La farmacia e la privacy
La gestione del trattamento dei dati personali nel settore delle farmacie presenta diverse problematiche che, nel rispetto della normativa di settore (Regolamento UE n. 679/2016 – GDPR e d.lgs. 196/2003 – Codice Privacy su tutti), abbiamo affrontato nell’ottica dell’efficienza e della semplicità. In sintesi, di seguito si elencano le criticità, le interpretazioni delle varie fattispecie ed alcune delle possibili soluzioni.
*
Premessa: con l’introduzione del GDPR, tutta la tematica che orbita attorno alla protezione dei dati personali si fonda sul principio di responsabilizzazione (“accountability”) ovvero sul fatto che le farmacie – in qualità di titolari del trattamento dei dati – adottino:
a. azioni concrete a tutela della privacy
b. misure di sicurezza tecniche ed organizzative, adeguate ai rischi che i trattamenti possono comportare ai diritti ed alle libertà dei soggetti interessati, e cioè i pazienti/utenti della farmacia.
Ciò implica, in primo luogo, la predisposizione di un’analisi dei rischi – possibilmente fondata su framework collaudati – sulla cui base scegliere e parametrare le misure più adeguate per mitigare – appunto – i rischi.
Nell’attività quotidiana, alla farmacia si pongono questioni di particolare importanza sulle quali ci soffermeremo, sottolinenando – come detto – da un lato gli aspetti critici e dall’altro prospettando un ventaglio di possibili interpretazioni e soluzioni. Tralasciando le problematiche e le soluzioni per così dire “assodate” (quali la predisposizione e la comunicazione/divulgazione dell’informativa, la nomina del responsabile della protezione dati…), affrontiamo adesso alcune delle fattispecie più delicate e spinose.
1. Consenso e basi giuridiche
1.1. Domanda: è il consenso la condizione che legittima il trattamento dei dati personali?
Risposta: dipende. L’attività principale della farmacia è rappresentata dalla “cura del paziente” che, in concreto, si manifesta nella fornitura dei medicinali prescritti e/o in una prima consulenza medica.
Per questo tipo di attività, il relativo trattamento di dati personali è giustificato non dal consenso ma da finalità di medicina preventiva, medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale, ovvero gestione dei sistemi e servizi sanitari o sociali.
Sul piano pratico, ciò significa che non deve essere richiesto alcun consenso; sul piano ancora più pratico, l’informativa sul trattamento dei dati personali, comunque obbligatoria, potrà essere resa fruibile ai soggetti interessati attraverso modalità semplici e “smart”: totem, qr-code…
1.2. Domanda: quando, allora, rileva il consenso al trattamento dei dati personali?
Risposta: il consenso rappresenta la base per legittimare il trattamento dei dati personali per quanto riguarda attività per c.d. accessorie a quella primaria della farmacia.
Per attività accessorie devono intenedersi tutte quelle situazioni dove la farmacia si trovi ad agire con “finalità anche solo latamente commerciali” raccogliendo cioè i dati dei pazienti – utenti – consumatori per finalità di vendita diretta di prodotti o di comunicazione di particolari offerte commerciali.
Le ipotesi più comuni sono:
1.2.1. Fidelity card: chiariamo subito che con la sottoscrizione della fidelity card tra la farmacia e l’interessato viene stipulato un vero e proprio contratto. Sotto l’aspetto della privacy, è la presenza stessa del contratto che legittima il trattamento dei dati personali. Anche l’invio di comunicazioni relative alla fidelity (ad esempio, informazioni sui punti in possesso) rientrano nelle finalità contrattuali o, tutt’al più, nell’interesse legittimo del titolare che, specularmente, rispecchia ragionevolmente l’aspettativa dell’interessato ad essere informato sul programma di fidelizzazione.
1.2.2. Newsletter: il consenso rileva chiaramente nel momento in cui al programma di fidelity si affianchi il servizio di newletter promozionale o, indipendentemente dal programma di fidelizzazione, quando la farmacia decida di promuovere i prodotti con questo strumento. Il consenso diviene la base giuridica che legittima il trattamento dei dati personali. In casi del genere, dunque, l’invio di mail promozionali è lecito solo se prima la farmacia ha acquisito dall’interessato il consenso specifico a ricevere mail di contenuto promozionale.
