FARMACISTI E PRIVACY

Transcript

1 Premessa: Farmacie, chi è il Titolare del trattamento FARMACISTI E PRIVACY Diciamo subito che tutte le farmacie sono coinvolte nella partita privacy, siano esse pubbliche o private e comunque siano costituite, in forma di Aziende speciali piuttosto che di società, enti, organismi con o senza personalità giuridica o imprese individuali. Ciò che cambia è, in definitiva, la titolarità di alcuni adempimenti previsti dal Codice privacy e la conseguente organizzazione della privacy in farmacia. Così, per l'articolo 28 del Codice, Titolare del trattamento (vale a dire, chi decide in autonomia finalità e modalità dei trattamenti e in merito alla sicurezza) può essere, per le farmacie costituite in persone giuridiche, Enti, Azienda, Associazione od altro organismo: l'entità nel suo complesso (es. l'azienda, la società a responsabilità limitata, le farmacie comunali associate, e così via) o anche l'unità periferica che ha il potere di decidere in autonomia. Per le farmacie costituite in forma di impresa individuale, Titolare del trattamento è il titolare della farmacia (o delle farmacie, nel caso di più punti vendita). Principali compiti del titolare sono: adottare le misure minime di sicurezza (articolo 33 del Codice) e il Documento Programmatico sulla Sicurezza (allegato B al Codice), di cui abbiamo fatto cenno nella parte generale e che riprenderemo in questo modulo notificare al Garante i trattamenti di dati personali cui intende procedere (articolo 37 del Codice), soggetti all'obbligo di notifica (ne parleremo sempre in questo modulo) fare le altre comunicazioni al garante previste dall'articolo 39 del Codice richiedere al Garante le autorizzazioni ai trattamenti che non rientrano nelle autorizzazioni generali rilasciate dal Garante (articolo 41 del Codice) designare, se vuole, il o i responsabili del trattamento, descrivendone analiticamente i compiti (articolo 29 del Codice) designare gli incaricati del trattamento, se non abbia a ciò delegato il Responsabile o i Responsabili del trattamento, individuandone l'ambito del trattamento (articolo 30 del Codice). autorizzare per iscritto i farmacisti, in quanto esercenti le professioni sanitarie diversi dai medici, che nell'esercizio dei propri compiti intrattengono rapporti diretti con i pazienti e sono incaricati di trattare dati personali idonei a rivelare lo stato di salute, a rendere noti, al posto del medico, questi dati all'interessato o ai soggetti indicati nel Codice - esercente legale della potestà, prossimo congiunto, familiare, convivente o, in loro assenza, responsabile della struttura presso cui dimora l'interessato - (articolo 84 del Codice). Tale autorizzazione può essere data anche dal Responsabile del trattamento. In sintesi, il Titolare del Trattamento decide il sistema privacy all'interno della relativa struttura, qualunque forma giuridica essa assuma. Per esempio, l'azienda Speciale delle farmacie di..., nella persona dell'organo decisorio (consiglio di amministrazione, amministratore delegato, legale rappresentante, ecc.) deciderà 1

2 i trattamenti e relative finalità e modalità l'organigramma privacy, designando i Direttori delle proprie farmacie come responsabili del trattamento e i relativi compiti ed individuando anche eventuali responsabili esterni del trattamento la sicurezza ed il risk management rispetto ai dati trattati e dunque le misure di sicurezza fisiche, informatiche, logiche, da adottare. Il personale farmacista e non, potrà quindi, a seconda delle circostanze, assumere il ruolo di responsabile o di incaricato del trattamento, attenendosi alle istruzioni impartite, a seconda delle circostanze, dal Titolare o dal Responsabile ed operando sotto la supevisione di questi. UD 1 LE RICETTE (articoli 87, 88 e 89 del Codice) Prima di parlare di ricette, enunciamo la regola generale sui trattamenti di dati sanitari da parte degli esercenti le professioni sanitarie, tra cui i farmacisti, riportata nel l articolo 76 del Codice: Art. 76. Esercenti professioni sanitarie e organismi sanitari pubblici 1. Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anche nell'ambito di un'attività di rilevante interesse pubblico ai sensi dell'articolo 85, trattano i dati personali idonei a rivelare lo stato di salute: a) con il consenso dell'interessato e anche senza l'autorizzazione del Garante, se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell'incolumità fisica dell'interessato; b) anche senza il consenso dell'interessato e previa autorizzazione del Garante, se la finalità di cui alla lettera a) riguarda un terzo o la collettività. 