Ue: nuovo regolamento privacy per il settore sanitario e farmaceutico

Il 25 maggio del 2018, come ben noto ormai, farà ufficialmente la sua grande entrata in scena il nuovo Regolamento Ue 2016/79 sulla protezione dei dati, normativa con cui la Commissione europea intende conformare entro i confini dell’Europa le norme inerenti la raccolta, il trattamento e la conservazione dei dati personali, la gestione della sicurezza delle informazioni e dei processi di conformità e delle relazioni contrattuali.

In precedenti articoli abbiamo già trattato vari aspetti sull’entrata in vigore del nuovo Regolamento Generale sulla Protezione dei Dati (Gdpr, General Data Protection Regulation) dalle sanzioni alle novità per le imprese (vedi Nuovo Regolamento Ue sulla privacy: il countdown è iniziato! del 20.02.2018 e Ue. Bandi e finanziamenti per la cibersicurezza e privacy del 10.02.2018) in vista dell’obbligo di adeguamento ormai prossimo che colpirà Pmi, Pa, Organizzazioni no profit, banche, ecc.

Capitolo a parte merita, per l’applicazione delle nuove norme - poiché di indiscusso rilievo - il settore sanitario e farmaceutico.

Un settore con diversi aspetti riservati alla privacy sanitaria da non sottovalutare, considerato che in una farmacia ad esempio, come spesso accade, transitano dati sensibili di gran lunga superiori a quelle di altre piccole organizzazioni, dalla prenotazione di esami diagnostici, alla registrazione di intolleranze alimentari o patologie ecc., e da qui, quindi, la necessita di proteggere anche i sistemi informatici.

Aspetti e regole a cui dovranno comunque conformarsi le organizzazioni sanitarie e le aziende che, a diverso titolo, gestiscono database e dati personali degli utenti.

Il nuovo Regolamento è direttamente applicabile agli Stati membri abrogando tutte le disposizioni nazionali incompatibili. Tuttavia, nel settore sanitario, è consentito agli Stati membri di mantenere o introdurre ulteriori misure, anche limitative, riguardo al trattamento di dati relativi alla salute. Non sarà possibile quindi adottare le stesse procedure previste per le imprese.

Occorrerà infatti andare ad interpretare ed applicare il nuovo Regolamento 679/2016 in maniera coordinata e combinata con le norme specifiche del settore (il Dlgs 219/2006 per il farmaco e la dir 93/42/CEE per i medical device).

Per alcune strutture grandi come ospedali o aziende farmaceutiche, che gestiscono grosse quantità di dati, il nuovo Regolamento Ue impone obblighi precisi nella gestione dei dati, per un’assoluta correttezza ed esattezza, ma ad ogni modo gli obblighi e gli adempimenti per essere conformi alle prescrizioni dovranno essere adottati sia nel caso di una piccola farmacia di provincia sia di una farmacia di una grande città, con problematiche differenti.

In area sanitaria le informazioni attinenti ogni paziente, come anzidetto, sono particolarmente sensibili e quindi richiedono un livello di gestione e sicurezza molto alto, occorrerà quindi adottare misure atte a garantirne l’integrità, la correttezza e l’aggiornamento da cui non solo dipende il rispetto della riservatezza del paziente, ma soprattutto della sua salute.

Il Gdpr (General Data Protection Regulation) a riguardo modifica diversi aspetti inerenti la raccolta, il trattamento e la conservazione dei dati stessi.

In area farmaceutica e medical device il grande impatto sarà:

• sulla gestione dei Clinical Trials;
• sull’uso di tutte le apparecchiature software;
• sull’informazione medico scientifica tradizionale e digitale;
• sulle dichiarazioni annuali che le Aziende obbligatoriamente devono fare all’Agenzia del Farmaco.

Adempimenti – Due nuovi importanti adempimenti si dovranno porre in essere:

• la valutazione di impatto sulla protezione dei dati e
• la nomina del Responsabile della protezione dei dati personali.

Il Regolamento obbliga chi effettua un trattamento di dati sanitari su larga scala a una valutazione dell’impatto sui trattamenti previsti sulla protezione dei dati personali.

Come negli altri settori dovrà essere individuato in primis il DPO (Data Protection Officer), in altre parole il responsabile della protezione dei dati personali (Rpd). Il titolare della farmacia o la persona che si farà carico di tale ruolo dovrà essere nominata e formata adeguatamente. Secondo il principio di accountability (responsabilizzazione) che caratterizza tutto il nuovo Regolamento, il Rpd dovrà avere una conoscenza specialistica della normativa in modo che possa assistere l’azienda nell’attuazione.

Tale figura sarà inoltre chiamata a individuare i dati trattati e a valutare quali adempimenti porre in essere. Un ruolo “chiave”dunque, in quanto dovrà garantire contrattualmente la conformità alle norme dettate dal nuovo Regolamento, e non solo sarà anche direttamente responsabile sia sotto il profilo sanzionatorio e sia sotto i profili penale e risarcitorio.

Il principio di "responsabilizzazione" di titolari e responsabili del trattamento prevede l'adozione di misure atte a garantire proattivamente l'osservanza del regolamento nella sua interezza.

Dovrà essere inoltre stipulato obbligatoriamente un accordo interno (art. 26, paragrafo 1), atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell'art. 28 al fine di dimostrare che il responsabile fornisce "garanzie sufficienti" quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento.

Sarà possibile comunque la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest'ultimo risponde dinanzi al titolare dell'inadempimento dell'eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento.

Gli obblighi specificiin capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari riguarderanno, in particolare, la tenuta del registro dei trattamenti svolti e l'adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti, dovrà inoltre farsi carico della compilazione e tenuta del registro dei trattamenti, della eventuale notificazione del data breach (notifica alle autorità competenti della violazione dei dati personali) e delle modalità per rispettare l’obbligo di dimostrare l’attuazione della normativa europea.

Nel frattempo, in attesa della completa applicazione delle norme, Federfarma si è riservata la facoltà di fornire indicazioni operative alle farmacie e alle associazioni in presenza di ulteriori interventi delle Autorità competenti e come di consuetudine, emanerà circolari per fornire chiarimenti ed eventuali codici di condotta.