Informativa per il trattamento dei dati personali 2020

PHARMACARE S.r.l., P.IVA 09587890964, con sede in Milano, Via Locatelli, 4, in persona del legale rappresentante pro-tempore, PEC phadise@pec.it – di seguito “Titolare”;

in qualità di Titolare del trattamento dati, La informa ai sensi dell’art. 13 Regolamento UE n. 2016/679 (in seguito, “GDPR”) che i Suoi dati saranno trattati, nel rispetto dei principi di correttezza, liceità e pertinenza, con le modalità e per le finalità seguenti:

1 – Oggetto del trattamento

Il Titolare tratta i dati personali, identificativi (ad esempio nome, cognome, indirizzo, telefono, e-mail, riferimenti bancari e di pagamento) – in seguito, “dati personali”– e sanitari (art. 4.15 GDPR) – in seguito congiuntamenti anche “dati” – da Lei comunicati e raccolti attraverso la piattaforma web PharmaCare^Æ e/o gli applicativi connessi, al fine di garantirle l’accesso ai servizi offerti dal Titolare.

2 – Fonte dei dati personali identificativi e sanitari

I dati personali identificativi e sanitari trattati dal Titolare sono raccolti presso l’interessato o, in caso di impossibilità fisica o di incapacità di intendere e di volere dell’interessato, presso il legale rappresentante o il prossimo congiunto o il familiare o il convivente o un responsabile della struttura presso cui dimora l’interessato, dai responsabili esterni o dai soggetti autorizzati al trattamento appositamente nominati dal Titolare.

Qualora siano trattati dati personali di un minore, questi saranno raccolti presso gli esercenti la potestà genitoriale o i tutori legali.

I responsabili esterni e soggetti autorizzati raccolgono e comunicano i dati al Titolare nel rispetto degli obblighi contrattualmente assunti e, in ogni caso, nel rispetto delle norme vigenti.

3 – Finalità del trattamento

I dati personali acquisiti per lo svolgimento delle attività costituenti l’oggetto sociale della Società  sono trattati per finalità connesse esclusivamente allo svolgimento di tali attività – come di seguito meglio specificato – ed in particolare per tutti gli adempimenti necessari alla piena attuazione delle finalità normative e statutarie della Società, nel rispetto della normativa vigente e dei richiamati principi di liceità, correttezza, trasparenza, limitazione delle finalità e della conservazione, minimizzazione dei dati, esattezza, integrità e riservatezza in relazione ai fini per i quali sono trattati, al fine di supportare l’attività della Società, nonché per il perseguimento delle più generali finalità, anche di sicurezza, della stessa.

I Suoi dati personali sono trattati:

A) Anche senza il Suo consenso espresso (art. 6 lett. b), e) GDPR) per le seguenti finalità di servizio:

• Erogare i servizi offerti dal Titolare;
• Prestare assistenza tecnica, supporto e contatto nell’ambito dell’espletamento dei servizi offerti dal Titolare;
• Adempiere agli obblighi previsti dalla legge, da un regolamento, da una normativa comunitaria o da un ordine dell’Autorità;
• Esercitare i diritti del Titolare (come ad esempio il diritto di difesa in giudizio);
• Svolgere attività di statistica e ricerche di mercato con solo dati anonimi al fine di migliorare la qualità del servizio;

B) Solo previo Suo specifico e distinto consenso (art. 7 GDPR) per le seguenti finalità:

• InviarLe via e-mail e/o sms e/o contatti telefonici, contatti commerciali e/o materiale pubblicitario su prodotti o servizi offerti dal Titolare e da sue società controllate o ad esso collegate;
• InviarLe via e-mail e/o sms e/o contatti telefonici, contatti commerciali e/o promozionali su prodotti o servizi analoghi a quelli del Titolare offerti da terzi, garantendo l’accesso a sconti e promozioni dedicate agli iscritti PharmaCare^Æ;
• Svolgimento di attività di profilazione del comportamento sulle piattaforme e gli applicativi PharmaCare^Æ per riservare l’accesso a speciali offerte su misura e premi dedicati.

