A decorrere dal 25 maggio 2018, si applicherà il Regolamento europeo 2016/679, cd. GDPR. Anche le farmacie, trattando dati personali, dovranno applicarlo: ecco in breve cosa cambierà rispetto al Codice della Privacy.
Nomina del Data Protection Officier (cd. DPO)
in base al GDPR Lalcuni titolari sono tenuti a nominare un DPO in via obbligatoria. Ciò vale per tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali (dati sensibili). Tra questi ultimi rientrano senz’altro tutti gli operatori sanitari che trattino su larga scala dati sanitari che sono per loro stessa natura dati sensibili.
In seguito alla richiesta di Federfama, il Garante è recentemente intervenuto chiarendo che le farmacie, non effettuando trattamenti su larga scala, non devono designare il DPO (art. 37 GDPR). Tale affermazione, tuttavia, non può certamente essere riferita anche alle catene di farmacie con un grande bacino d’utenza, per le quali la nomina del DPO è necessaria, trattandosi di un trattamento su larga scala.
Consenso
Il GDPR stabilisce che, per le finalità di assistenza sanitaria e di terapia da parte dei professionisti della salute e nel caso in cui i dati sanitari siano trattati da e sotto la responsabilità di un professionista soggetto al segreto professionale, il trattamento dei dati sanitari avviene senza il consenso dell’interessato (art. 9 GDPR), mentre il trattamento per finalità diverse da quella sanitaria rimane pacificamente sottoposto alla necessità del consenso.
Inoltre, il GDPR esclude la necessità del consenso in riferimento ad alcune finalità considerate a priori compatibili con quella sanitaria: l’archiviazione nel pubblico interesse, o di ricerca scientifica o storica o a fini statistici; laddove il trattamento costituisca una misura necessaria e proporzionata per salvaguardare importanti obiettivi di interesse pubblico generale nonché l’indicazione di possibili reati o minacce alla sicurezza pubblica e la trasmissione dei dati personali a un’autorità competente, espressione di un interesse legittimo del titolare del trattamento.
Informativa
L’informativa, prima redatta ai sensi dell’art. 13 del D. Lgs 196/2003, deve essere aggiornata ed adeguata al GDPR (artt. 12-14 GDPR) e resa in forma concisa, trasparente, intellegibile e facilmente accessibile, con linguaggio semplice e chiaro.
Ruoli
Il GDPR prevede tre figure principali addette al trattamento: il titolare del trattamento (art. 24 GDPR), il responsabile del trattamento (art. 28 GDPR) e il soggetto autorizzato al trattamento (art. 29 GDPR). Il titolare della farmacia, è di norma il titolare del trattamento dei dati, avente responsabilità generale sull’attuazione della normativa. Nel caso in cui la farmacia deleghi soggetti esterni (esempio commercialisti, consulenti del lavoro o l’utilizzo del servizio “cloud”), tali soggetti sono considerati responsabili del trattamento e devono essere designati con contratto, indicante le caratteristiche del trattamento e le direttive del titolare. Soggetti autorizzati al trattamento, infine, saranno i dipendenti e collaboratori, sottoposti all’autorità del titolare o del responsabile.
Accountability
Il GDPR introduce il principio di responsabilizzazione del titolare del trattamento dei dati, il quale dovrà essere in grado di dimostrare che il trattamento è avvento in conformità al Regolamento. Strettamente connesso è il concetto di “misure tecniche e organizzative adeguate”, in luogo delle note misure minime e misure idonee, da attuare tenendo conto dei rischi relativi ai dati trattati in farmacia, tra cui rientra la formazione di chiunque agisca sotto la autorità del titolare.
Attività
In considerazione del trattamento di dati sanitari, le farmacie sono obbligate a detenere il registro delle attività di trattamento dei dati personali, contente le informazioni di cui all’art. 30 GDPR e da mettere a disposizione del Garante in caso di controllo.
Per quanto attiene alla valutazione di impatto sulla protezione di dati personali, cd. DPIA (art. 35 GDPR), tale attività non è obbligatoria per ogni singolo trattamento ma solo qualora, nell’ambito della valutazione del rischio, il titolare del trattamento verifichi che il trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche, in particolare quando il trattamento sia effettuato su larga scala.
In caso di violazione dei dati personali (consistente nella distruzione, perdita, modifica, divulgazione non autorizza o accesso ai dati), cd. data breach (art. 33 GDPR) che presenti un rischio per i diritti e le libertà delle persone fisiche, il titolare deve procedere a notificare la violazione al Garante entro 72 ore dalla conoscenza della violazione.
Diritti
Oltre ai diritti di cui al Codice della Privacy (accesso, rettificazione, opposizione), il GDPR ha previsto il diritto alla portabilità dei dati (art. 20 GDPR), che tuttavia impatta marginalmente sul settore farmaceutico; il diritto all’oblio dei dati che lo riguardano (art. 17 GDPR) e il diritto di limitazione del trattamento (art. 18 GDPR).
Sanzioni
Il GDPR prevede sanzioni amministrative pecuniarie più incisive, fino a € 20 milioni o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente (art. 83 GDPR). A differenza del Codice della Privacy, il GDPR non contempla illeciti penali: tale mancanza non esclude tuttavia che gli Stati Membri possano prevederli, trattandosi di un settore sensibile in cui permangono, a livello dei singoli Stati, sostanziali differenze.
Avv. Monica Gobbato (Data Protection Officer)
Dott. Deborah Bettini (Data Protection Specialist)