Privacy in farmacia: responsabilità e sanzioni

L’art. 83 GDPR regola le sanzioni (amministrative) e le ipotesi sanzionabili nell'ambito del Regolamento UE.

L’art. 83.4 riguarda le violazioni di minore gravità: le sanzioni sino a 10 milioni di euro
o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Queste ipotesi riguardano la violazione degli obblighi del titolare ed il responsabile del trattamento (es. privacy by design e by default, Registri delle attività di trattamento, misure di sicurezza e Data Breach, Valutazione di Impatto e DPO) ed altri obblighi.

L’art. 83.5, riguarda le violazioni di maggiore gravità, sanzionabili sino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

L'articolo regola la violazione dei principi di base del trattamento, comprese le condizioni relative al consenso; la violazione dei diritti degli interessati; i trasferimenti di dati personali a un destinatario in un Paese Terzo o un’organizzazione internazionale; qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX.

Dal punto di vista penale, gli articoli più importanti sono l’art. 167 (Trattamento illecito dei dati), l’art. 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala), l’art. 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala) regola le fattispecie di uso illegittimo dei dati personali. L’art. 168 riguarda la falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante, mentre l’articolo 170 tratta l'inosservanza dei provvedimenti del Garante.

Infine, da un punto di vista di responsabilità civilistica, dobbiamo ricordare la responsabilità per danno causato all’interessato per violazione del GDPR.

L’art. 82 GDPR stabilisce che chiunque subisca un danno materiale o immateriale, causato da una violazione del GDPR, ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario, rispetto alle legittime istruzioni del titolare del trattamento.

Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2, se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.

Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.

Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2 (in Italia, il giudice ordinario).

Le responsabilità del Titolare e del responsabile sono, quindi, piuttosto rilevanti anche nell'ambito delle Farmacie: occorre porre la giusta attenzione a mettere in atto azioni e procedure volte ad un'effettiva e dimostrabile protezione del dato personale.

pharmakon

Lo spazio dedicato al Farmacista Territoriale che propone contenuti formativi, informativi e di intrattenimento su misura per i professionisti del benessere

pharmakonpharmakon