Le segnaliamo che se siete già nostri clienti, potremo inviarLe comunicazioni commerciali relative a servizi e prodotti del Titolare analoghi a quelli di cui ha già usufruito, salvo Suo dissenso (art. 130 comma 4 Codice Privacy).

C) I Suoi dati sanitari sono trattati solo previo Suo specifico e distinto consenso, esclusivamente per le seguenti finalità inerenti i servizi di prenotazione offerti tramite il software PharmaCare e per l’ottimizzazione dei servizi stessi:

• Erogare i servizi sanitari offerti dal Titolare attraverso la piattaforma PharmaCare^Æ e i relativi applicativi;
• Prestare assistenza tecnica, supporto e contatto nell’ambito della gestione e dell’espletamento dei servizi offerti dal Titolare, con il fine primario di tutelare la salute dell’interessato.

D) I Suoi dati sanitari sono trattati, esclusivamente in forma anonima, per le seguenti finalità:

• Effettuare statistiche e analisi di mercato, allo scopo di migliorare la capillarità e l’efficienza dei servizi di prenotazione offerti tramite la piattaforma PharmaCare^Æ;
• Trasmettere a soggetti terzi – comunque residenti nel territorio dell’Unione Europea – i risultati delle analisi di mercato e delle statistiche anonime effettuate.

I Suoi dati sanitari non saranno, in nessun caso, trattati per finalità di marketing, scopi commerciali e/o promozionali.

4 – Consenso

Il consenso al trattamento dei dati può essere validamente prestato:

• Dall’interessato;
• Dal legale rappresentante o prossimo congiunto o familiare o il convivente o un responsabile della struttura presso cui dimora l’interessato, nel caso di impossibilità fisica o di incapacità di intendere e di volere dell’interessato.

I minori possono prestare validamente il proprio consenso al trattamento dei dati solo a partire dai 18 anni di età. Per i minori di età inferiore ai 18 anni possono prestare consenso al trattamento dei dati coloro che esercitano la responsabilità genitoriale in qualità di genitori o tutori.

5 – Modalità del trattamento dei dati

Il trattamento dei Suoi dati personali e sanitari è realizzato per mezzo delle operazioni indicate dall’art. 4 Codice Privacy e dall’art. 4 n. 2 GDPR, e precisamente: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati.

I Suoi dati personali e sanitari sono sottoposti a trattamento elettronico e/o automatizzato, secondo le modalità e con strumenti idonei a garantire la sicurezza e la riservatezza dei dati stessi, in conformità di quanto previsto dall’art. 32 del Regolamento UE, dai vari Provvedimenti successivamente emanati, in modo che sia garantito almeno il livello minimo di sicurezza di protezione dei dati previsto dalla legge.

Il Titolare tratta i dati personali adottando le opportune misure di sicurezza volte ad impedire una qualsiasi violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Il trattamento viene effettuato mediante strumenti informatici e/o telematici, con modalità organizzative e con logiche strettamente correlate alle finalità indicate. Oltre al Titolare, in alcuni casi, potrebbero avere accesso ai dati categorie di soggetti autorizzati coinvolti nell’organizzazione del Sito (personale amministrativo, commerciale, marketing, amministratori di sistema) ovvero responsabili (come fornitori di servizi tecnici terzi, hosting provider, società informatiche, agenzie di comunicazione) nominati, se necessario, Responsabili del Trattamento da parte del Titolare.

Il trattamento dei dati personali per finalità di profilazione avverrà, in caso di consenso, con strumenti di elaborazione dati che, a seguito di incrocio, creeranno un profilo commerciale e comportamentale dell’interessato sulla piattaforma. Tale strumento di elaborazione dati mette in relazione i dati raccolti nel corso della Sua navigazione sulla piattaforma web attraverso l’utilizzo di cookie di profilazione accettati dall’interessato.

6 – Periodo di conservazione dei dati

Nel rispetto di quanto previsto dall’art. 5, comma 1, lett. e) del GDPR, i dati personali vengono conservati in una forma che consenta l’identificazione dell’interessato per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati stessi sono trattati o in base alle scadenze previste dalle norme di legge. La verifica sulla obsolescenza dei dati conservati in relazione alle finalità per cui sono stati raccolti viene effettuata periodicamente, sotto la vigilanza del Titolare.

