Il Regolamento Generale sulla Protezione dei Dati entra in vigore nell’Unione europea a maggio e impone nuove e più restrittive forme di amministrazione dei dati inerenti la salute
Il 25 maggio del 2018 entrerà in vigore il Regolamento Generale sulla Protezione dei Dati (Gdpr, General Data Protection Regulation), normativa con cui la Commissione europea intende rafforzare e unificare la protezione dei dati personali entro i confini dell’Unione europea. L’obiettivo dell’UE è modificare in modo sostanziale diversi aspetti inerenti la raccolta, il trattamento e la conservazione dei dati stessi. Anche tutte le farmacie all’interno dell’UE dovranno adeguarsi alle nuove norme in materia di trattamento dei dati personali, gestione della sicurezza delle informazioni e dei processi di conformità e delle relazioni contrattuali.
Un aspetto tra i più importanti della normativa è la responsabilità diretta di chi gestisce il trattamento dei dati, che non solo dovrà garantire contrattualmente la conformità ma, qualora colto in fallo, sarà direttamente responsabile, sia sotto il profilo sanzionatorio sia sotto i profili penale e risarcitorio. Gli obblighi e gli adempimenti per essere conformi alle prescrizioni dovranno essere adottati sia nel caso di una piccola farmacia di provincia sia di una farmacia di una grande città, con problematiche differenti.
Il principio di accountability e il nuovo Documento programmatico per la sicurezza
Un’altra novità che comporterà il Gdpr riguarda i profili di responsabilità, con l’introduzione del principio di accountability, che si traduce nell’attribuire le responsabilità a ciascun soggetto che interviene nel processo di elaborazione dei dati. Ogni soggetto coinvolto deve poter dimostrare in qualunque momento la conformità normativa delle sue attività.
In alcune situazioni, si renderà necessario che determinati soggetti nominino un responsabile della protezione dati (Dpo, data protection officer): la presenza di un Dpo sarà obbligatoria per tutte le realtà che trattano su larga scala dati sensibili o che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati.
L’articolo 30 del Gdpr riporta inoltre l’onere delle attività di trattamento effettuate in capo al Titolare del Trattamento e al Responsabile della tenuta dei registri: si tratta di un nuovo Dps (Documento programmatico per la sicurezza), nel quale sono indicati tutti i trattamenti di dati svolti nell’ambito delle proprie competenze e le finalità per cui si svolgono quei determinati tipi di trattamento dati. L’adempimento è obbligatorio per le imprese oltre una certa soglia quantitativa e per chi opera al di sotto di questa soglia ma tratta informazioni di carattere sanitario. Il Dps è comunque consigliato anche dal Garante come elemento fondamentale nel caso si debba procedere a un’analisi del rischio.
Il parere dell’Ufficio legale di Federfarma
Il nuovo regolamento europeo sulla privacy aggiorna la normativa sulla protezione dei dati personali nell’era digitale, nella quale la personalità umana e le informazioni che la riguardano hanno sempre più una proiezione virtuale e dematerializzata. “La sanità digitale”, dichiara Bruno Foresti, dell’ufficio Legale Federfarma nazionale, “è entrata in modo preponderante nelle farmacie italiane e quando si parla di diritto alla privacy si parla di diritti della personalità umana”.
La digitalizzazione delle informazioni sanitarie non solo ha consentito di rendere più efficienti i processi amministrativi (come nel caso della Ricetta elettronica e del numero verde per la prenotazione visite), ma consente e consentirà di offrire nuovi servizi sanitari a pazienti e addirittura rivisitare il ruolo del farmacista. Ne è un esempio l’istituzione del dossier farmaceutico quale parte specifica del Fse (Fondo Sociale Europeo), aggiornato a cura della farmacia che effettua la dispensazione dei medicinali, per favorire la qualità, il monitoraggio, l’appropriatezza nella dispensazione stessa e l’aderenza alla terapia ai fini della sicurezza del paziente. “Tuttavia, nel settore sanitario le informazioni attinenti ogni paziente sono particolarmente sensibili; occorre quindi adottare misure atte a garantirne l’integrità, la correttezza e l’aggiornamento da cui dipende il rispetto sia della riservatezza del paziente sia, soprattutto, della sua salute”.
Il diritto alla privacy del cittadino in ambito sanitario si risolve con il diritto alla tutela della sua salute. Per Federfarma, il titolare di farmacia è chiamato a individuare i dati trattati e valutare quali adempimenti porre in essere, tra quelli individuati dal regolamento in relazione alla tipologia e alla quantità dei dati, al rischio e a ulteriori parametri disciplinati dalla nuova normativa. “Questo è l’elemento di fondo che contraddistingue la normativa e che può essere messo in atto con il principio di accountability”, aggiunge Foresti, “che non prevede più un’acritica esecuzione di adempimenti cartacei o l’adozione di misure informatiche individuate in un elenco dal legislatore ma stabilische per il titolare del trattamento l’obbligo di mettere in atto misure tecniche e organizzative adeguate per garantire la conformità al Regolamento e di dimostrare che il trattamento è effettuato nel rispetto del regolamento”.
Nel caso di una farmacia non è pensabile adottare le stesse procedure previste per le grandi imprese ma è possibile individuare standard applicativi adatti alla realtà in cui essa opera. Secondo Foresti, il ruolo di Federfarma nell’applicazione del regolamento alle farmacie sarà di individuare standard applicativi che non risultino eccessivamente gravosi e, quindi, non danneggino l’efficienza del servizio. “Gli standard applicativi sono addirittura caldeggiati dal Regolamento europeo”, sostiene Foresti, “che si è reso conto che molte norme pensate dal legislatore europeo si adattano di più alle realtà delle grandi imprese. Ha quindi pensato a dei codici di condotta delle associazioni di categoria, che però devono essere approvati dal Garante della privacy. Nell’attesa di arrivare in un prossimo futuro all’elaborazione di propri codici di condotta, Federfarma, come di consuetudine, emanerà circolari per fornire chiarimenti”.
Sul tema dei dati sanitari trattati su ‘larga scala’, Foresti sostiene infine che “la valutazione d’impatto sulla protezione dei dati e la nomina del Data Protection Officer è sempre obbligatoria per chi effettua un trattamento di dati sanitari su larga scala. Il Garante della privacy deve redigere un elenco di tipologie di trattamenti soggetti al requisito di valutazione d’impatto sulla protezione dei dati e un elenco di tipologie di trattamenti nei quali sicuramente non è richiesta tale valutazione”.
