GDPR: la nuova PRIVACY

Il settore si sta preparando per conformarsi alla nuova normativa sul trattamento dei dati personali. Le principali novità del regolamento europeo saranno introdotte dal 25 maggio.

Federfarma ha chiesto al Garante della privacy chiarimenti sul regolamento Ue 2016/679, detto anche Gdpr (General data protection regulation), in particolare per quanto riguarda la figura del Responsabile della protezione dei dati (Dpo — Data protection officer) e i trattamenti di dati personali per i quali le farmacie dovessero redigere la Valutazione di impatto sulla protezione dei dati (Dpia – Data protection impact assestment).

Come si legge nel comunicato emanato da Federfarma, “secondo il Garante della privacy le farmacie non effettuano trattamenti su larga scala e pertanto non devono designare il Dpo. Inoltre, per i trattamenti di dati personali effettuati più comunemente dalle farmacie per conto del Servizio sanitario nazionale o regionale, non ci sarà bisogno di redigere la Dpia”.
UNA MAGGIORE RESPONSABILITA’
ll GDPR richiede un approccio totalmente nuovo nella gestione dei dati personali e questo sarà vero anche per le farmacie italiane”, ha detto Marco Cossolo. “Il legislatore non elenca più in modo analitico le misure da adottare ma responsabilizza chi tratta i dati nell’effettuare una valutazione del rischio e decidere autonomamente quali misure prendere. Il nuovo regolamento europeo non richiede più formalismi inutili ma guarda alla sostanza È per questo motivo che intende eliminare, per gli esercenti le professioni sanitarie sottoposte a segreto professionale, la necessità di richiedere il consenso ai cittadini per trattare i dati che servono per curarli. Le farmacie, nell’ottica del principio di responsabilizzazione, saranno pertanto chiamate a contribuire a custodire correttamente i dati sanitari, garantendo la permanenza, anche nell’ora della trasformazione digitale, del clima di fiducia tra cittadino e farmacista che ha sempre contraddistinto la farmacia italiana”. Secondo Antonello Mirone, con il nuovo Regolamento europeo in materia di protezione dei dati personali “cambia la filosofia di fondo della norma. Si passa infatti da un sistema di leggi che impone solo determinati obblighi a un sistema che promuove la responsabilizzazione titolare in ogni fase del trattamento fin dalla progettazione di un trattamento, adottando comportamenti corretti dal punto di vista della privacy. Questo sicuramente comporta uno sforzo maggiore in capo al titolare ma anche una  maggiore consapevolezza della ‘risorsa dati’ che gli viene affidata”.
IL SUPPORTO DI FEDERFARMA PER SVOLGERE GLI ADEMPIMENTI RICHIESTI

