Privacy in farmacia: gli adempimenti
Privacy in farmacia: gli adempimenti

Privacy in farmacia: gli adempimenti

Come è noto, a decorrere dal 25 maggio 2018, si applica anche alle Farmacie il Regolamento europeo 2016/679, cd. GDPR

Gli adempimenti a carico delle Farmacie, trattando dati personali (ed anche di natura particolari - sensibili) sono diversi.

Informativa

La Farmacia dovrà rilasciare una valida e completa informativa a pazienti, clienti e dipendenti.

Il GDPR stabilisce che, per le finalità di assistenza sanitaria e di terapia da parte dei professionisti della salute e nel caso in cui i dati sanitari siano trattati da e sotto la responsabilità di un professionista soggetto al segreto professionale, il trattamento dei dati sanitari avviene senza il consenso dell’interessato (art. 9 GDPR), mentre il trattamento per finalità diverse da quella sanitaria rimane pacificamente sottoposto alla necessità del consenso.

Quindi, il trattamento dei dati personali relativo alle ricette non richiederà il consenso.

Invece, il trattamento dei dati personali per la “fidelity card” richiederà il consenso del cliente che aderisce al programma fedeltà.

L’informativa deve essere aggiornata ed adeguata al GDPR (artt. 12-14 GDPR) e resa in forma concisa, trasparente, intellegibile e facilmente accessibile, con linguaggio semplice e chiaro.

I Diritti dell'interessato

Il GDPR ha previsto una serie di diritti a favore dall'interessato che vanno dall'articolo 12 in poi (accesso, modifica, limitazione, opposizione etc) che potranno essere esercitati verso il Titolare del trattamento.

Funzioni Privacy in Farmacia

La Farmacia è il titolare del trattamento ex lege.

La Farmacia potrà nominare un responsabile interno privacy per la gestione degli adempimenti su delega del Titolare del trattamento.

I soggetti che all'esterno della Farmacia trattano i dati personali dei clienti o pazienti della Farmacia per l'esecuzione di servizi (es. consegne farmaci a domicilio) dovranno essere nominati responsabili esterni privacy ai sensi dell'art. 28 GDPR.

I soggetti che all'interno della Farmacia trattano i dati personali dei pazienti dovranno essere debitamente autorizzati al trattamento dei dati personali (art. 29 GDPR).

La Farmacia, di regola, per le dimensioni che ha, non è tenuta a nominare un DPO o Data Protection Officer. Se le dimensioni della Farmacia sono importanti (in termini di utenti e pazienti – cd. Larga scala) o le sue estensioni vanno oltre un'unica sede, allora, in tal caso, si dovrà valutare la nomina di un DPO.

Registro del trattamento e Accountability

La Farmacia deve tenere un registro del trattamento ai sensi dell'art. 30 del GDPR.

Ugualmente dovrà rendicontare le scelte operate (Accountability) lasciando traccia scritta delle motivazioni, sia per il passato che per il presente che per il futuro.

Una sorta di “diario di bordo” della protezione dei dati personali.

Valutazione d'impatto

Per quanto attiene alla valutazione di impatto sulla protezione di dati personali, cd. DPIA (art. 35 GDPR), tale attività non è obbligatoria per ogni singolo trattamento ma solo qualora, nell’ambito della valutazione del rischio, il titolare del trattamento verifichi che il trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche, in particolare quando il trattamento sia effettuato su larga scala.

Data Breach – Violazione dei dati personali

In caso di violazione dei dati personali (consistente nella distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati), cd. Data Breach (art. 33 GDPR) che presenti un rischio per i diritti e le libertà delle persone fisiche, il titolare deve procedere a notificare la violazione al Garante entro 72 ore dalla conoscenza della violazione.

Le misure di sicurezza dei dati personali

L’art. 32 GDPR stabilisce che, per approntare delle adeguate misure di sicurezza, bisogna tener conto dello stato dell’arte (avanzamento tecnologico), dei costi di attuazione (delle misure di sicurezza), della natura, dell’oggetto, del contesto e delle finalità del trattamento dei dati, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (porre in essere, quindi, un’analisi del rischio sui dati personali trattati).

Formazione

Non secondario è l'obbligo di formazione a carico del Titolare del trattamento nei confronti dei suoi dipendenti e collaboratori, formazione tesa a sensibilizzare i soggetti autorizzati sui rischi e sulle misure di protezione dei dati personali.

In conclusione, sebbene in modo molto sintetico, abbiamo visto che anche le Farmacie sono chiamate a dotarsi di un sistema di protezione dei dati personali, non solo per tutelare i diritti dei soggetti interessati, ma anche per non incorrere in responsabilità e sanzioni che potranno essere sia di natura amministrativa che penale e, infine, civile.

pharmakon
Lo spazio dedicato al Farmacista Territoriale che propone contenuti formativi, informativi e di intrattenimento su misura per i professionisti del benessere

Commenti