Vi è da dire che questo schema è replicabile anche nel caso in cui, al posto della mail, vengano utilizzati, ad esempio, servizi di messaggistica istantanea.
1.2.3. Mail promozionali personalizzate (profilazione): qualora, oltre alla classica newsletter, la farmacia voglia inviare comunicazioni personalizzate basate sulle preferenze e/o gli acquisti effettuati dai pazienti, si rientra nell’ambito della profilazione e, più in generale, dei trattamenti automatizzati. Ciò impone al titolare la necessità di richiedere un ulteriore e diverso consenso rispetto al precedente affinché il trattamento possa definirsi lecito, in quanto il relativo trattamento risulta essere più penetrante nella sfera personale dell’individuo rispetto a quello visto al punto 1.2.2.
Sul tema, occorre svolgere la seguente precisazione: l’acquisizione dei dati di acquisto e di preferenza per l’invio di mail personalizzate è idoneo in sé a rivelare non solo le abitudini di acquisto del paziente ma a palesare eventuali sue patologie e, quindi, un dato particolare (ex dato sensibile), per sua natura soggetto ad esser maggiormente tutelato.
Questa situazione comporta che il consenso vada richiesto ai sensi dell’art. 9 lettera a) del GDPR (condizione di esenzione necessaria ogniqualvolta si voglia trattare un dato particolare in assenza delle altre condizioni indicate da tale norma) e non dell’art. 6 lettera a).
Ciò che appare un mero formalismo, in realtà palesa un netto profilo sostanziale laddove vengono in rilievo gli obblighi di trasparenza ed informazione a carico del titolare: infatti, il titolare medesimo dovrà specificare all’interessato nell’informativa l’esatta base giuridica, pena l’illegittimità del trattamento.
1.2.4. E-commerce: qualora la farmacia venda i prodotti con tale sistema, tra la stessa ed il cliente si instaura un rapporto contrattuale che, di regola, costituisce la base giuridica per legittimare il trattamento dei dati personali. Tuttavia, poiché i prodotti venduti sono idonei a rivelare le patologie dell’utente, la base giuridica di riferimento non può che essere il consenso ai sensi dell’art. 9 lettera a) del GDPR.
Particolare attenzione deve essere prestata alla corretta redazione delle cosiddette CGC (Condizioni Generali di Contratto ovvero dei Termini e Condizioni di acquisto) che disciplinino compiutamente il rapporto contrattuale fra il Cliente e la farmacia online.
1.2.5. Messaggistica istantanea: è ormai consolidato che gli strumenti di messaggistica istantanea non danno alcuna garanzia legale sull’identità del mittente, quindi è sempre un rischio utilizzarli in ambito sanitario. Nel rapporto fiduciario tra farmacia e paziente/cliente è diffuso lo scambio di dati particolari, soprattutto tramite applicazioni di messaggistica istantanea (SMS, Whatsapp, Facebook Messenger…). Tuttavia non è consigliabile affidarsi a tali strumenti, sia per problemi di sicurezza delle informazioni, che per problemi di non aderenza al GDPR (ad esempio, trasferimento dei dati in Paesi Extra Ue); tuttavia, non si può neppure impedire ad un utente di chiedere un parere tramite questi strumenti. Ribadendo la necessità di utilizzarli al minimo, la richiesta di un parere con queste modalità implica di per sé, da parte dell’interessato, il rilascio di un consenso al trattamento dei propri dati personali.
2 Dipendenti e collaboratori della farmacia
2.1. Domanda: come va disciplinato il rapporto tra la farmacia ed i suoi dipendenti e collaboratori?
Risposta: ai sensi della normativa di settore, i dipendenti sono da qualificarsi come soggetti autorizzati al trattamenti dei dati personali. In pratica, il titolare deve formalmente nominarli, specificando nell’atto di nomina le istruzioni al trattamento dei dati personali e gli obblighi in materia. La qualifica di autorizzato, inoltre, impone alla farmacia di formarli adeguatamente in materia ed a cadenza regolare.
2.2. Domanda: i collaboratori ed i fornitori esterni come si qualificano?
Risposta: a seconda del rapporto con il soggetto esterno, cambia la qualificazione. Di regola, i soggetti esterni operano per conto del titolare in qualità di responsabili del trattamento (i.e. soggetti che trattano i dati per conto del titolare). Si pensi al consulente del lavoro, al commercialista, al fornitore dei servizi IT (gestionale, cloud…).