2. Nei casi di cui al comma 1 il consenso può essere prestato con le modalità semplificate di cui al capo II. 3. Nei casi di cui al comma 1 l'autorizzazione del Garante è rilasciata, salvi i casi di particolare urgenza, sentito il Consiglio superiore di sanità. Il Garante rilascia annualmente autorizzazioni generali; quella vigente è la numero 2/2007 del 28 giugno 2007, efficace fino al 30 giugno Vediamo ora cosa deve fare e come si deve comportare il farmacista con riguardo allo specifico del suo lavoro quotidiano. I nuovi ricettari In applicazione del principio generale dell anonimato, le ricette devono consentire l identificazione dell interessato solo in casi di necessità (controllo della correttezza della prescrizione, verifiche amministrative o per scopi epidemiologici e di ricerca). Tuttavia quando la ricetta è fatta dal medico di base o dal pediatra di libera scelta, è cura del paziente chiedere la copertura delle proprie generalità tramite un apposito tagliando adesivo. 2

3 Come deve comportarsi il farmacista: può scoprire temporaneamente il tagliando se lo ritiene indispensabile per controllare la correttezza della prescrizione e/o della fornitura del farmaco; in questo caso il farmacista deve firmare il tagliando. (articolo 87 del codice) Ricette ripetibili Di regola le ricette ripetibili sono anonime; tuttavia anche per queste ricette, se chi le redige è il medico di base o il pediatra di libera scelta, è necessaria un esplicita richiesta di anonimizzazione da parte del paziente; diversamente, decide il medico. Gli altri medici prescrittori sono obbligati alla regola dell anonimato; il medico può però decidere di indicare le generalità dell'interessato se ciò è indispensabile in considerazione delle particolari condizioni del paziente o della speciale modalità di preparazione o di utilizzazione dei farmaci prescritti. In sintesi, Medici di Base e Pediatri di libera scelta possono decidere se indicare o meno le generalità del paziente, salva l esplicita richiesta di anonimizzazione del paziente gli altri medici prescrittori sono di regola obbligati all anonimato ma possono decidere diversamente in casi di effettiva necessità Il farmacista non ha obblighi particolari in relazione al trattamento dei dati, né deve controllare che le generalità del paziente siano o meno riportate. Ricette da rinnovare di volta in volta Di queste ricette si occupava, come è noto, l articolo 5 del decreto legislativo n. 539 del 30 dicembre 1992, poi abrogato dal Decreto Legislativo 219 del 2006 (codice comunitario sui medicinali per uso umano). L articolo 89 del Decreto 219 ha previsto, quanto alla redazione delle ricette non ripetibili, l obbligo per il medico di indicare il codice fiscale del paziente, invece del solo nome e del cognome dell assistito, di riportare il codice di esenzione del medesimo e la chiara indicazione del prescrivente, mediante stampa o apposizione di timbro. Questi requisiti determinano la validità della prescrizione o, in mancanza, l applicabilità di sanzioni amministrative nei confronti del medico e del farmacista. E confermato il rispetto della riservatezza dei trattamenti nei casi di disposizioni speciali (es.prescrizioni di Retrovir o Hemofil per le quali è prevista l apposizione delle sole iniziali). Il farmacista, dopo il periodo obbligatorio di conservazione di 6 mesi, deve distruggere le ricette con modalità atte ad escludere l'accesso di terzi ai dati in esse contenuti (modifica introdotta dall articolo 178 comma 3 del Codice e ripresa dall articolo 89 del citato Decreto Legislativo 219) Ricette relative a medicinali soggetti a prescrizione medica speciale (articolo 90 del Decreto legislativo 219 del 2006) Si tratta, come è noto, dei i medicinali per i quali il testo unico delle leggi in materia di disciplina degli stupefacenti e sostanze psicotrope (decreto del Presidente della Repubblica 9 ottobre 1990, n. 309), prevede specifiche modalità di distribuzione e prescrizione. 3

