. 1 del 31 marzo 2004, pubblicato sulla Gazzetta Ufficiale n. 81 del 6 aprile 2004, (allegato n.1) ha individuato, tra i casi previsti dall art. 37, comma 1, del Codice in materia di protezione dei dati personali, i trattamenti di dati personali che sono sottratti all obbligo di notificazione al Garante. Già Federfarma aveva ricordato che l obbligo di notificazione non riguarda l intera categoria dei farmacisti, ma solo, in casi del tutto marginali, coloro che effettuano alcuni trattamenti indicati nell art. 37 del Codice. Con il provvedimento n. 1/2004 il Garante per la protezione dei dati personali ha ulteriormente semplificato la materia, individuando, nell ambito dei trattamenti di cui all art. 37, alcune tipologie di trattamenti che non devono essere notificati. Alla luce di quanto stabilito dal Codice e dal Provvedimento del Garante, Federfarma riepiloga l elenco dei trattamenti da notificare che riguardano più da vicino le farmacie e le organizzazioni territoriali. 1. Dati idonei a rivelare lo stato di salute (art. 37, comma 1, lett. b del Codice e lett. A, punto 2 del Provvedimento del garante) Per quanto riguarda tale tipologia di dati, sono obbligati alla notificazione solo ed esclusivamente: - coloro che conservano banche dati, accessibili a terzi per via telematica, nelle quali vengono sistematicamente registrate informazioni riguardanti procreazione assistita, trapianti di organi e tessuti, malattie mentali, infettive e diffusive, sieropositività e quando la conservazione di tali dati non è indispensabile per la tutela della salute o dell incolumità fisica dell interessato o di un terzo. - Chiunque tratti dati idonei a rivelare lo stato di salute per effettuare prestazioni di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni. Ogni altro tipo di trattamento di dati idonei a rivelare lo stato di salute effettuato dalle farmacie e dalle associazioni non fa scaturire l obbligo di notificazione. 25125 brescia - via grandi, 18 - tel. 030 3581541-030 3582054 - fax 030 3582002 - c.f. 80017970171 http://www.federfarma.brescia.it - e-mail: atfbs@tin.it
Il garante, inoltre, ha espressamente escluso dall obbligo di notificazione il trattamento di dati idonei a rivelare lo stato di salute ad esclusivi fini di monitoraggio della spesa sanitaria o di adempimento di obblighi normativi in materia di igiene e sicurezza del lavoro e della popolazione. Pertanto, il trattamento dei dati sanitari effettuato in occasione degli adempimenti previsti dalla legge n.626 del 1994 non deve essere notificato al Garante. 2. Dati idonei a rivelare la vita sessuale e la sfera psichica trattati da associazioni a carattere sindacale (art. 37, comma 1, lett. c del Codice e lett. A, punto 3 del Provvedimento del garante) Sono soggetti all obbligo di notificazione le associazioni a carattere sindacale che trattano dati idonei a rivelare la vita sessuale o la sfera psichica degli interessati. Tuttavia la notificazione è esclusa quando tali trattamenti riguardano i dati idonei a rivelare la vita sessuale e la sfera psichica dei lavoratori e sono effettuati per adempiere esclusivamente a specifici obblighi o compiti previsti dalla normativa in materia di rapporto di lavoro o di previdenza, anche in tema di diritto del lavoro dei disabili. 3. Dati trattati con l ausilio di strumenti elettronici volti a definire le scelte di consumo e il profilo dell interessato (art. 37, comma 1, lett. d del Codice e lett. A, punto 4 del Provvedimento del garante) Sono soggetti all obbligo di notificazione: - le farmacie che trattano dati, anche non sensibili, con l ausilio di strumenti elettronici volti o ad analizzare abitudini o scelte di consumo. Nell ambito di tale trattamento rientra certamente l utilizzazione di programmi di gestione delle fidelity card che consentono di individuare le scelte di consumo del cliente. - Chiunque tratti dati volti a definire il profilo o la personalità dell interessato salvo che il trattamento sia volto a definire profili professionali per esclusive finalità di occupazione o di gestione del rapporto di lavoro e non effettuato unicamente con modalità automatizzate. Rimangono soggetti all obbligo di notificazione i titolari di trattamenti di dati sensibili registrati in banche dati ai fini di selezione del personale per conto terzi (art. 37, comma1, lett. e) 4. Dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie (art. 37, comma 1, lett. e del Codice e lett. A, punto 5 del Provvedimento del garante) Il Codice obbliga chiunque tratti dati sensibili utilizzati per sondaggi di opinione e ricerche di mercato e altre ricerche campionarie ad effettuare la notificazione.