In particolare:

• Quando il trattamento è necessario per l’esecuzione di un contratto e/o l’esecuzione di misure precontrattuali, i dati saranno trattati sino a quando sia completata l’esecuzione di tale contratto e saranno conservati per i 10 anni successivi, fatte salve le ipotesi di interesse legittimo del Titolare nell’eventualità di cause legali;
• Quando il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il Titolare, i dati saranno conservati fino a quando la legge lo consenta;
• Quando il trattamento è basato sul consenso dell’Interessato, il Titolare conserverà i dati personali fino a che lo consenta la legge e nella specie, per 24 mesi per finalità di marketing e per 12 mesi per la profilazione, o sino a quando detto consenso non venga revocato;
• Quando il trattamento è necessario per il perseguimento dell’interesse legittimo del Titolare i dati saranno conservati fino a quando lo consenta la legge.

I dati personali saranno in ogni caso conservati per l’adempimento degli obblighi (ad es. fiscali e contabili) che permangono anche dopo la cessazione del contratto (art. 2220 c.c.); per tali fini il Titolare conserverà solo i dati necessari al relativo perseguimento e per i 10 anni successivi, fatte salve le ipotesi di interesse legittimo del Titolare nell’ipotesi di cause legali.

7 – Accesso ai dati

I Suoi dati identificativi e sanitari potranno essere resi accessibili per le finalità di cui all’art. 3, anche mediante la semplice consultazione o messa a disposizione:

• A dipendenti e collaboratori del Titolare, in Italia e all’estero, nelle loro qualità di soggetti autorizzati e/o amministratori di sistema;
• Ai liberi professionisti esercenti professioni sanitarie iscritti alla piattaforma PharmaCare^Æ che tratteranno i Suoi dati al fine di erogarLe la prestazione domiciliare richiesta in qualità di autonomi Titolari del trattamento;
• A istituti di credito e soggetti che si occupano della gestione esterna di pagamenti tramite carta di credito, bonifico bancario o altri strumenti. I Dati utilizzati per il pagamento vengono acquisiti direttamente dal gestore del servizio di pagamento richiesto senza essere in alcun modo trattati da PharmaCare. I pagamenti mediante carta di credito vengono gestiti comunicando i dati a PayPal (Europe) S.à r.l. et Cie https://www.braintreepayments.com/en-it/legal/payment-services-agreement-eu o Stripe, Inc. https://stripe.com/it/privacy. I pagamenti mediante bonifico bancario vengono gestiti direttamente dagli istituti bancari di riferimento;
• Agli Internet Service Provider per la raccolta, trasmissione, archiviazione e gestione database. I dati sono raccolti e trasmessi mediante la piattaforma PharmaCare^Æ dal servizio di Salesforce Inc. denominato Heroku https://www.salesforce.com/company/privacy/. Il database è ospitato su server ubicati nel territorio dell’Unione Europea di proprietà di Clear DB, Inc. https://w2.cleardb.net/privacy/. I documenti sono archiviati come file pdf sui server di Amazon AWS https://aws.amazon.com/it/privacy/?nc1=f_pr;
• Al software di invio mail per la gestione e l’invio delle mail di servizio tramite i servizio forniti da Mailgun Technologies, Inc. https://www.mailgun.com/privacy-policy;
• A soggetti terzi fornitori del servizio PharmaCare^Æ (ad esempio: farmacie, cliniche private, centri analisi e diagnostici, CRAL, aziende partner nell’ambito di progetti di welfare aziendale, etc.);
• A società terze o altri soggetti (ad esempio: studi professionali e liberi professionisti, consulenti, società di assicurazione per la prestazione di servizi assicurativi, partner commerciali, etc.), che svolgono attività in outsourcing per conto del Titolare, nella loro qualità di responsabili esterni del trattamento.

In ogni caso, i Suoi dati personali potranno essere trattati esclusivamente da soggetti appositamente nominati dal Titolare quali propri responsabili o soggetti autorizzati al trattamento e non saranno oggetto di diffusione.

L’elenco dei responsabili e dei soggetti autorizzati al trattamento è disponibile presso le sedi del Titolare e potrà richiederlo in qualsiasi momento agli indirizzi di contatto.