4 Il farmacista ha obblighi rigorosi di dispensazione, tra i quali l accertamento dell identità del paziente interessato. Il codice Privacy (articolo 89 comma 2) ha specificato che queste ricette devono essere conservate separatamente da ogni altro documento che non ne richieda l'utilizzo. Ricette relative a disposizioni di carattere speciale Prescrizioni di specialità medicinali (a base di ocreotide o somatostatina) per indicazioni o vie di somministrazione o modalità di somministrazione diverse da quelle autorizzate. La legge n. 94 del 1998 prevede che in tali prescrizioni il medico non deve riportare sulla ricetta le generalità del paziente, ma deve invece trascrivervi un riferimento numerico o alfanumerico di collegamento ai dati di archivio in proprio possesso che consenta, in caso di richiesta da parte dell'autorità sanitaria, di risalire all identità del paziente. Prescrizioni di preparazioni magistrali. Sempre per la legge n. 94 del 1998 Il medico deve o o specificare nella ricetta le esigenze particolari che giustificano il ricorso alla prescrizione estemporanea trascrivere, senza riportare le generalità del paziente, un riferimento numerico o alfanumerico di collegamento a dati d'archivio in proprio possesso che consenta, in caso di richiesta da parte dell'autorità sanitaria, di risalire all'identità del paziente trattato. UD 2 - INFORMATIVA E CONSENSO a) Casi in cui non sono richiesti Informativa (articolo 78 comma 4 del Codice) Di regola il farmacista non deve dare l informativa in relazione ai trattamenti di dati sanitari effettuati mediante le ricette, in quanto l informativa resa dal medico o dal pediatra include anche i trattamenti effettuati da chi fornisce i farmaci prescritti. Tuttavia la legge consente al medico o al pediatra di specificare che l informativa non riguarda i trattamenti di dati correlati a quello da essi effettuato, come quello che fa il farmacista in relazione alla ricetta. In questo caso, il farmacista è tenuto a dare l informativa, preferibilmente per iscritto. Articolo 78 comma 4 del Codice: 4. L'informativa, se non è diversamente specificato dal medico o dal pediatra, riguarda anche il trattamento di dati correlato a quello effettuato dal medico di medicina generale o dal pediatra di libera scelta, effettuato da un professionista o da altro soggetto, parimenti individuabile in base alla prestazione richiesta, che:. d) fornisce farmaci prescritti; Consenso (Articolo 81 comma 2 del codice) Anche nel caso del consenso, di regola il farmacista non deve acquisirlo in relazione ai trattamenti di dati sanitari effettuati mediante le ricette, in quanto tale incombenza è assolta dal medico o dal pediatra. La 4

5 legge richiede che il medico renda conoscibile il consenso agli altri professionisti con adeguate modalità (menzioni, annotazioni, bollini o tagliandi, ecc.) Articolo 81 comma 2 del codice: 2. Quando il medico o il pediatra fornisce l'informativa per conto di più professionisti ai sensi dell'articolo 78, comma 4, oltre quanto previsto dal comma 1, il consenso è reso conoscibile ai medesimi professionisti con adeguate modalità, anche attraverso menzione, annotazione o apposizione di un bollino o tagliando su una carta elettronica o sulla tessera sanitaria, contenente un richiamo al medesimo articolo 78, comma 4, e alle eventuali diverse specificazioni apposte all'informativa ai sensi del medesimo comma. b) Casi in cui sono richiesti Si tratta di altri trattamenti di dati idonei a rivelare lo stato di salute. Per esempio: schede pazienti assistenza integrativa noleggi di apparecchiature e presidi altri servizi sanitari offerti, come o analisi di prima istanza svolte in farmacia o misurazioni della pressione A proposito di questi ultimi servizi, il farmacista abitualmente comunica e/o commenta, per esempio, l'esito delle analisi o della misurazione della pressione, al paziente. In simili circostanze, dovrebbe trovare applicazione l'articolo 84 del Codice. Questa disposizione, dopo aver premesso che i dati di salute, di regola vanno comunicati da un medico designato dall'interessato o dal Titolare del trattamento consente, in alternativa, che il Titolare o il Responsabile del trattamento autorizzino un professionista diverso dal medico (nel nostro caso, il farmacista) a comunicare i dati di salute al paziente, a condizione che: 1. l'autorizzazione sia data per iscritto, con l'esplicita indicazione di "appropriate modalità e cautele rapportate al contesto nel quale è effettuato il trattamento di dati" 2. il farmacista, nell'esercizio dei propri compiti, intrattenga rapporti diretti con i pazienti e 3. sia incaricato di trattare i dati relativi allo stato di salute Si tratta, a nostro avviso, di una norma eccessivamente formale, non perfettamente raccordata col principio dell'autonomia professionale giuridicamente normato. Il Titolare o il Responsabile potranno inserire questa autorizzazione nel contesto dell'atto di nomina degli incaricati; ed è cosa da fare, in quanto la mancata osservanza di questa disposizione è punita, è bene ricordarlo, con la sanzione amministrativa da 500 a 3000 euro! (articolo 162 del Codice) 5