Il Garante ha escluso dall obbligo di notificazione le associazioni e le organizzazioni di categoria che effettuano tale trattamento al solo fine di svolgere ricerche campionarie relativamente a dati riguardanti l adesione alla medesima associazione o organizzazione. 5. Dati registrati in banca dati gestite con strumenti elettronici (art. 37, comma 1, lett. f del Codice e lett. A, punto 6 del Provvedimento del garante) L art. 37 del Codice ha posto l obbligo di notificazione in caso di trattamento di dati registrati in apposite banche dati gestite con strumenti elettronici relative: - al rischio sulla solvibilità economica; - alla situazione patrimoniale; - al corretto adempimento di obbligazioni; - a comportamenti illeciti o fraudolenti. In relazione alle ipotesi sopra indicate, il Garante ha escluso l obbligo della notificazione in caso di trattamento di dati: - registrati in banche di dati utilizzate in rapporti con l interessato, di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l interessato; - registrati in banche di dati utilizzate da soggetti pubblici o privati per adempiere esclusivamente ad obblighi normativi in materia di rapporto di lavoro, previdenza o assistenza; - relativi a immagini o suoni conservati temporaneamente per esclusive finalità di sicurezza o di tutela delle persone o del patrimonio. In particolare, il Garante ha escluso l obbligo di notificazione in caso di videosorveglianza, solo nel caso in cui le immagini vengano conservate temporaneamente e nel caso in cui i dispositivi di videosorveglianza vengano installati per esclusive finalità di sicurezza o di tutela delle persone o del patrimonio. 6. Modalità e scadenze per la notificazione del trattamento Il Garante, con Scheda informativa del 1 gennaio 2004 (allegato n. 2), pubblicata sul sito www.garanteprivacy.it e riportata nella sezione approfondimenti del sito federale, ha fornito le istruzioni per effettuare la notificazione via internet mediante la compilazione di schede presenti all indirizzo web https://web.garanteprivacy.it/rgt/notificatelematica.php Il Garante, in tale occasione, ha precisato che i soggetti obbligati ad effettuare la notificazione, se trattavano i dati da notificare anteriormente al 1 gennaio 2004, hanno tempo per adempiere alla notificazione fino al 30 aprile 2004. Invece, tutti i soggetti che intendono iniziare ad effettuare il trattamento dei dati da notificare dopo il 1 gennaio 2004, sono obbligati ad effettuare la notificazione prima di iniziare il trattamento.
ULTERIORI CHIARIMENTI DEL GARANTE SUI TRATTAMENTI DA NOTIFICARE Il Garante per la protezione dei dati personali, con proprio parere del 23 aprile 2004, (allegato n. 1) ha fornito ulteriori chiarimenti in merito alla normativa sulla notificazione dei dati personali al Garante. Pertanto, diamo ulteriori indicazioni alle farmacie e alle organizzazioni in indirizzo su alcuni particolari trattamenti di dati personali alla luce del parere del Garante. Videosorveglianza Non è soggetta all obbligo di notificazione la rilevazione di immagini o suoni, anche con impianti a circuito chiuso, presso immobili o edifici ove si svolgono attività del titolare del trattamento (locali commerciali, professionali o aziendali, nonché le relative aree perimetrali, adibite a parcheggi o a carico scarico merci, accessi, uscite di emergenza) a meno che, anche mediante interazione con altri sistemi (ad esempio con sistemi a rilevazione satellitare), il titolare possa rilevare le diverse ubicazioni o spostamenti di persona o di un oggetto in determinati luoghi o aree sul territorio. Le immagini devono essere conservate temporaneamente per esclusive finalità di sicurezza o di tutela delle persone o del patrimonio. Registrazione di ingressi o uscite presso luoghi di lavoro Di norma, la registrazione di ingressi o uscite presso luoghi di lavoro tramite tessere elettromagnetiche, codici di accesso ed altri dispositivi non fanno scaturire l obbligo di notificazione al Garante. L obbligo di notificazione sorge solo nell ipotesi in cui il titolare del trattamento possa rilevare la diverse ubicazioni o spostamenti di una persona in determinati luoghi o aree sul territorio. Fidelity card Il Garante ha chiarito che l obbligo di notificazione del trattamento di dati personali mediante l utilizzazione di carte elettroniche di fidelizzazione sorge solo ed esclusivamente quando i dati sono rilevati mediante dei programmi volti ad analizzare abitudini o scelte di consumo. Ai fini dell obbligo di notificazione, gli strumenti elettronici utilizzati devono essere configurati e impiegati per definire o valutare il profilo o la personalità dell interessato, oppure per analizzare le sue abitudini o scelte di consumo. I sistemi o programmi informatici devono essere finalizzati a registrare, elaborare o raffrontare specifiche annotazioni per studiare il comportamento o le preferenze dei singoli interessati od utenti individuati nominativamente o identificabili anche indirettamente mediante codici. Pertanto non deve essere notificato il trattamento effettuato al solo fine di fornire all interessato beni, prestazioni o servizi con l ausilio di strumenti elettronici finalizzati alla gestione del relativo rapporto, all invio di eventuali comunicazioni commerciali e al controllo della qualità di servizi offerti senza procedere ad alcuna profilazione degli interessati. La scrivente, pertanto, ritiene che siano obbligate ad effettuare la notificazione al Garante le farmacie che utilizzano programmi di gestione delle carte elettroniche che consentano di conservare in una banca dati tutti gli acquisti effettuati dal cliente con l indicazione del prodotto acquistato.
Se invece il programma consente di registrare solo ed esclusivamente l importo dell acquisto, tale strumento elettronico non è idoneo ad analizzare le scelte di consumo del cliente e pertanto tale trattamento non fa sorgere l obbligo di notificazione. Prestazione di servizi sanitari per via telematica E tenuto alla notificazione chi eroga servizi sanitari per via telematica relativi ad una banca di dati o alla fornitura di beni. Il garante ha chiarito che non devono essere notificati i trattamenti di dati sanitari effettuati nell ambito di servizi di assistenza o consultazione sanitaria per via telefonica. La scrivente precisa che, di norma, le farmacie che effettuano servizi sanitari per via telematica (come ad esempio il servizio di telecardiologia) sono nominate responsabili o incaricati del trattamento da parte del titolare del trattamento che gestisce tali servizi e che conserva la banca dati contenente dati sensibili. In tal caso non sorge l obbligo a carico delle farmacie di effettuare la notifica. Ricordiamo che il termine ultimo per la notificazione del trattamento è il 30 aprile 2004. Cordiali saluti. Il Presidente (Dr. Renato Grendene) Questa circolare è resa disponibile per le farmacie, dalla data di emissione, sul sito www.federfarma.brescia.it