INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
Servizio Prenotazione Farmaci con Ricetta (ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 - GDPR)
1. Titolare del Trattamento Il Titolare del Trattamento dei dati raccolti tramite l'utilizzo della piattaforma online "Prenotazione Farmaci Online con Ricetta Medica Lafarmacia." è Hippocrates Holding S.p.A., con sede legale in Via Emilio Cornalia, 11, Milano – 20124, P. IVA/ C.F. 10264830968 (di seguito, il "Titolare" o "Hippocrates"). Responsabile della Protezione dei Dati (DPO): Avv. Ugo Ettore Di Stefano, contattabile all'indirizzo: dpo@hippocratesholding.com. Per qualsiasi richiesta relativa ai cookie è possibile contattare il Titolare all'indirizzo: privacy@hippocratesholding.com.Nota bene: Le farmacie Lafarmacia. sono sedi operative di Hippocrates, unico Titolare del trattamento. Il personale della farmacia selezionata dall'utente accede ai dati di prenotazione nell'ambito del trattamento effettuato da Hippocrates, agendo come soggetto autorizzato al trattamento ai sensi dell'art. 29 del GDPR e dell'art. 2-quaterdecies del Codice Privacy.2. Tipologia di dati trattatiAi fini dell'erogazione del servizio proposto, vengono richiesti e trattati i seguenti dati:
Dati anagrafici e di contatto: Codice Fiscale del titolare della ricetta (abbinato all'NRE) e Codice Fiscale del soggetto che effettua la prenotazione (che può coincidere con il precedente o essere diverso, ad esempio nel caso di genitore che prenota per un figlio o di soggetto delegato), Nome, Cognome, Indirizzo e-mail e Recapito telefonico.
Dati relativi alla salute: Identificativo della prescrizione (Numero Ricetta Elettronica - NRE) ed eventuale preferenza sulla tipologia di farmaco (opzionale). Il codice NRE non contiene informazioni cliniche; tuttavia, in quanto dato idoneo a rivelare lo stato di salute dell'interessato, è trattato quale dato di categoria particolare ai sensi dell'art. 9 GDPR, con le garanzie e le basi giuridiche indicate al paragrafo 3.
Dati tecnici e di navigazione: Indirizzi IP, file di log di sistema e dati di tracciamento tecnico di sessione necessari per il funzionamento dell'area privata. Il servizio di prenotazione è integrato nel sito Lafarmacia.it e non costituisce una piattaforma separata. I cookie utilizzati sono pertanto gli stessi del sito principale e il consenso viene raccolto al primo accesso tramite il banner cookie presente sul sito. Per l'elenco aggiornato dei cookie installati si rimanda alla Cookie Policy generale del sito Lafarmacia.it, disponibile nella sezione dedicata.
3. Finalità e Base Giuridica del TrattamentoI Suoi dati verranno trattati per le seguenti finalità:A. Esecuzione del servizio di prenotazione farmaci: Per consentire l'invio dei riferimenti della Sua prescrizione medica alla farmacia Lafarmacia. scelta, permettendo a quest'ultima di acquisire l'ordine e preparare il medicinale. Base giuridica: Esecuzione di misure precontrattuali e contrattuali (Art. 6, par. 1, lett. b del GDPR). Trattandosi di dati idonei a rivelare lo stato di salute, il trattamento è altresì lecito ai sensi dell'Art. 9, par. 2, lett. h del GDPR (finalità di cura o assistenza sanitaria), in quanto il trattamento avviene sotto la responsabilità del personale farmacista, soggetto a segreto professionale ai sensi della normativa vigente.B. Funzionalità "Area Privata" (Recupero prenotazioni): Per permetterle di recuperare e visualizzare lo storico delle Sue prenotazioni tramite la piattaforma. L'accesso avviene in modalità ospite (Guest), senza necessità di credenziali dedicate: il sistema riconosce l'utente tramite il Codice Fiscale e i dati di contatto forniti in fase di prenotazione. L'accesso e le operazioni effettuate nell'Area Privata sono registrati nei log di sistema ai fini di sicurezza. L'utente è responsabile della riservatezza dei propri dati di accesso e di eventuali utilizzi effettuati da terzi in sua vece. Base giuridica: Esecuzione del contratto o di misure precontrattuali (Art. 6, par. 1, lett. b