6 b.1) Casi in cui è richiesta la sola informativa Memorizzazione dati identificativi del paziente. Nel caso si creino schede dei clienti/pazienti, o cartacei o in data-base, scatta l'obbligo dell'informativa, altrimenti no. Videosorveglianza. Il Garante, con apposito provvedimento (29 aprile 2004) ha stabilito che gli interessati devono essere informati che stanno per accedere o che si trovano in una zona videosorvegliata e dell eventuale registrazione. L informativa deve fornire gli elementi previsti dall articolo 13 Codice anche con formule sintetiche, ma chiare e senza ambiguità. Tuttavia il Garante ha individuato un modello semplificato di informativa "minima", riportato in fac-simile in allegato al provvedimento del 29 aprile 2004 e che può essere utilizzato in particolare in aree esterne. In luoghi diversi dalle aree esterne il modello va integrato con almeno un avviso circostanziato che riporti gli elementi previsti dall articolo 13 del Codice, con particolare riguardo alle finalità e all eventuale conservazione. Il supporto con l informativa: deve essere collocato nei luoghi ripresi o nelle immediate vicinanze, non necessariamente a contatto con la telecamera; deve avere un formato ed un posizionamento tali da renderlo chiaramente visibile; può inglobare un simbolo o una stilizzazione di esplicita e immediata comprensione, eventualmente diversificati se le immagini sono solo visionate o anche registrate. Quanto al consenso, il Garante, in base al Codice (articolo 24 comma 1 lettera g) ha individuato, con il citato provvedimento, i casi in cui la rilevazione delle immagini può avvenire senza consenso, a condizione che: la videosorveglianza sia effettuata con le modalità stabilite nel provvedimento persegua un legittimo interesse del titolare o di un terzo attraverso mezzi di prova o fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, o finalità di prevenzione di incendi o di sicurezza del lavoro Il farmacista, quindi, nella maggior parte dei casi non sarà tenuto ad acquisire il consenso degli interessati. Rapporto di lavoro dei dipendenti della farmacia Il titolare del trattamento(farmacista o farmacia, se persona giuridica) deve rendere l informativa ai dipendenti (senza acquisire il consenso) per il trattamento dei dati personali effettuato per gestire il rapporto di lavoro. Il consenso, infatti, non è richiesto quando il trattamento è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro. Uso di fidelity card 6

7 Il Garante Privacy ha disciplinato l uso di fidelity card con provvedimento del 24 febbraio 2005 riferendo la necessità dell informativa e/o del consenso alle diverse finalità del trattamento dati collegato alla carta. Tali finalità sono: 1. la fidelizzazione della clientela, attraverso l attribuzione di vantaggi connessi all uso della carta (punti, bonus, sconti, ecc,). 2. La profilazione della clientela, attraverso la raccolta di dati, di regola anonimi o non identificativi (come un codice numerico), finalizzata ad ottenere indicazioni su gusti, preferenze, abitudini, bisogni e scelte di consumo 3. Il marketing diretto, con l'invio di materiale pubblicitario -anche attraverso riviste di settore- o di comunicazioni commerciali o per la vendita diretta. Come ci si deve regolare; in caso di: Trattamento finalizzato alla sola fidelizzazione della clientela, occorre rendere l informativa ma non è necessario acquisire il consenso, in quanto si opera in esecuzione di un contratto tra operatore commerciale (nel nostro caso, la farmacia) e cliente. Trattamento finalizzato alla profilazione e ricerche di mercato e al marketing, se comporta l'identificabilità degli interessati occorre invece acquisire uno consenso specifico, informato e distinto per ciascun tipo di trattamento (profilazione piuttosto che marketing). Il consenso deve essere