La Privacy nella Farmacia 2.0

Negli ultimi anni, le farmacie hanno ampliato la gamma di servizi offerti ai cittadini, evolvendo da semplici punti di dispensazione di farmaci a veri e propri presidi sanitari di prossimità. Questa trasformazione ha portato a una maggiore gestione di dati personali anche appartenenti a categorie particolari, imponendo ai farmacisti il dovere di rispettare rigorosamente la normativa sulla protezione dei dati personali, in particolare il Regolamento Generale sulla Protezione dei Dati (GDPR), il Codice Privacy novellato (D.Lgs 196/2002 aggiornato dal D.Lgs 101/20218) e le linee guida nazionali.



L’Importanza del GDPR nella Gestione dei Dati Sanitari

Il GDPR ha introdotto principi chiave che i farmacisti devono seguire nella gestione dei dati personali, tra cui:

  • Liceità, correttezza e trasparenza: I dati devono essere raccolti con il consenso esplicito dell’interessato e trattati in modo chiaro, ma solo nei casi in cui tale consenso è necessario, oppure in base ad altra base giuridica come stabilito dal GDPR (ad esempio non per la dispensazione di farmaci dietro presentazione di ricetta medica). Il tutto supportato da adeguata informativa all’interessato.
  • Limitazione delle finalità: Le informazioni devono essere utilizzate esclusivamente per gli scopi dichiarati, come la fornitura di servizi sanitari o la gestione delle prescrizioni mediche e non per finalità di marketing.
  • Minimizzazione dei dati: Devono essere raccolti solo i dati strettamente necessari per l’erogazione del servizio (ad esempio nella raccolta punti per ottenere sconti o per le carte fedeltà).
  • Integrità e riservatezza: Devono essere adottate misure tecniche e organizzative per garantire la sicurezza dei dati ed evitare accessi non autorizzati.

Nuovi Servizi Farmaceutici

L’introduzione di servizi innovativi, come la telemedicina, la prenotazione online di farmaci e la consulenza tramite strumenti digitali (whatsapp, e-mail, sito web), ha reso ancora più cruciale il rispetto della normativa sulla protezione dei dati.

Questi servizi spesso richiedono l’acquisizione e la conservazione di informazioni sanitarie sensibili, aumentando il rischio di violazioni della privacy. Ad esempio, piattaforme web che offrono il ritiro di farmaci su prenotazione o servizi di consulto devono garantire che i dati siano trasmessi e conservati in modo sicuro, evitando la condivisione non autorizzata con terze parti.

Obblighi dei Farmacisti nella Protezione dei Dati

I farmacisti hanno la responsabilità di garantire la conformità alle normative vigenti attraverso:

  • Formazione continua: Aggiornarsi costantemente sulla normativa (GDPR, Codice Privacy, Linee Guida EDPB, Provvedimenti del Garante Privacy nazionale) e sulle migliori pratiche per la protezione dei dati.
  • Adozione di misure di sicurezza: Implementare sistemi di protezione informatica per evitare attacchi hacker e accessi non autorizzati.
  • Gestione dei consensi: Assicurarsi che i pazienti siano pienamente informati su come vengono trattati i loro dati e ottenere il consenso esplicito quando necessario, in particolare nei servizi di telemedicina.
  • Registrazione e tracciabilità: Mantenere documentazione sulle procedure adottate per la protezione dei dati e garantire la tracciabilità di ogni operazione effettuata.

Il rispetto della normativa sulla protezione dei dati non è solo un obbligo legale, ma anche un elemento fondamentale per tutelare la fiducia dei pazienti nei confronti delle farmacie. La crescente digitalizzazione dei servizi richiede un approccio consapevole e responsabile nella gestione dei dati personali, per garantire la sicurezza e la riservatezza delle informazioni sanitarie. I farmacisti devono quindi adottare tutte le misure necessarie per proteggere la privacy dei loro clienti e operare nel pieno rispetto della normativa vigente.

