L’introduzione di nuovi servizi nell’ambito della Farmacia dei Servizi, di tecnologie digitali, della telemedicina e dell’Intelligenza Artificiale (IA), la necessità di attivare strategie di business, stanno profilando un ruolo nuovo della farmacia e dei suoi professionisti cui è richiesto un costante upgrading formativo, legislativo e l’acquisizione di responsabilità, anche in termini di rispetto degli obblighi sulla sicurezza e protezione dei dati personali dei propri pazienti/clienti.
Tema, quest’ultimo, delicato e complesso al centro dell’evento “Protezione e sicurezza dei dati in farmacia. Il giusto equilibrio fra GDPR, riservatezza, segreto professionale ed obblighi deontologici”, organizzato dall’Associazione protezione diritti e libertà privacy APS in collaborazione con Studio Paci & C. Srl e Corofar Cooperativa di servizi alle farmacie – Sooc. Coop.
Relatori dell’evento: Silvia Melchionna, Funzionario area direttiva – Dipartimento sanità e ricerca Autorità Garante per la protezione dei dati personali e Luca Di Leo, Consulente in materia di privacy – Data Protection Officer – Socio Studio Paci & C. Srl – Vice Presidente Associazione protezione diritti e libertà privacy APS, moderati da Gloriamaria Paci, Consulente in materia di privacy – Data Protection Officer – Socio Studio Paci & C. Srl e Presidente Associazione protezione diritti e libertà privacy APS.
La protezione dei dati personali in farmacia
La tutela dei dati deve fare riferimento alle norme che disciplinano il trattamento dei dati sulla salute fisica e mentale e tutte le informazioni inerenti: anamnesi, risultati di accertamenti condotti, anche su sostanze organiche prelevate dalla persona, prestazioni eseguite con il Servizio Sanitario Nazionale (SSN) e così via.
Rientrano nei dati di salute anche le attività di prenotazione di esami in cui possono essere coinvolte anche le farmacie, ma anche un numero e/o un simbolo utilizzati per l’identificazione della persona a fini sanitari, la somministrazione e la dispensazione di un farmaco da parte del farmacista, gli eventi avversi manifestati in seguito all’assunzione di una terapia, dati elaborati da un Dispositivo Medico.
In tema di dati sulla salute, si opera in regime di deroga, secondo le disposizioni dell’art. 9 del RGPG (Regolamento generale sulla protezione dei dati) che impone il divieto di trattamento di dati con motivo di interesse pubblico rilevante (art. 9, part. 2, lettera g), ad esempio flussi della tessera sanitaria, tipicamente la lettura della tessera elettronica che rappresenta una grande quota parte dell’attività del farmacista; dati di sanità pubblica (art. 9, part. 2, lettera i), quali i flussi di positività o negatività a Covid-19, dati di diagnosi e cura (art. 9, part. 2, lettera h), consenso (art. 9, part. 2, lettera i).
Le informazioni relative a questa tipologia di dati sono dunque presupposto di verifica di liceità al trattamento, nel rispetto di specifiche disposizioni di settore (artt. 6 e 9 del GDPR e Art. 2 – sexies del Codice). La conformità di tali disposizioni al regolamento europeo viene verificata dall’autorità garante, tramite l’analisi di specifiche caratteristiche, ad esempio, le motivazioni e le finalità di utilizzo di un dato, i titolari al trattamento e la categoria degli interessati coinvolti.
Inoltre, la normativa richiede che vengano attivate una serie di misure tecnico-organizzative atte alla tutela del trattamento dei dati e alla protezione dei diritti fondamentali dell’interessato che per la farmacia si esplicano, ad esempio, nella tenuta di registri per specifiche categorie di farmaci. La base giuridica del trattamento dei dati di salute deve essere sempre rinvenuta nelle disposizioni di settore che costituisce la cornice entro la quale il trattamento dei dati è considerato lecito. Il provvedimento n. 55 del 7 marzo 2019, fornisce indicazioni sui trattamenti assoggettati al consenso, oppure no, rispetto al precedente ed esclusivo Codice vigente.