quantomeno documentato per iscritto a cura del titolare del trattamento, o reso necessariamente per iscritto dall'interessato nel caso di dati sensibili. In ogni caso non è lecito utilizzare a fine di profilazione dati supersensibili (stato di salute e la vita sessuale) Circa la conservazione, i dati relativi al dettaglio degli acquisti con riferimento a clienti individuabili possono essere conservati per finalità di profilazione o di marketing per un periodo non superiore, rispettivamente, a dodici e a ventiquattro mesi dalla loro registrazione, salva la reale trasformazione in forma anonima che non permetta, anche indirettamente o collegando altre banche di dati, di identificare gli interessati. Eventuali intenzioni di trattare i dati oltre tali termini potranno essere attuate solo previa valutazione del Garante ai sensi dell'art. 17 del Codice. Nel caso di eventuale ritiro, disabilitazione per mancato utilizzo entro un determinato arco temporale, scadenza o restituzione della carta, deve essere individuato un termine di conservazione dei dati personali per esclusive finalità amministrative (e non anche di profilazione o di marketing), non superiore ad un trimestre (fatti salvi eventuali specifici obblighi di legge sulla conservazione di documentazione contabile). Occorre specificare questi aspetti nell'informativa e predisporre idonei meccanismi di cancellazione automatica dei dati anche da parte di terzi cui gli stessi siano stati eventualmente comunicati (specie per la profilazione o di marketing). Il rapporto con clienti e fornitori (articolo 24 del Codice) In questo caso l informativa va sempre resa anche oralmente mentre non è richiesto il consenso per il trattamento di dati personali effettuato per gestire il rapporto con clienti e fornitori che non comportino trattamenti di dati sensibili; ciò in quanto il trattamento è necessario per eseguire obblighi derivanti da un 7

8 contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato (articolo 24 comma 1 lettera b) del Codice); UD 3 - ALTRI ADEMPIMENTI PER LA PRIVACY scontrino parlante Come è noto, dal primo gennaio 2008 i contribuenti che intendono usufruire della deduzione o della detrazione fiscale della spesa sanitaria relativa all'acquisto di medicinali, devono certificarla con fattura o scontrino fiscale contenente la specificazione della natura, qualità e quantità dei beni e l'indicazione del codice fiscale del destinatario (così detto scontrino parlante, articolo 1, commi 28 e 29 della legge 27 dicembre 2006, n. 296 Disposizioni per la formazione del bilancio annuale e pluriennale dello Stato - legge finanziaria 2007). In pratica, a richiesta del cliente la farmacia, previa esibizione della tessera sanitaria, emette lo scontrino che riporta e associa dati comuni (il codice fiscale) a dati sensibili (la specifica dei farmaci acquistati). Il farmacista, a nostro avviso Non deve acquisire il consenso, perché si tratta di un adempimento di legge (articolo 24, comma 1 lettera a) del Codice) Deve però dare l informativa, inserendola anche in appositi cartelli e/o nell informativa semplificata Deve adottare le necessarie misure di sicurezza prescritte per i dati sensibili. Novità! Il nome del farmaco dovrà sparire dallo scontrino parlante entro il primo gennaio Con provvedimento del 29 aprile 2009 (Gazzetta Ufficiale n. 107 dell'11 maggio 2009), il Garante ha stabilito che lo scontrino fiscale rilasciato per l'acquisto di farmaci riporti, in luogo della menzione in chiaro della denominazione commerciale degli stessi, il numero di autorizzazione all'immissione in commercio (AIC), oltre al codice fiscale del destinatario, alla natura e alla quantità dei medicinali acquistati. al riguardo, l'agenzia delle Entrate dovrà fornire entro 3 mesi indicazioni immediatamente operative. Dal giorno successivo alla pubblicazione o alla comunicazione da parte della Agenzia delle entrate delle indicazioni, e comunque non oltre il 1 gennaio 2010, i titolari del trattamento dei dati personali che emettono scontrini fiscali parlanti, devono adeguarsi alle citate indicazioni dell'agenzia. Misure per il rispetto dei diritti degli interessati Regola generale Il Codice detta anzitutto, all articolo 83, una regola generale: adottare idonee misure per garantire, nell'organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza. 8