8 – Comunicazione dei dati personali identificativi

Senza la necessità di un espresso consenso (ex art.  art. 6 lett. b) e c) GDPR), il Titolare potrà comunicare i Suoi dati identificativi per le finalità di cui all’art. 3 A) a Organismi di vigilanza (quali IVASS), Autorità giudiziarie e società di assicurazione per la prestazione di servizi assicurativi, nonché a quei soggetti ai quali la comunicazione sia obbligatoria per legge per l’espletamento delle finalità dette.

I Suoi dati personali potranno, inoltre, essere comunicati alla Pubblica Amministrazione, Enti di Previdenza e Assistenza, Enti Pubblici, Forze di Polizia, Autorità Giudiziaria o altri Soggetti Pubblici e Privati, ma esclusivamente al fine di adempiere all’incarico professionale conferito e ad obblighi di legge, regolamento o normativa comunitaria.

Detti soggetti tratteranno i dati nella loro qualità di autonomi titolari del trattamento.

I Suoi dati non saranno diffusi.

9 – Luogo del trattamento e di conservazione dei dati

I Suoi dati personali sono trattati presso le sedi legali e operative del Titolare e in ogni altro luogo in cui le parti coinvolte nel trattamento siano localizzate e sono curati solo da personale autorizzato al trattamento, oppure da eventuali incaricati di occasionali operazioni di manutenzione.

I Suoi dati personali sono conservati su server ubicati nel territorio dell’Unione Europea di proprietà dell’hosting provider Clear DB, Inc. Resta in ogni caso inteso che il Titolare, ove si rendesse necessario, avrà facoltà di spostare i server anche extra-UE. In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati avverrà in conformità alle disposizioni di legge applicabili, previa stipula delle clausole contrattuali standard previste dalla Commissione Europea.

10 – Natura del conferimento dei dati e conseguenze del rifiuto di rispondere

Il conferimento dei dati per le finalità di cui all’art. 3 A) e 3 C) è obbligatorio. In assenza non potremo garantirLe i servizi di cui all’art. 3 A) e 3 C). Il relativo rifiuto comporta l’impossibilità per il Titolare di attivare il servizio da Lei richiesto, nonché di fornirLe assistenza tecnica e di procedere all’erogazione del servizio.

Il conferimento dei dati per le finalità di cui all’art. 3 B) e 3 D) è, invece, facoltativo. Può quindi decidere di non conferire alcun dato o di negare successivamente la possibilità di trattare dati già forniti: in tal caso non potrà ricevere promozioni, comunicazioni commerciali e/o materiale pubblicitario inerenti i Servizi offerti dal Titolare e/o da terzi.

Continuerà comunque ad avere diritto ai servizi di cui all’art. 3 A) e 3 C).

11 – Tipologie di dati trattati

Le tipologie di dati trattati del Titolare sono:

• Anagrafici: dati necessari alla gestione ed erogazione dei servizi richiesti (ad esempio: nome, cognome, indirizzo fisico, provincia e comune di residenza, numero di telefono, indirizzo e-mail, etc.);
• Fiscali e di natura economica: dati necessari alla generazione delle fatture (ad esempio: codice fiscale, p.iva, agevolazioni, etc.);
• Dati inerenti i rapporti familiari: dati attinenti alla composizione del nucleo familiare e/o idonei a identificare parenti, congiunti o affini (ad esempio: nome e cognome del coniuge, dei figli, dei genitori, etc.);
• Dati sanitari: dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria che rivelino informazioni relative allo stato di salute (ad esempio: prestazione sanitaria richiesta, patologie pregresse, etc.);
• Dati di navigazione: i sistemi informatici e le procedure software preposte al funzionamento del software e degli applicativi PharmaCare acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di internet.
  Si tratta di informazioni che non sono raccolte per essere associate a soggetti interessati identificati, ma che per la loro stessa natura, potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti. In questa categoria rientrano gli indirizzi IP, o i nomi di dominio utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto, etc.
  Questi dati vengono utilizzati al fine di ricavare informazioni statistiche anonime e aggregate sull’uso del software e degli applicativi PharmaCare e per controllarne il corretto funzionamento, e risiedono in maniera permanente su server di terzi (hosting provider). I dati potrebbero essere utilizzati per l’accertamento di responsabilità in caso di ipotetici reati informatici ai danni del Titolare;
• Cookie: il software PharmaCare utilizza cookie che l’Autorità Garante definisce come stringhe di testo di piccole dimensioni che i siti visitati dall’Utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo Utente.
  Nel corso della navigazione sul software PharmaCare, l’Utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (chiamati “terze parti”), sui quali possono risiedere alcuni elementi (immagini, mappe, link, etc.) presenti sul sito che l’utente sta visitando.
  I cookie sono usati per accedere più rapidamente ai servizi online e per migliorare l’esperienza di navigazione dell’utente (monitoraggio di sessioni, memorizzazione di informazioni degli utenti, caricamento più rapido dei contenuti, etc.).
  L’utente al primo accesso ha la possibilità di confermare l’installazione o meno dei cookie disponibili, o in alternativa, di visualizzare la Cookie Policy contenente tutte le modalità di manifestazione e negazione del consenso.

