Privacy, da nuovo dispositivo più responsabilità per farmacie. Ecco come funziona
25/03/2018
Entrerà in vigore dal 25 maggio e, tra gli altri cambiamenti, introdurrà il principio di responsabilizzazione dei titolari dei dati, modificando obblighi e profilo di responsabilità delle farmacie. È questo il nodo del General data protection regulation (GDPR), il nuovo dispositivo europeo sulla privacy, e il tema è sempre più di attualità dal momento che in prospettiva le farmacie si apriranno sempre più a campagne anche nazionali di aderenza alla terapia, screening, che richiedono la gestione di dati. Già oggi, d'altra parte, sono molteplici le situazioni in cui si ha a che fare in farmacia con il dato personale: ricetta dematerializzata, Cup, Dpc, assistenza integrativa, trasmissione dati ricette, trasmissione degli scontrini fiscali, servizi tipo aderenza alla terapia, monitoraggio pressione arteriosa, telemedicina.Un primo punto da rilevare è che il GDPR entrerà in vigore direttamente, senza un atto di recepimento, e con esso verranno di fatto abrogate le norme dell'attuale Codice privacy (d.lgs. 196/2003) incompatibili, anche se gli Stati membri hanno la possibilità di «mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati relativi alla salute». Tra i contenuti, viene appunto introdotto il principio di responsabilizzazione dei titolari dei dati, a cui è richiesto di mettere in atto misure tecniche e organizzative per garantirne la tutela e di effettuare, laddove necessario, una valutazione dei rischi. Tra gli ulteriori obblighi previsti, quello di dimostrare che il trattamento è stato effettuato nel rispetto del regolamento e di notificare all'autorità di controllo (Garante privacy) i casi di violazione dei dati personali, a seguito per esempio di distruzione, perdita, divulgazione non autorizzata.
Inoltre, tra le richieste del nuovo regolamento c'è quella, come sottolineato da una circolare di inizio mese di Federfarma, che «tutte le farmacie, come del resto tutte le imprese o i professionisti che trattano dati sanitari, devono obbligatoriamente detenere, in forma scritta, anche in formato elettronico, un registro delle attività di trattamento dei dati personali svolte sotto la propria responsabilità». Mentre, come è stato chiarito dal Garante sulla Privacy, «dal momento che le farmacie non effettuano trattamenti su larga scala, non è necessario designare il responsabile della protezione dei dati (Data protection officer - Dpo)», anche se «tali considerazioni non sono estensibili tout court alle grandi catene di farmacie qualora avessero, per determinati trattamenti, un bacino d'utenza molto più vasto». Anche la Valutazione di impatto sulla protezione dei dati personali (Dpia), strumento previsto dal regolamento, non è richiesta in molti casi: «per i trattamenti di dati personali effettuati dalle farmacie per conto del servizio sanitario nazionale o regionale, stabiliti e disciplinati a monte da una legge, da un atto amministrativo o da un accordo, non ce ne sarà bisogno».
Il tema è complicato ed «è proprio per aiutare le farmacie ad adeguarsi e ad attuare la normativa» continua Nicola Stabile, presidente di Federfarma Campania e presidente di Promofarma, «che stiamo predisponendo, in collaborazione con Federfarma, uno strumento che possa guidare le farmacie al fine di renderle conformi al GDPR. Il lavoro è importante e il risultato che ci poniamo è di presentare a Cosmofarma una proposta alle farmacie che coniughi semplicità, efficienza ed economicità del servizio. Il nostro obiettivo principale infatti è quello di fare in modo che le incombenze in capo alle farmacie siano adeguate alla capacità operativa quotidiana, evitando quindi che gravino sulle attività professionale». Ma c'è anche una questione di prospettiva «legata al processo evolutivo della nostra professione, chiamata a diventare non più solo punto di erogazione di farmaci e di servizi, ma centro di indagine epidemiologica, di raccolta e analisi di dati attendibili ed omogenei sulla popolazione. Proprio quanto accaduto con il Diaday: non si è trattato infatti solo di effettuare uno screening sulla popolazione, ma il dato raccolto in maniera omogenea è stato messo in rete, elaborato e reso fruibile alle istituzioni. Questo è quanto saremo chiamati a fare sempre di più in un prossimo futuro, anche alla luce di una competitività dalla Legge Concorrenza che possiamo giocare sul fronte professionale, più che commerciale. Ma anche per ambire a una remunerazione adeguata».
