Il Gdpr (General Data Protection Regulation), la normativa con cui la Commissione europea intende rafforzare e unificare la protezione dei dati personali entro i confini dell’Ue, modifica in modo sostanziale diversi aspetti inerenti la raccolta, il trattamento e la conservazione dei dati stessi. O forse sarebbe meglio dire modificherà, visto che l’entrata in vigore è prevista il 25 maggio del 2018. Una decisione che comporta per farmacie e parafarmacie l’adozione di un preciso sistema di policy, specifiche misure tecniche e organizzative volte a permettere un controllo continuativo della loro conformità con la nuova normativa.
Dei cambiamenti che il Gdpr introdurrà e dell’impatto che avrà sul mondo farmaceutico si è parlato nel convegno “Nuovo regolamento europeo sulla privacy: gli adempimenti per le farmacie e le parafarmacie” organizzato da Fulcri.
Prima individuare i dati trattati e poi valutare gli adempimenti
“Nel settore sanitario le informazioni attinenti ogni paziente sono particolarmente sensibili”, ha commentato Bruno Foresti, dell’Ufficio legale Federfarma nazionale, “occorre quindi adottare misure atte a garantirne l’integrità, la correttezza e l’aggiornamento da cui non solo dipende il rispetto della riservatezza del paziente, ma soprattutto della sua salute”.
Per Federfarma, il titolare di farmacia è chiamato a individuare i dati trattati e valutare quali adempimenti porre in essere, tra quelli segnalati nel regolamento in relazione alla tipologia e alla quantità dei dati, al rischio e a ulteriori parametri disciplinati dalla nuova normativa. Tuttavia non è pensabile adottare le stesse procedure previste per le grandi imprese. Ma è comunque possibile individuare standard applicativi (l’elaborazione di codici di condotta da parte delle associazioni di categoria) adatti al mondo delle piccole imprese e in particolare delle farmacie.
Necessari standard applicativi ad hoc
Secondo Foresti “il ruolo di Federfarma nell’applicazione del regolamento alle farmacie sarà di individuare standard applicativi che, riconoscendo la peculiarità delle singole realtà, non risultino eccessivamente gravosi e quindi danneggino l’efficienza del servizio”.
Gli avvocati Andrea Palumbo, PhD cultore della materia informatica giuridica dell’Università degli Studi di Milano Bicocca, e Stefano Ricci, professore di informatica dell’Università dell’Insubria nonché membro del Bicoccca Security Lab, hanno affrontato i temi dei cambiamenti introdotti dal nuovo regolamento e dell’impatto di questi sulle farmacie.
“Da maggio 2018”, ha spiegato Palumbo, oltre alla modalità e agli scopi dei dati raccolti, dovremmo indicare precisamente agli interessati per quanto tempo saranno conservati e quali sono i soggetti ai quali potremmo trasferire dati o quale sarà la base legale che ci consentirà di effettuare un determinato tipo di elaborazione. Rimane invece immutato il principio di legittimità del trattamento”.
La responsibilità in capo al titolare del trattamento
Un ulteriore aspetto, che Palumbo ritiene tra i più importanti della normativa, è la responsabilità diretta di chi gestisce il trattamento dei dati: “Non solo dovrà garantirci contrattualmente la conformità, ma, qualora colto in fallo, sarà direttamente responsabile sia sotto il profilo sanzionatorio sia sotto i profili penale e risarcitorio”.
“È richiesta al titolare del trattamento”, ha sottolineato Stefano Ricci, “un’analisi del proprio stato rispetto agli obblighi in materia di sicurezza dei dati personali, il cosiddetto principio dell’accountability, un elemento cardine per l’informatizzazione dei processi decisionali”. Ricci ha proposto quindi di adottare una gap analisi, ovvero un’analisi documentata e documentale di quanto c’è e di quanto non c’è a livello normativo per valutare il livello di adeguamento alla legge e studiarne il processo di implementazione. “Questo”, ha concluso Ricci, “permetterà di designare ruoli e di definire responsabilità e di predisporre documenti obbligatori o consigliati, come il registro delle attività di trattamento, la procedura di data breach e la valutazione sulle proprie misure di sicurezza informatica. Tutte queste misure dovranno essere documentate”.
Il Garante della privacy ha messo a disposizione una guida per l’applicazione del Regolamento europeo in materia di protezione dei dati personali soggetta a integrazioni e modifiche alla luce dell’evoluzione della riflessione a livello nazionale ed europeo.
Patrizia Godi
