GDPR per le farmacie: la guida agli adempimenti

Con il GDPR, tutta la tematica che orbita attorno alla protezione dei dati personali si fonda sul principio di responsabilizzazione o di “accountability”[2]. Le 3– in qualità di titolari del trattamento dei dati – sono autonomamente responsabili delle loro scelte, delle loro azioni e di tutte le misure tecniche ed organizzative messe in campo (art. 5.2 e 24 GDPR); inoltre, devono “darne conto” ai pazienti/clienti interessati al trattamento, al Garante Privacy[3] e all’autorità giudiziaria. La farmacia opera come titolare del trattamento dei dati perché determina autonomamente le finalità e le modalità del trattamento. Quindi la farmacia tratta i dati dei pazienti, ad esempio, per finalità di terapia sanitaria, con strumenti informatici (ad es. PC o tablet, ricetta elettronica ecc.) e/o cartacei (ad es. ricetta medica cartacea).

Generalmente la farmacia “persona giuridica” opera sempre come titolare del trattamento, sia essa ditta o società. Più rara, la figura del titolare “persona fisica”, ossia il singolo farmacista nella duplice veste di imprenditore e di titolare del trattamento.

Non frequente ma possibile è la figura della farmacia contitolare del trattamento. Ai sensi dell’art. 26 GDPR quando due o più titolari determinano congiuntamente le finalità e le modalità del trattamento, essi sono contitolari del trattamento. La contitolarità viene sancita da un accordo interno che delinea le rispettive responsabilità in merito all’ottemperanza al GDPR. Può accadere, ad esempio, che una società ed una farmacia, oppure più società e/o più farmacie, stipulino un accordo nel quale determinano congiuntamente finalità e modalità del trattamento: in questo caso sarà fondamentale disciplinare adeguatamente l’esercizio dei diritti da parte degli interessati.

Fra i molteplici adempimenti che una farmacia deve adottare per essere conforme al gdpr riveste particolare importanza ottemperare a quanto stabilito dall'art.32:

La sicurezza dei dati personali

Con il GDPR non esistono più misure di sicurezza standard, ben elencate e “pronte per l’uso”. Consegnando alla storia il binomio misure minime / misure idonee di sicurezza di cui al vecchio Codice, con il GPDR le uniche misure di sicurezza ammesse sono quelle “adeguate”.

L’art. 32 GDPR dispone che per approntare delle adeguate misure di sicurezza bisogna tener conto dello stato dell’arte (avanzamento tecnologico), dei costi di attuazione (delle misure di sicurezza), della natura, dell’oggetto, del contesto e delle finalità del trattamento dei dati, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (porre in essere, quindi, un’analisi del rischio sui dati personali trattati). Il tutto per garantire un livello di sicurezza adeguato al rischio. Tra le “soluzioni” che l’art. 32 elenca – in maniera non esaustiva – vi sono:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (ovvero, anche la capacità del sistema di resistere e reagire);
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico (es. backup / disaster recovery]);
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Inoltre, nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Inoltre, la farmacia titolare del trattamento fa sì che chiunque agisca sotto la Sua autorità, e abbia accesso a dati personali, non tratti tali dati se non è istruito in tal senso (si veda il punto 5).

È sempre utile rammentare quelle che sono le misure imprescindibili per una farmacia (al pari di uno studio medico e odontoiatrico) che, in un certo senso, precedono quanto previsto dall’art. 32 GDPR:

  • Controllo degli accessi alle postazioni PC, nonché ad altri terminali, mediante username e password per ogni singolo operatore;
  • Username e password devono essere perfettamente memorizzati, non vanno scritti su carta e collocati a vista presso la postazione PC, sono personali e non cedibili a nessuno;
  • Ogni volta che si abbandona la postazione PC, anche per pochi secondi, va effettuata la disconnessione dal terminale (ad esempio, Logo Windows + L);
  • La password va cambiata periodicamente e non oltre 90 giorni;
  • Su ogni PC e terminale vanno installati Antivirus e Firewall con licenze d’uso originali (preferibilmente, non affidarsi a software gratuiti);
  • Antivirus e Firewall devono essere aggiornati quotidianamente;
  • Dotarsi di soluzioni di crittografia / pseudonimizzazione per gli archivi elettronici;
  • Porre in essere backup periodici.
  • Replicare le stesse misure di sicurezza sui terminali mobili (smartphone, tablet ecc.).

Ma cosa succede se la farmacia subisce un Data Breach (Violazione di dati personali – Artt. 33 e 34 GDPR)?[20]

In caso di Data Breach, la farmacia deve, senza ingiustificato ritardo e non oltre 72 ore dal momento in cui ne è venuto a conoscenza, notificare la violazione al Garante Privacy, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche[21]. Oltre le 72 ore è necessario allegare alla notifica il motivo del ritardo.

Cosa contiene la notifica del Data Breach al Garante Privacy?

  • Descrizione dettagliata del Data Breach;
  • Categorie (pazienti/clienti e/o altre persone fisiche) e numero approssimativo di interessati;
  • Categorie e numero approssimativo di registrazioni dei dati personali;
  • Dati di contatto della farmacia per tutte le informazioni richieste dal Garante Privacy;
  • Descrizione delle probabili conseguenze del Data Breach;
  • Descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio.

In ogni caso, a prescindere dalla necessità di notifica o meno di un Data Breach, la farmacia ha l’obbligo di documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente al Garante Privacy di verificare il rispetto di quanto disposto dal GDPR (art. 33.5 GDPR).

per maggiori informazioni in materia di protezione dei dati contattaci per una consulenza gratuita:  info@btonesolution.it