Privacy e gestione dei dati in farmacia
Quando si parla tutela dei dati personali c’è una data che a livello europeo rappresenta lo spartiacque in materia di privacy: 25 maggio 2018.
A partire da questo giorno infatti è ufficialmente entrato in vigore il regolamento generale sulla protezione dei dati meglio noto come GDPR, General Data Protection Regulation.
Con questa normativa la Commissione Europea ha voluto rafforzare la protezione dei dati personali dei cittadini europei, rendendo omogenea la loro amministrazione in tutta l’UE.
Un regolamento al quale anche Farmacie e Parafarmacie hanno dovuto adeguarsi per una gestione più attenta delle informazioni relative ai dati dei clienti, per esempio con l’utilizzo delle carte fedeltà, ma anche per le relazioni contrattuali.
Tutti coloro che lavorano nella farmacia (titolari, farmacisti collaboratori e magazzinieri) ed entrano in qualche modo in contratto con i dati dei pazienti/clienti, devono essere formati e informati sulla corretta gestione.
Questo perché negli ultimi anni, con l’introduzione di nuovi servizi, si sono moltiplicate le occasioni in cui i farmacisti devono fare i conti con i dati personali.
Registro delle attività di trattamento
L’art. 30 del Regolamento comunitario prescrive, in capo al Titolare del trattamento, l’obbligo di tenere ed aggiornare un registro delle attività di trattamento svolte sotto la propria responsabilità.
L’obbligo di redigere il Registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento fondamentale per disporre di un quadro aggiornato dei trattamenti in essere all’interno della propria attività.
La sua consultazione consente l’analisi, la ricognizione, la mappatura e la valutazione di conformità delle attività di trattamento e può essere soggetto al controllo da parte degli organi preposti (Guardia di Finanza).
Insomma un’operazione in più che in termini di competenze, tempo e responsabilità si aggiunge agli altri impegni quotidiani, quindi merita di essere coordinata nel migliore dei modi per non incappare in brutte sorprese.
Fra queste non ci sono solo le sanzioni degli organi preposti, ma il rischio che i dati raccolti finiscano nelle mani sbagliate a seguito di cyberattacchi.
GDPR: una piattaforma ad hoc
È importante quindi affidarsi a strumenti informatici idonei, aggiornati e che riescano a tutelare la sicurezza dei dati. Una buona piattaforma in grado di fornire tutte le informazioni necessarie e guidare il farmacista nel corretto utilizzo della documentazione inerente anagrafiche e privacy.
Nel farlo è opportuno effettuare un’indagine della farmacia, tener conto delle diverse tipologie di assetto societario, se ci sono farmacisti collaboratori, se si tratta di una farmacia comunale piuttosto che di un esercizio appartenente ad un Gruppo e di sapere esattamente chi può entrare in contatto con i dati personali (anche manutentori di registratori fiscali o di sistemi di videosorveglianza). Infine per gli aggiornamenti, è importante avere la possibilità di ricevere un avviso per il rinnovo della documentazione privacy ed effettuare un’adeguata revisione.
Ma non è sempre facile muoversi in un ambito avulso da quello farmaceutico e che comporta l’acquisizione di nozioni giuridiche in continua evoluzione.
Pertanto, se assieme agli automatismi della piattaforma ci fosse una risorsa capace di supportare i farmacisti in teleassistenza, il compito dei titolari del trattamento sarebbe indubbiamente meno gravoso. Un assistente in remoto alleggerirebbe non poco il compito.
Indispensabile quindi dotarsi di uno strumento di autoanalisi con cui migliorare e correggere eventuali errori nella gestione dei dati e che sia in grado di rispondere a tre esigenze fondamentali:
Accoutability – Rispetto del principio di responsabilizzazione;
Compliance – Conformità e rispetto della normativa;
Reporting – Data breach report, ovvero un rapporto che descrive/denuncia la violazione, distruzione, perdita, modifica, divulgazione dei dati personali conservati o comunque trattati.
Secondo il GDPR, la notifica di eventuali violazioni di dati dovrà avvenire entro 72 ore dal momento in cui si è venuto a conoscenza della violazione.
Procedimenti sanzionatori
Le sanzioni sono proporzionate alla violazione e valutate caso per caso dal Garante che ne definisce anche il carattere doloso o colposo.
L’art. 83 del GDPR distingue due gruppi di sanzioni amministrative:
- Il primo gruppo è quello delle sanzioni considerate di minore gravità che prevedono importi fino a 10.000 euro.
- Nel secondo gruppo rientrano sanzioni più gravi, in relazione alla maggiore gravità della violazione, il cui importo può ammontare fino a 20.000 euro.
Ma fra i criteri di valutazione del Garante c’è anche quello legato al fatturato della singola farmacia.
Lo scorso 25 aprile la Corte di Giustizia dell’Unione Europea ha stabilito che i dati di acquisto di farmaci non soggetti a prescrizione medica, venduti online da una farmacia autorizzata, non devono essere considerati dati relativi alla salute ai sensi del Gdpr.
Così l’organo massimo di giustizia europea si è pronunciato a seguito del ricorso di una farmacia tedesca che ne chiedeva l’intervento per la vendita di farmaci Otc su una nota piattaforma di e-commerce.