Secondo le nuove normative, ad esempio, non è più necessario acquisire il consenso dell’interessato in caso di trattamenti finalizzati da necessità di cura e se le prestazioni sono eseguiti da un professionista sanitario legato al segreto professionale, tra questi anche il farmacista, o da altro soggetto obbligato alla segretezza. Inoltre il farmacista deve garantire il pieno rispetto della riservatezza dei dati da lui trattati, assicurare il rispetto di regole di condotta riconducibili al segreto professionale per sé e dei propri incaricati del trattamento dei dati personali, nonché il rispetto di principi di sicurezza dei dati mettendo in atto misure di tutela fisiche, logiche e organizzative di documenti, anche in formato elettronico contenenti dati personali e sensibili.
Ancora, il farmacista deve garantire il principio di correttezza e aggiornamento dei dati ed evitare comportamenti illeciti, come dare conoscenza e comunicazione di informazioni sanitarie a terzi senza delega dell’interessato. Tutti i principi racchiusi nell’art. 5 del regolamento, compreso il principio di trasparenza, che trova un corollario importante nell’informativa da dare all’interessato.
I trattamenti che (non) richiedono l’acquisizione del consenso dell’interessato
Dispensazione del farmaco prescritto, servizi sanitari erogabili in farmacia come misurazione della pressione arteriosa e test autodiagnostici sono alcune delle attività che non richiedono consenso da parte dell’interessato. Mentre quest’ultimo è necessario in ambito di refertazione online, secondo quanto disciplina il DCPM dell’8 agosto 2013, affinché l’interessato possa ricevere l’esito di un accertamento diagnostico sul sito dell’istituzione/ente erogante e/o della farmacia o al proprio indirizzo di posta elettronica o con un SMS.
In quest’ultimo caso, la comunicazione non deve riportare in chiaro l’esito del test o del referto. Diverso è invece il ritiro del referto in farmacia, disciplinato dal DM dell’8 luglio del 2011 e da specifica disposizione di settore, ovvero la consegna di esami eseguiti presso altro titolare direttamente presso il presidio, come anche di prenotazioni di prestazioni specialistica ambulatoriale, pagamento ticket e ritiro referti (escluse prestazioni fuori dal SSN, esami ad accesso diretto e prestazioni di I e II livello).
Il DM chiarisce la necessità di consenso in caso di attivazione di specifici servizi, tra cui il remind della prestazione prenotata via SMS o posta, e impone al farmacista il corretto e univoco riconoscimento dell’interessato tramite esibizione della tessera sanitaria e/o della prescrizione. Quindi la possibilità di ricevere il referto in farmacia è subordinata a specifico consenso o delega. È necessario, inoltre, il consenso anche per inviare da parte della farmacia newsletter o comunicazioni profilate in funzione dei consumi farmaceutici o di altri prodotti o per attività di e-commerce ai propri clienti/pazienti. Anche una ricetta del Medico di Medicina Generale è ritirabile in farmacia, purché sia volontà dell’interessato, sia ricevuta dal farmacista e consegnata in busta chiusa alla persona o a terzi dietro espressa delega.
Informativa e conservazione dei dati
L’informativa deve rispettare tutti i principi relativi al trattamento dati, indicati all’art. 5 del regolamento, tra i quali configura anche il principio di trasparenza. L’informativa è una sorta di “carta d’identità” del trattamento e deve spiegare in modo chiaro e conciso all’interessato i trattamenti che la farmacia effettua utilizzando dati personali. L’informativa può essere apposta nel sito in caso di attività di e-commerce e/o affissa nei locali per i servizi svolti all’interno del presidio.