12 – Diritti dell’interessato

Nella Sua qualità di interessato gode dei diritti di cui all’art. 7 Codice Privacy e art. 15 GDPR e, precisamente, i diritti di:

• Ottenere la conferma dell’esistenza o meno di dati personali che La riguardano, anche se non ancora registrati e la loro comunicazione in forma intellegibile;
• Ottenere l’indicazione: a) dell’origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili, del rappresentante designato ai sensi dell’art. 5, comma 2, Codice Privacy e art. 3, comma 1, GDPR; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati;
• Ottenere: a) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si riveli impossibile o comporti un impegno di mezzi manifestamente sproporzionato rispetto al diritto tutelato;
• Opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che La riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che La riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante l’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore mediante e-mail e/o mediante modalità di marketing tradizionali mediante telefono e/o posta cartacea. Si fa presente che il diritto di opposizione dell’interessato di cui al precedente punto b), per finalità di marketing diretto mediante modalità automatizzate si estende a quelle tradizionali e che comunque resta salva la possibilità per l’interessato di esercitare il diritto di opposizione anche solo in parte. Pertanto, l’interessato può decidere di ricevere solo comunicazioni mediante modalità tradizionali ovvero solo comunicazioni automatizzate oppure nessuna delle due tipologie di comunicazione.

Ove applicabili, gode altresì dei diritti di cui agli artt. 16-21 GDPR (diritto di rettifica, diritto all’oblio, diritto di limitazione del trattamento, diritto di portabilità dei dati, diritto di opposizione) nonché il diritto di reclamo all’Autorità Garante.

13 – Modalità di esercizio dei diritti

Potrà, in qualsiasi momento, esercitare i diritti inviando:

• Una raccomandata A/R a PharmaCare s.r.l., Via Locatelli n. 4, 20124 Milano (MI);
• Una mail all’indirizzo phadise@pec.it
• Una mail all’indirizzo dpo@pharmacare.srl

14 – Aggiornamento della Informativa Privacy

La presente Informativa Privacy potrà essere soggetta a modifiche. Gli aggiornamenti saranno consultabili nella Sua area riservata nella sezione Privacy.

15 – Titolare, responsabile e incarichi

Il Titolare del trattamento è PharmaCare s.r.l., P.IVA 09587890964, con sede legale in Via Locatelli n. 4, 20124 Milano (MI) e sede operativa presso il Polo Tecnologico di Pavia, in Via Fratelli Cuzio n. 42, 27100 Pavia (PV).

Il Responsabile della Protezione dei Dati Personali è l’Avv. Giulia Spinoglio, che può essere contattato all’indirizzo dpo@pharmacare.it.

L’elenco aggiornato dei responsabili e dei soggetti autorizzati al trattamento è custodito presso le sedi del Titolare del trattamento.

Per avere ulteriori informazioni in ordine ai Suoi diritti sulla privacy La invitiamo a visitare il sito web del Garante della Privacy.

Data ultimo aggiornamento: 1 Luglio 2019