Il rischio nella gestione dei nuovi servizi

Oggi le farmacie italiane offrono una vasta gamma di servizi, tra cui la dispensazione di farmaci con e senza ricetta, la telemedicina (ECG a distanza, Holter pressorio e Holter sanguigno), la prenotazione online di farmaci, l’accettazione di campioni biologici per lo svolgimento di esami di laboratorio e il ritiro dei referti di esami di laboratorio, la misurazione della pressione, test diagnostici rapidi (emocromo, profilo lipidico, ecc.), vaccinazioni e servizi di assistenza personalizzata per i pazienti cronici, analisi della pelle e del capello, nonché vendita di prodotti on-line (e-commerce).

Nel rapporto fra farmacia e fornitore di servizi, i ruoli soggettivi in materia di privacy possono variare in base alle attività svolte. La farmacia, generalmente, agisce come Titolare del trattamento dei dati personali, in quanto determina le finalità e i mezzi del trattamento. Il fornitore di servizi, invece, può assumere il ruolo di Responsabile del trattamento quando tratta i dati per conto della farmacia, seguendo le istruzioni ricevute. Spesso, tuttavia, è il fornitore stesso che determina mezzi e finalità del trattamento dei dati personali, poiché gestisce la parte fondamentale del processo di erogazione del servizio: si pensi ai servizi di telemedicina come l’ECG o l’esecuzione di esami di laboratorio a seguito di campioni prelevati in farmacia.

È fondamentale che tra le parti venga stipulato un accordo chiaro per garantire la conformità al Regolamento UE 679/2019 (GDPR) e la protezione dei dati personali dei pazienti. Tale accordo per i servizi dove è il fornitore a determinare mezzi (ad esempio strumenti informatici) e finalità del trattamento (ad esempio esecuzione di esami di laboratorio) deve riportare esplicitamente la nomina della Farmacia a Responsabile del Trattamento e investire il fornitore del ruolo di Titolare. Diversamente la Farmacia sarà esposta a rischi di sanzione e risarcimento danni in caso di violazioni di dati perpetrate nei sistemi del fornitore.

In particolare, per quanto riguarda i servizi svolti per conto di ASL o del Servizio Sanitario Nazionale (SSN) le farmacie agiscono come Responsabili del Trattamento. Negli ultimi anni, oltre ai servizi più propriamente sanitari, hanno iniziato a svolgere anche servizi come l’attivazione dello SPID (per conto di Lepida nella Regione Emilia-Romagna) e del Fascicolo Sanitario.

Altro aspetto critico è l’esecuzione di esami sanguigni con apparecchiature automatiche (in autoanalisi), oggetto di recenti polemiche sulla qualità degli esiti a seguito di un’inchiesta di Milena Gabbanelli sulla base di uno studio effettuato dalla National Library of Medicine. Spesso le farmacie non hanno consapevolezza di quali dati vengono raccolti e conservati dal software e se il fornitore dell’apparecchiatura ha accesso ai dati dei referti, mentre il Regolamento UE 679/2016 richiede un’informativa chiara da fornire al paziente con garanzia del rispetto di tutti i suoi diritti.

Le stesse criticità sono presenti nell’erogazione di servizi di analisi varie (analisi della pelle, analisi del capello, densitometria, intolleranze alimentari, ecc.), spesso proposti in partnership con il fornitore dell’apparecchiatura di analisi o del kit di raccolta campioni con analisi svolta dal laboratorio del fornitore. Per questi servizi il fornitore dovrebbe fornire al farmacista un servizio con trattamento di dati personali privacy-by-design, ma sovente così non è, facendo ricadere sulla farmacia l’onere di fornire al paziente un’informativa privacy con richiesta di consenso adeguata e di disciplinare il rapporto con il fornitore che sovente è poco collaborativo dal punto di vista della gestione dei dati personali.