9 In particolare Dispositivi /erogatori di numeri progressivi. È opportuno l uso di un numero identificativo per la chiamata dei clienti in attesa, il così detto elimina code ; l articolo 83 comma 2 del Codice parla infatti di "soluzioni volte a rispettare.(.) un ordine di precedenza e di chiamata ( ).prescindendo dalla loro individuazione nominativa. Distanze di cortesia Occorre istituire appropriate distanze di cortesia, apponendo strisce sul pavimento o adottando altre soluzioni tali da prevenire, durante colloqui, l indebita conoscenza da parte di terzi di informazioni idonee a rivelare lo stato di salute. È per esempio il caso dell esposizione di idonei cartelli che invitino i clienti ad attendere il proprio turno a debita distanza dal banco, per rispettare la riservatezza degli altri. Confezionamento/imbustamento di farmaci e presidi. È buona regola impacchettare o imbustare i farmaci o i presidi consegnati al cliente, in modo da evitare indebiti collegamenti dei farmaci/presidi alla patologia, da parte di terzi estranei Spazi di riservatezza È opportuno istituire spazi di riservatezza per gli utenti e pazienti, nel caso di analisi di prima istanza, misurazioni della pressione o altri servizi svolti in farmacia Servizio notturno Per la dispensazione di farmaci/presidi durante il servizio notturno, se per motivi di sicurezza antintrusione si tiene chiuso il locale della farmacia e si comunica attraverso un apposito sportello, è necessario fissare all'esterno uno spazio di riservatezza, con apposita linea gialla e cartello. Oppure si può creare una cabina/ box che isoli dall'esterno ove è consentito l'ingresso del singolo, come avviene per gli spazi -sportelli del bancomat. Segreto professionale Il segreto professionale è sostanzialmente la valvola di sicurezza del sistema; i farmacisti sono senz altro tenuti al suo rispetto, in quanto esercenti una professione sanitaria. A rafforzare la valvola di sicurezza, il Codice stabilisce che anche gli incaricati che non sono tenuti per legge al segreto professionale vanno sottoposti a regole di condotta analoghe al segreto professionale. UD 4 - LA NOTIFICAZIONE DEI TRATTAMENTI AL GARANTE (articoli del Codice Privacy) Chi la deve fare: il Titolare del trattamento (es. il titolare della farmacia, sia esso persona fisica o giuridica o chi ne ha la legale rappresentanza) Quando va fatta: prima di iniziare il trattamento, quando si trattano dati personali o sensibili, con strumenti elettronici, collegati in rete (intranet o internet) 9

10 in via sistematica e non occasionale Come va fatta: una sola volta, comprensiva di tutti i trattamenti, esclusivamente per via telematica, collegandosi al sito ufficiale del Garante, e seguendo le indicazioni lì riportate. Il titolare (o il suo legale rappresentante) dovrà apporre la firma digitale e quindi dovrà essere acquistato il dispositivo idoneo oppure si procederà alla trasmissione della notifica presso un centro autorizzato (associazioni di categoria, ordine professionale). Aggiornamenti: vanno fatti solo in casi di cessazione trattamenti o integrazione della notifica iniziale, ogniqualvolta si renda necessario e prima di iniziare i trattamenti stessi. E la Farmacia? Considerando le attività comunemente svolte, potrebbe essere tenuta alla notifica in rari e particolari casi; per esempio: analisi di scelte ed abitudini di consumo dell utenza tramite fidelity card, tracciabilità degli spostamenti delle persone tramite rilevazione della presenza al lavoro e/o sistemi di videosorveglianza, rilevazione della presenza tramite sistemi biometrici (es. impronta digitale), trattamenti di dati idonei a rivelare lo stato di salute e la vita sessuale per la prestazione di servizi sanitari per via telematica relativi a banche di dati o per la fornitura di beni, ecc. Riportiamo comunque una breve casistica dei principali casi di esonero dalla notifica, nei quali la farmacia potrà più agevolmente riconoscersi. Casi di esonero della notifica Questi casi sono dettagliati nel provvedimento n. 1/2004 del Garante, al quale si rinvia per l eventuale approfondimento. Vediamo, in sintesi, i principali: trattamenti manuali di dati organizzati in banche di dati (archivi cartacei); trattamenti di dati organizzati in banche dati informatizzate, anche con più accessi nella stessa struttura, ma non collegate ad una rete telematica esterna; registrazione di ingressi o uscite presso luoghi di