Può tuttavia capitare che i locali della farmacia siano locati a dei medici o che negli stessi siano presenti promoter di alcuni marchi di medicinali e/o prodotti: in tali casi, il rapporto tra i vari soggetti può esser disciplinato, come già sopra prospettato, da un accordo di contitolarità, nel quale ciascuna parte definisce gli obblighi di rispettiva competenza in tema di trattamento di dati personali.
3. Tempi di conservazione dei dati
3.1. Domanda: per quanto tempo devono essere conservati i documenti contenenti i dati personali?
Risposta: il periodo di conservazione varia a seconda del trattamento.
Ad esempio, i dati trattati per la gestione della fidelity, trovano un limite nel momento in cui l’interessato si disiscrive dal programma; per le finalità promozionali, i dati possono essere trattati finché l’interessato non revoca il consenso; in caso di profilazione, occorre stabilire quale sia il periodo necessario per il raggiungimento di tale finalità: è il titolare che, nel rispetto del principio di responsabilizzazione, deve determinarlo. N.B.: con riguardo a questa problematica, più che di periodo di conservazione è più corretto parlare di periodo entro cui è lecito trattare i dati.
Infatti, dagli esempi sopra proposti, nel caso di raggiungimento del periodo entro cui si realizza la finalità, può sicuramente palesarsi l’esigenza di continuare a trattare quei dati per altre finalità, come quella relativa alla tutela dei diritti del titolare che necessariamente devono rapportarsi con i tempi di prescrizione previsti dall’ordinamento (che ordinariamente vanno dai 5 ai 10 anni).
Questo implica che con la cessazione di un trattamento non deve seguire la cancellazione dei dati, perché gli stessi possono rilevare in sede contenziosa qualora ci sia da difendersi.
4. Sicurezza
4.1. Domanda: come scegliere le misure di sicurezza adeguate?
Risposta: a differenza della precedente normativa, con il GPDR non sono ammissibili elenchi standard di misure di sicurezza: le uniche ammesse sono quelle cd. “adeguate”, frutto di una scelta basata sull’analisi del rischio effettuata dal titolare del trattamento conformemente al principio di responsabilizzazione.
L’art. 32 GDPR, infatti, dispone che per approntare delle adeguate misure di sicurezza bisogna tener conto – oltre che dello stato dell’arte (avanzamento tecnologico), dei costi di attuazione (delle misure di sicurezza), della natura, dell’oggetto, del contesto e delle finalità del trattamento dei dati – del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
La scelta delle misure, come è intuibile, è il frutto di una valutazione di molteplici aspetti che presuppone l’effettuazione di una compiuta analisi dei rischi del trattamento dei dati.
L’adozione autonoma, in applicazione del principio di responsabilizzazione, di misure adeguate a tutelare i dati degli interessati è conseguenza diretta di un’analisi, inoltre, della struttura della farmacia e della sua organizzazione concreta, in modo da individuare i punti di forza e le vulnerabilità.
5. Videosorveglianza
5.1. Domanda: l’installazione di un sistema di videosorveglianza ha implicazioni privacy?
Risposta: e indubbio che la quasi totalità delle farmacie oramai possiede dispositivi di videosorveglianza, che cercano di minimizzare i rischi derivanti da episodi di criminalità (ad esempio, furti). È pacifico, poi, che tali sistemi raccolgano dati personali (le immagini) riferiti, in particolare, a due categorie di interessati: utenti e dipendenti/collaboratori.
In entrambi i casi, occorre che l’area videosorvegliata sia adeguatamente definita con l’apposita cartellonistica indicata dal Garante e facilmente rintracciabile (c.d. informativa di primo livello). È, inoltre, necessario fornire agli interessati – con le modalità più adeguate – l’informativa di secondo livello, e cioè l’informativa predisposta ai sensi dell’art. 13 del GDPR.
Va, infine, aggiunto che la farmacia, a meno che non vi operi il singolo farmacista, debba essere intesa come un luogo di lavoro: come tale, relativamente alla categoria dei dipendenti e dei collaboratori, si applica l’art. 4 dello Statuto dei Lavoratori (L. 300/1970), per cui – in presenza di tali soggetti – l’impianto di videosorveglianza deve essere preventivamente oggetto di accordo sindacale o di autorizzazione da parte del competente Ispettorato del Lavoro..
Francesco Giunti