Anche le diffuse carte fedeltà (fidelity card) delle farmacie sono spesso gestite in modo non conforme ai requisiti normativi con informative carenti o addirittura assenti e conservazione dei dati personali del cliente oltre quanto indicato dal Garante Privacy.

Proprio in virtù dell’enorme mole di dati personali che le farmacie trattano, devono adottare una serie di misure di sicurezza per proteggere i dati personali dei propri clienti. Tra queste rientrano l’uso di software aggiornati e certificati per la gestione dei dati, l’adozione di sistemi di autenticazione a più fattori per limitare l’accesso non autorizzato, la crittografia delle informazioni sensibili, la formazione continua del personale sulle best practice in materia di protezione dei dati e la stipula di accordi di riservatezza con eventuali fornitori di servizi esterni. Inoltre, è fondamentale effettuare controlli periodici e audit per verificare la conformità alle normative vigenti e garantire la sicurezza delle informazioni trattate.

Infine, i siti web delle farmacie non sono più dei siti solo di presentazione a scopo pubblicitario, ma sono diventati – in alcuni casi – veri e propri portali web – talvolta anche associati ad app per dispitivi mobili – dove si possono prenotare i servizi sopra indicati, prenotare farmaci trasmettendo anche la ricetta medica o addirittura acquistare prodotti attraverso siti di e-commerce. Adottare questi strumenti, magari associati a servizi di digital marketing come l’invio di newsletter promozionali, amplia enormemente gli adempimenti privacy della farmacia e il parco dei fornitori coinvolti nel trattamento dei dati personali che spesso non forniscono adeguato supporto nell’implementare servizi conformi alla normativa privacy.

Oggi, con i le nuove minacce provenienti da internet, come i ransomware, il phishing e gli attacchi mirati di hacker che cercano non solo di cifrare, rendendoli inaccessibili, i dati della vittima, ma anche di esfiltrarli, rendendo maggiormente efficace la c.d. “double extortion”: «se vuoi accedere nuovamente ai tuoi dati devi pagare il riscatto, ma se non lo paghi posso pubblicare sul web i dati personali dei tuoi clienti… ».

Contro queste minacce, e con un perimetro nel quale operano i sistemi informatici molto esteso, non basta più dichiarare di avere l’antivirus, le password e di fare il backup per garantirsi l’immunità rispetto alle eventuali sanzioni del Garante Privacy. È necessario dimostrare di aver attuato misure di sicurezza adeguate a seguito di una valutazione dei rischi.

Per dimostrare di aver adempiuto ai requisiti del GDPR non basta aver redatto il registro dei trattamenti, ma è necessario anche documentare la valutazione dei rischi (da aggiornare periodicamente), le misure di sicurezza tecniche ed organizzative adottate, gli accordi per la protezione dati con i fornitori/partner come responsabili del trattamento, le istruzioni al personale sull’utilizzo dei sistemi informatici e così via.

Purtroppo oggi è facile trovare farmacie che non sono in grado di dimostrare di aver adottato adeguate misure di sicurezza perché tali misure non sono documentate e sono note solo a qualche consulente informatico che le ha implementate senza avere un idoneo contratto per la gestione sistemistica dei sistemi della farmacia ed una nomina di Amministratore di Sistema.

I rischi che si corrono ignorando questa normativa sono importanti: oltre alle eventuali sanzioni del Garante per la Protezione dei Dati Personali (fino al 4% del fatturato annuo nei casi più gravi), un attacco ransomware potrebbe bloccare l’attività della farmacia per diversi giorni (con annesso rischio reputazionale) e l’eventuale violazione della riservatezza dei dati personali dei clienti potrebbe comportare richieste di risarcimento del danno molto onerose.

Ecco qui https://www.teleperformanceitalia.it/attacchi-informatici-hacker-rubano-gli-account-delle-farmacie-con-i-bot/?utm_source=chatgpt.com un esempio di attacchi hacker registrate contro farmacie.