lavoro, tramite tessere elettromagnetiche, codici di accesso o altri dispositivi, o che non tracci gli spostamenti di interessati in determinati luoghi o aree sul territorio; o che non sia effettuata con rilevazioni biometriche (iride, impronta digitale, voce) rilevazione di immagini o suoni, anche con impianti a circuito chiuso, presso immobili o edifici ove si svolgono attività del titolare del trattamento (locali, accessi, aree pertinenziali) o che non tracci gli spostamenti di interessati in determinati luoghi o aree non pertinenziali; lettura di carte elettroniche per fornire beni, prestazioni o servizi quali, ad esempio, carte di pagamento, carte di credito o di fidelizzazione; o che non analizzino abitudini o scelte di consumo; trattamenti occasionali di dati genetici e biometrici 10

11 informazioni relative a peso, altezza o pressione arteriosa di un individuo, che non sono considerati genetici o biometrici ; quindi la farmacia che tratta simili dati è comunque esonerata dalla notifica; trattamenti occasionali di dati relativi a procreazione assistita, trapianti, indagini epidemiologiche, rilevazione di malattie mentali, infettive, diffusive, e sieropositività e, per le malattie mentali, infettive o diffusive, anche per fini diversi dalla rilevazione di tali patologie; UD 5 - GLI OBBLIGHI RELATIVI ALLA LA SICUREZZA Obbligo di adottare le così dette misure minime Il Titolare ha l'obbligo di prevedere ed improntare un sistema di sicurezza volto ad assicurare le così dette misure minime, vale a dire un livello minimo ma sufficiente di protezione dei dati personali. Si tratta, in pratica, di configurare i sistemi in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati (con particolare riguardo a quelli sensibili) e alle caratteristiche del trattamento, per ridurre al minimo i rischi di perdita, distruzione, anche accidentale, accesso non autorizzato, trattamento con consentito o non conforme alle finalità della raccolta. Gestione dati in outsourcing e clausola di salvaguardia La Farmacia,Titolare del trattamento dati, può far gestire alcuni servizi, ad es. la Tariffazione, la Notifica al Garante, il Documento Programmatico sulla Sicurezza, il servizio di videosorveglianza, la gestione stipendi dei dipendenti o altro, a Ditte esterne specializzate. In tal caso tutte le responsabilità sull'adozione delle misure di sicurezza rimangono in capo al Titolare, in quanto la gestione in outsourcing rappresenta un "prolungamento virtuale" dell'organizzazione della Farmacia, che non comunica i dati all'esterno, ma li tratta sempre nel proprio interno, sia pure tramite una diversa struttura fisica. La Farmacia, pertanto, resta Titolare del trattamento esternalizzato ed è opportuno che, nel contratto di affidamento del servizio, inserisca una apposita clausola di salvaguardia, che vincoli la Ditta affidataria ad adottare misure di sicurezza non inferiori a quelle in uso nella Farmacia e descritte nel disciplinare adottato dalla Farmacia stessa. La redazione del Documento Programmatico sulla Sicurezza (DPS) IL Documento Programmatico sulla Sicurezza (DPS), di cui abbiamo già parlato nel modulo dedicato alla sicurezza, fa parte delle misure minime di sicurezza ed è obbligatorio in presenza di schede pazienti e banche dati elettroniche contenenti dati giudiziari o sensibili (tra cui ci sono quelli idonei a rivelare lo stato di salute degli assistiti). È facoltativo e comunque opportuno negli altri casi, soprattutto per provare di aver adottato ogni misura di sicurezza idonea, nel caso di eventuali richieste di risarcimento dei danni, ai sensi dell'art. 15 del Codice della privacy. Come abbiamo detto in precedenza, infatti, è il danneggiante (nel nostro caso, il farmacista) a dover provare di aver adottato ogni misura idonea ad evitare il verificarsi del danno. Con legge 133/2008 è stato previsto l esonero dalla redazione e dall aggiornamento del DPS per i Titolari che, per gestire il rapporto di lavoro, trattano dati sensibili relativi unicamente allo stato di salute dei propri dipendenti (per esempio, i certificati medici senza menzione di diagnosi) o i dati relativi all adesione ai sindacati. Questi Titolari devono però fare un autocertificazione nella quale si attesta di aver adottato tutte le misure minime di sicurezza e quelle previste nell allegato B del Codice Privacy ad eccezione, per 11