Nei mesi scorsi si è parlato della definizione di ‘codici di condotta’, ossia di standard applicativi che possano adattare la normativa alla realtà delle farmacie per renderne l’applicazione meno gravosa. A che punto siamo in questo senso? “Il GDPR”, dice Cossolo, “consente alle associazioni di categoria di adottare codici di condotta approvati dal Garante, che siano il punto di riferimento per il settore. Il codice di condotta dovrebbe includere modalità attuative della norma che consentano di semplificare gli adempimenti. Abbiamo già iniziato con il Garante della privacy un percorso finalizzato alla corretta interpretazione della normativa, che ci porterà a elaborare un codice di condotta finale. Tale codice, tuttavia, non potrà essere elaborato prima che venga approvato il decreto legislativo che conterrà certamente disposizioni integrative sulla privacy in materia sanitaria”. Sulle iniziative e proposte che Federfarma ha attivato o intende attivare per facilitare l’adattamento alla nuova normativa, Cossolo precisa: “Federfarma, confrontandosi con il Garante, ha già fornito delle indicazioni alle farmacie per facilitare la compliance al Regolamento dicendo, ad esempio, che la gran parte delle farmacie italiane non dovrà nominare il Data protection Office (Dpo) e, quindi, riducendo i costi di conformità alla normativa. Attualmente, mediante la collaborazione della nostra società Promofarma, sta predisponendo una piattaforma informatica che consenta alle farmacie di adeguarsi al GDPR. La piattaforma non solo consente di produrre la documentazione richiesta, ma aiuta le farmacie a fare le valutazioni necessarie finalizzate ad adottare le misure che consentono di proteggere i dati personali degli assistiti. Inoltre, la gestione a livello centrale della privacy delle farmacie attraverso la piattaforma faciliterà la redazione di un codice di condotta che tenga conto dell’esperienza sul campo, creando un benchmark di riferimento quanto più realistico possibile”. Ma come stanno reagendo le farmacie italiane? “La normativa comunitaria è estremamente complessa, non è di facile comprensione e soprattutto non è di facile attuazione per le piccole realtà come sono le farmacie italiane. È stata pensata per le grandi imprese che operano su tutto il territorio europeo e per difendere i cittadini europei dal trattamento illecito dei dati da parte delle grandi multinazionali. È normale pertanto che le farmacie siano disorientate. Le grandi società sono avvantaggiate nell’attuarla. E lo saranno anche le grandi catene di farmacie. Proprio per questo è importante il ruolo che ha Federfama nel creare tramite Promofarma, un sistema che permetta alle farmacie di svolgere agevolmente tutti gli adempimenti previsti”. Passando ai punti più importanti sui quali si dovranno concentrare i farmacisti e le azioni da mettere in campo per l’adeguamento alla normativa, Antonello Mirone precisa: “Pur non essendo ancora completamente definiti gli adempimenti che le farmacie dovranno adottare per adeguarsi alla normativa, verranno introdotte alcune importanti novità. Il Registro dei Trattamenti, ad esempio, sarà uno strumento obbligatorio per ogni farmacia che consentirà di tenere traccia delle operazioni di trattamento dei dati effettuate nel tempo. Al Dpo (Data Protection Officer) sarà delegata una parte delle responsabilità del Titolare ma la sua nomina sarà però obbligatoria solo per le farmacie che compiono operazioni di trattamento di dati su larga scala. Sono previsti anche ulteriori adempimenti, tra cui l’obbligo di comunicazione al Garante Privacy nell’ipotesi che si verifichino violazioni nel trattamento dei dati personali (procedure di Data Breach) che comportino rischi per gli interessati”. Federfarma Servizi sta predisponendo per i soci degli incontri ad hoc sul tema. “Stiamo anche pensando di organizzare un convegno sul GDPR per fornire un approfondimento e una panoramica globale sull’argomento sia ai nostri associati sia ai farmacisti loro soci”, conclude Mirone.