del GDPR).C. Sicurezza, prevenzione frodi e Troubleshooting IT (Logging): Per il tracciamento tecnico delle operazioni (log) al fine di garantire la sicurezza e l'integrità delle reti, prevenire accessi non autorizzati o frodi, e gestire la risoluzione di guasti tecnici. Base giuridica: Legittimo interesse del Titolare (Art. 6, par. 1, lett. f del GDPR).D. Riconoscimento dell'utente già registrato (funzionalità di riconoscimento tramite Codice Fiscale): Al momento della compilazione del form di prenotazione, il sistema verifica in tempo reale, tramite il Codice Fiscale inserito dall'utente, se quest'ultimo sia già presente nell'anagrafica clienti di Hippocrates. Qualora l'utente risulti già registrato, la piattaforma lo informa dinamicamente della sua condizione di cliente esistente, offrendogli la possibilità di accedere al proprio profilo per recuperare i dati di contatto già in possesso di Hippocrates e, ove necessario, integrarli o aggiornarli. Base giuridica: Esecuzione di misure precontrattuali e contrattuali (Art. 6, par. 1, lett. b del GDPR). Il trattamento è strettamente funzionale all'erogazione del servizio e alla corretta identificazione dell'utente, nel rispetto del principio di minimizzazione dei dati.E. Aggiornamento dell'anagrafica cliente (integrazione dati di contatto): Qualora l'utente risulti già registrato e i dati di contatto presenti in anagrafica siano incompleti (es. indirizzo e-mail o recapito telefonico assenti), il sistema offre all'utente la possibilità di fornire i dati mancanti nel corso del flusso di prenotazione. I dati così forniti saranno utilizzati per aggiornare il profilo cliente esistente nel sistema CRM di Hippocrates Holding S.p.A. (Salesforce), al fine di garantire la correttezza e completezza delle informazioni necessarie per l'erogazione del servizio e per le comunicazioni connesse al rapporto contrattuale in essere. Base giuridica: Esecuzione del contratto (Art. 6, par. 1, lett. b del GDPR), nell'ambito della gestione del programma fedeltà e del rapporto contrattuale con il cliente già registrato. I dati così raccolti non saranno utilizzati per finalità di profilazione o marketing al di là dei consensi già prestati dall'interessato nell'ambito dell'informativa Fidelity. Eventuali utilizzi ulteriori richiedono consenso specifico.F. Adempimento di obblighi di legge (fiscali, contabili e amministrativi): Per l'adempimento degli obblighi previsti dalla normativa vigente, ivi compresi quelli in ambito fiscale e contabile. Base giuridica: Adempimento di un obbligo legale al quale è soggetto il Titolare del trattamento (Art. 6, par. 1, lett. c del GDPR).G. Difesa di un diritto in sede giudiziaria: In caso di contenzioso con l'interessato. Base giuridica: Legittimo interesse del Titolare (Art. 6, par. 1, lett. f e Art. 9, par. 2, lett. f del GDPR).H. Attività di Marketing e Comunicazione Informativa Generica: Per l'invio di newsletter, materiale promozionale, comunicazioni commerciali e inviti a iniziative legate alle farmacie del gruppo (marketing generico). Per questa finalità saranno trattati esclusivamente i Suoi dati anagrafici e di contatto, con assoluta esclusione dei dati relativi alla salute (NRE e preferenze sui farmaci). Base giuridica: Il Suo consenso esplicito e facoltativo (Art. 6, par. 1, lett. a del GDPR). Il mancato conferimento del consenso non pregiudica in alcun modo l'utilizzo del servizio di prenotazione.I. Profilazione e Marketing Personalizzato (su base clinica): Per la personalizzazione delle comunicazioni commerciali e delle offerte sulla base della Sua storia di prenotazione, incluse le tipologie di farmaci prescritti e i relativi identificativi (NRE), al fine di proporle servizi, prodotti e iniziative di salute più aderenti alle Sue specifiche esigenze. Base giuridica: Il Suo consenso esplicito e facoltativo (Art. 6, par. 1, lett. a, e Art. 9, par. 2, lett. a del GDPR). Il mancato conferimento del consenso non pregiudica in alcun modo l'utilizzo del servizio di prenotazione. La informiamo che, a