12 l appunto, del DPS. Non si ritiene che la farmacia possa beneficiare di tale esonero, considerando che i trattamenti di dati sensibili, per la natura dell attività, non sono evidentemente limitati allo stato di salute dei dipendenti. La redazione del DPS può essere affidata ad una Ditta esterna che, trattando i dati personali raccolti in farmacia, deve essere nominata Responsabile esterno del trattamento. Il Titolare dei dati rimane sempre la Farmacia, con tutti i risvolti giuridici connessi. Nel disciplinare tecnico Allegato B al Codice privacy, sono descritte le regole cui i Titolari debbono attenersi nel redigere il DPS. Il DPS deve anche comprendere il piano formativo per tutti coloro che trattano dati; questo corso, per esempio, potrebbe costituire un modo di adempiere a questo obbligo. Nel fac-simile di DPS reperibile nel modulo dei materiali di questo corso, sono descritti gli interventi che hanno l obiettivo di ridurre al minimo i livelli di esposizione ai vari rischi e garantire la conformità alla normativa. Attenzione: non necessariamente gli interventi indicati debbono essere attuati in blocco ma ogni anno è opportuno procedere a migliorie/implementazioni delle misure stesse, adeguando la strumentazione e aggiornandole con il procedere del progresso tecnologico. Tali interventi si raggruppano nei seguenti ambiti: - Tecnologico, relativo alla configurazione dei programmi informatici, di workstation, microcomputer, server applicativi e server dati, nonché della rete LAN/WAN a cui sono connessi tali dispositivi; - Organizzativo, relativo alle politiche e alle procedure di sicurezza che devono essere applicate mentre si lavora in farmacia. Si tratta di interventi per la sicurezza e l accesso a locali e ambienti, per la conservazione di supporti fisici o supporti IT (Information Tecnology) rimovibili, per l uso di strumenti di Information Communication tecnology (ICT, per esempio, navigazione Internet e posta elettronica), per la comunicazione verbale. Le misure minime per i trattamenti non elettronici di dati (es., cartacei) Anche chi tratta dati senza l'ausilio di strumenti elettronici, deve osservare le misure minime di sicurezza indicate nel Codice Privacy: a) aggiornamento periodico dell'individuazione dell ambito del trattamento consentito ai singoli incaricati; b) previsione di procedure per un'idonea custodia degli atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso controllato ed ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati. Riepilogo delle principali misure di sicurezza Per riassumere, ecco un riepilogo delle principali misure di sicurezza da adottare gradualmente: Misure fisiche a) Vigilanza della sede b) Sistemi di allarme/ sorveglianza antintrusione/antifurto c) Registrazione degli accessi d) Autenticazione degli accessi 12

13 e) Custodia in classificatori o armadi non accessibili f) Custodia in armadi blindati o ignifughi g) Deposito in cassaforte h) Custodia dei supporti in contenitori sigillati i) Dispositivi antincendio j) Continuità nell'alimentazione elettrica k) Distanze di cortesia e sicurezza l) Distanze di cortesia o creazione box di riservatezza per dispensazione farmaci ore notturne m) Sigillatura (incarto o busta) dei medicinali o presidi venduti Misure organizzative 1. analisi dei rischi 2. linee-guida sulla sicurezza,( istruzioni sulla gestione del cartaceo, archivi e misure informatiche) 3. nomina del responsabile, degli incaricati, dei responsabili esterni del trattamento, con istruzioni scritte sui compiti, responsabilità ed ambito del trattamento, 4. informativa ai fornitori, informativa ai clienti/pazienti 5. formazione professionale degli incaricati, almeno annuale o con frequenza più ravvicinata, in relazione all'introduzione di sistemi rilevanti per il trattamento di dati 6. Registrazioni delle consultazioni 7. Documentazione dei controlli periodici 8. Verifica dei dati e dei trattamenti non consentiti 9. Piano per il disaster recovery Misure logiche/informatiche 1) Attribuzione di password specifiche 2) Controllo dell'accesso a dati e programmi 3) Controllo aggiornato antivirus 4) Cifratura dei dati memorizzati 5) Cifratura dei dati trasmessi 6) Annotazione della fonte dei dati 7) Annotazione dell'incaricato dell'operazione 8) Monitoraggio delle sessioni di lavoro 9) Controllo sull'operato degli addetti alla manutenzione 10) Controllo dei supporti consegnati in manutenzione 13