LE NOVITÀ NORMATIVE APPLICABILI ALLE FARMACIE 

 1. INFORMATIVA E CONSENSO AL TRATTAMENTO DEI DATI
A differenza della normativa attuale, il GDPR consente il trattamento di dati sanitari senza richiedere il consenso del cittadino. Questo però può avvenire solo nel caso in cui il trattamento sia effettuato per finalità di assistenza sanitaria e di terapia da parte di professionisti della salute e se i dati sono trattati da professionisti soggetti al segreto professionale. È il caso ad esempio della farmacia la cui conduzione è affidata a un farmacista. li GDPR consente comunque agli Stati membri di mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati relativi alla salute. Le informative esistenti, invece, dovranno essere aggiornate in base ai nuovi contenuti previsti dal GDPR e dovranno contenere: la base giuridica del trattamento; se si trasferiscono i dati verso paesi terzi; il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione e il diritto di presentare un reclamo all’autorità di controllo.
 2. PRINCIPIO DI RESPONSABILIZZAZIONE DEI TITOLARI
Il GDPR, nell’art. 24, obbliga i titolari e i responsabili a mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento. È quindi compito del titolare del trattamento dei dati decidere quali misure adottare per la protezione dei dati stessi ed è suo obbligo anche dimostrare che il trattamento viene effettuato secondo il regolamento.
 3. INDIVIDUAZIONE DEI RUOLI
Solitamente è il titolare della farmacia a prendersi carico del trattamento dei dati personali. Nel caso di società è di solito la società stessa. Anche nel caso in cui si esternalizzino trattamenti è sempre il titolare del trattamento ad avere una responsabilità generale sull’attuazione della normativa. Quando la farmacia delega l’effettuazione di un trattamento o parte di esso a un altro soggetto esterno (ad esempio commercialista, consulente del lavoro ecc.), deve designarlo obbligatoriamente responsabile del trattamento attraverso un contratto (o altro atto giuridico conforme al diritto nazionale). II regolamento consente inoltre la nomina di sub-responsabili del trattamento da parte di un responsabile per specifiche attività di trattamento. Infine ogni titolare del trattamento designerà come incaricati al trattamento i dipendenti e i collaboratori.
 4. REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO DEI DATI PERSONALI
Tutte le farmacie devono tenere, in forma scritta (anche in formato elettronico) un registro delle attività di trattamento dei dati personali svolte sotto la propria responsabilità.
 5. VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DEI DATI PERSONALI (DPIA)
Qualora nell’ambito della valutazione del rischio il titolare del trattamento verifichi che il trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare è obbligato ad effettuare e formalizzare in un documento la valutazione di impatto sulla protezione dei dati personali (DPIA). Come anticipato, per i trattamenti di dati personali effettuati dalle farmacie per conto del Servizio sanitario nazionale o regionale non ci sarà bisogno di redigere tale documento. Si tratta infatti di trattamenti che sono stabiliti e disciplinati a monte da una legge, da un atto amministrativo, o da un accordo, utilizzando sistemi informativi pubblici o comunque istituiti da un accordo con la parte pubblica. Nel caso in cui invece la farmacia effettui trattamenti di dati personali in regime privatistico in modo standardizzato, utilizzando piattaforme informatiche messe a disposizione da associazioni dei titolari di farmacia, reti di farmacie, cooperative ecc. sarà obbligata a effettuare una DPIA qualora sussista un alto rischio per i diritti e le libertà degli interessati. Per farlo potrà utilizzare la valutazione di impatto sulla protezione dei dati eventualmente redatta dalla rete di farmacie, dall’associazione di categoria, dalla cooperativa ecc. valevole per tutte le farmacie che aderiscono al progetto.
 6. MISURE DI SICUREZZA
Non esiste più un elenco tassativo di misure minime di sicurezza elencate dal legislatore ma ogni titolare del trattamento dovrà scegliere e adottare misure organizzative e tecniche atte a garantire un livello di sicurezza adeguate al rischio.
 7. NOTIFICA IN CASO DI VIOLAZIONE DEI DATI PERSONALI
Il GDPR introduce l’obbligo di notificare all’autorità di controllo (Garante privacy) i casi di violazione dei dati personali che presentano un rischio per i diritti e le libertà degli interessati. Per violazione si intende la distruzione, perdita, modifica, divulgazione non autorizzata, l’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Federfarma, in collaborazione con Promofarma, metterà a disposizione sul proprio sito alcuni strumenti operativi che aiutino le farmacie a effettuare una valutazione dei rischi e ad adottare misure di sicurezza adeguate.
 8. RESPONSABILE DELLA PROTEZIONEDEI DATI (Data protection officer DPO)
Le farmacie non hanno l’obbligo di nominare il DPO, in quanto non effettuano trattamenti di dati personali su larga scala.
 9. DIRITTO DI ACCESSO, RETTIFICA, CANCELLAZIONE, LIMITAZIONE E PORTABILITA’ DEI DATI
Questa normativa riguarda in modo marginale le farmacie, e il diritto può essere esercitato solo per i dati trattati in modo automatizzato e su consenso esplicito.
 10. SANZIONI
Il sistema sanzionatorio del nuovo GDPR è graduato e attribuisce notevole discrezionalità all’Autorità Garante. Le sanzioni previste sono il Richiamo, l’Ammonizione, la Sospensione dal trattamento dei dati, sanzioni pecuniarie fino a 20 milioni di giuro oppure il 4% del fatturato totale annuale.
TEMA FARMACIA n°5 – MAGGIO 2018