È possibile dare più informative all’interessato in funzione alle attività/servizi che la farmacia intenda avviare con i dati della persona. In relazione all’ultimo di GDPR, nuovi elementi vanno inseriti nell’informativa, ad esempio i dati di contatto del DPO (Responsabile della Protezione dei Dati), l’indicazione per effettuare un reclamo all’autorità di controllo e il periodo di conservazione dei dati.
Questi ultimi vanno debitamente tutelati, anche quando siano inutilizzati o archiviati in una banca dati del titolare e nel rispetto della liceità del trattamento: la conservazione (oppure no) del dato stesso, la durata della conservazione con un termine che può essere espresso con una data fissa o con un criterio, ad esempio 5 anni dall’erogazione della prestazione, o qualora il termine non venga identificato, il farmacista titolare del trattamento è tenuto a fare fede al principio di accountability del DGPR, finanche la distruzione del dato dopo un determinato tempo dall’attività condotta. In caso di più titolari che avessero le stesse esigenze circa la conservazione di specifici dati potrebbe essere strategico identificare un codice di condotta uniforme e condiviso, da presentare all’autorità garante per la validazione e che potrebbe mettere in maggiore tranquillità e sicurezza il farmacista titolare dei dati stessi.
Dossier Farmaceutico (DF) e Ecosistema dei Dati sanitari (EDS)
Il DS, una componente del Fascicolo Sanitario Elettronico (FSE), sarà una delle prossime attività dei farmacisti. Tra le novità in arrivo c’è anche l’EDS, un sistema digitale innovativo e sicuro per la raccolta e l’analisi dei dati sanitari che offrirà servizi evoluti e innovativi soprattutto per pazienti e professionisti sanitari, compreso i farmacisti. Permetterà di migliorare prevenzione, diagnosi, cura, riabilitazione e profilassi internazionale e di rendere più vicine alle esigenze dei pazienti le attività di ricerca, programmazione e governo della salute pubblica da parte delle Istituzioni.
Specificatamente per attivare l’EDS, i dati del FSE verranno estratti e trasferiti all’interno dell’ecosistema che li elaborerà con tecniche algoritmiche (in futuro potenzialmente di IA), su richiesta degli interessati: professionisti sanitari, medici, infermieri, farmacisti. Fra i servizi pervisti dall’EDS vi è, infatti, anche il DF. In buona sostanza, l’EDS andrà via via a sostituire il FSE 2.0, che esita anche nel DF, con finalità di governo, ricerca e profilassi internazionale.
I servizi dell’EDS dovrebbero essere attivi entro il 31 marzo 2026, comunque non prima della completa attuazione della disciplina sul FSE 2.0 (31/3/2026) Decreto EDS del 31/12/2024 e Decreto fasi transitorie FSE 2.0 del 30/12/2024. Le informazioni cui ha accesso il farmacista sono reperibili al Decreto EDS, allegato A- Decreto FSE 2.0, allegato A par. 4.1.
Adempimenti per la tutela dei dati in farmacia
Registro del trattamento dei dati in qualità di titolare, registro di trattamento di qualità di responsabile in caso di erogazione di servizi per terzi (Asl o altri soggetti privati), registri per la valutazione dei rischi ai sensi dell’Art. 25 e 32 e per la valutazione di impatto in caso di impianto di videosorveglianza (di cui va esposto un cartello con specifiche informazioni riportanti il periodo di conservazione e cancellazione dei filmati, eventuale possibilità di visione in remoto delle riperse, basi giuridiche, accesso ai dati, link e QR Code per accedere all’informativa completa, ecc…).
Inoltre altri adempimenti cui è tenuta la farmacia includono: politiche per la gestione del trattamento dei dati, misure di sicurezza, politiche introdotte per la gestione di violazione dati, nomine dei responsabili dei trattamenti (commercialisti, consulenti del lavoro), informative e eventuali altre per servizi specifici, piani di formazione, regolamento di strumenti informatici, fra i principali.