tutela dei Suoi diritti, le attività di elaborazione algoritmica necessarie per questa specifica finalità saranno tecnicamente attivate dal Titolare esclusivamente a seguito del positivo completamento di un'apposita Valutazione d'Impatto sulla Protezione dei Dati (DPIA) ai sensi dell'art. 35 del GDPR. Non vengono utilizzati processi decisionali basati esclusivamente su elaborazioni automatiche, inclusa la profilazione.4. Modalità di Trattamento e Misure di SicurezzaIl trattamento dei dati avviene in formato elettronico su server protetti. Hippocrates adotta tutte le necessarie misure di sicurezza tecniche e organizzative per proteggere i Suoi dati personali da accessi non autorizzati, alterazioni, divulgazione, perdita o distruzione. Tutte le comunicazioni tra la piattaforma, i sistemi delle farmacie e il dispositivo dell'utente avvengono in modalità cifrata e autenticata.5. Categorie di Destinatari dei datiI Suoi dati potranno essere condivisi con il personale autorizzato della farmacia Lafarmacia. da Lei selezionata, che opera quale soggetto autorizzato al trattamento nell'ambito di Hippocrates, nonché con soggetti terzi che svolgono attività in outsourcing per conto di Hippocrates, quali fornitori di servizi informatici, hosting provider e società di assistenza tecnica.Per le finalità D ed E (riconoscimento utente e aggiornamento anagrafica), i dati di contatto del cliente già registrato potranno essere trasmessi al sistema CRM di Hippocrates Holding S.p.A. (Salesforce), nominato Responsabile del Trattamento ai sensi dell'art. 28 GDPR, con server localizzati nel SEE o con adeguate garanzie per eventuali trasferimenti extra-SEE.Tali soggetti terzi tratteranno i dati esclusivamente in qualità di Responsabili del Trattamento (art. 28 GDPR) nominati da Hippocrates, con vincoli di riservatezza e sicurezza. I Suoi dati non saranno diffusi.6. Trasferimento dei datiIl Titolare non trasferisce dati personali verso Paesi terzi al di fuori del SEE, salvo il caso dei fornitori di servizi tecnologici nominati Responsabili ex art. 28 GDPR (es. Salesforce) per i quali sono in ogni caso garantite adeguate tutele ai sensi degli artt. 46-47 GDPR (Clausole Contrattuali Standard o altri meccanismi di trasferimento adeguati).7. Periodo di ConservazioneI dati personali raccolti verranno conservati nel rispetto del principio di minimizzazione:
I dati relativi alle prenotazioni e necessari per il funzionamento dell'Area Privata saranno conservati per un periodo di 24 mesi dall'ultima prenotazione effettuata. Tale periodo decorre dall'ultima prenotazione in quanto la funzionalità di storico è utile all'utente finché il servizio è attivamente utilizzato; in ogni caso salvo diversi obblighi di legge o richiesta di cancellazione anticipata da parte dell'interessato.
I dati provenienti da operazioni tecniche (Log di sistema) vengono memorizzati per il tempo strettamente necessario a garantire la sicurezza delle reti e verranno cancellati al più tardi dopo 24 mesi.
8. Diritti dell'InteressatoAi sensi degli artt. 15 e ss. del GDPR, Lei ha il diritto di chiedere ad Hippocrates l'accesso ai propri dati personali, la rettifica, la cancellazione degli stessi, la limitazione del trattamento o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati. In particolare, con riferimento ai trattamenti basati sul legittimo interesse del Titolare (finalità C – logging tecnico), Lei ha il diritto di opporsi in qualsiasi momento al trattamento, ai sensi dell'art. 21 del GDPR, per motivi connessi alla Sua situazione particolare; in tal caso il Titolare si asterrà dal trattare ulteriormente i dati personali salvo che sussistano motivi legittimi cogenti che prevalgano sugli interessi, sui diritti e sulle libertà dell'interessato. Le richieste vanno rivolte per iscritto ai recapiti indicati al paragrafo 1 della presente informativa. In ogni caso, Lei ha sempre il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali, qualora ritenga che il trattamento dei propri dati sia contrario alla normativa in vigore.