Monica Gobbato
Secondo un’opinione ormai consolidata sembrerebbe che il Dpo o all’italiana il Responsabile per la protezione dei dati personali non sia obbligatorio nelle farmacie. La tesi deriva da un comunicato ad hoc di Federfarma e anche da un’opinione dei garanti europei riuniti nell’EDPB (European Data Protection Board) espressa poco prima dell’entrata in vigore del Gdpr.
Naturalmente sul punto sono stati chiesti chiarimenti al Garante italiano e cioè se le farmacie dovessero designare tale nuova figura e anche per quali trattamenti di dati personali le farmacie dovessero redigere un documento, denominato Valutazione di impatto sulla protezione dei dati (Dpia – Data protection impact assestment).
Il verdetto del Garante è stato che le farmacie prese singolarmente non dovrebbero effettuare trattamenti su larga scala e pertanto non dovrebbero designare il Dpo. Per quel che concerne il secondo punto, sempre secondo il Garante, i trattamenti di dati personali effettuati più comunemente dalle farmacie per conto del Servizio sanitario nazionale o regionale, stabiliti e disciplinati a monte da una legge, da un atto amministrativo o da un accordo, non hanno bisogno della redazione della Dpia.
Ovviamente tali considerazioni non sono estensibili tout court alle grandi catene di farmacie (o anche ai Consorzi o alle associazioni delle stesse) qualora avessero, per determinati trattamenti, un bacino d’utenza molto più vasto.
A parere di chi scrive però la nomina del Dpo anche qualora fosse davvero NON obbligatoria (e comunque tale scelta andrebbe documentata e motivata per iscritto) non escluderebbe che le farmacie avessero un serio consulente sulla privacy o ancor meglio un Responsabile per la Protezione dei dati volontario (o uno di Gruppo riunendo più Farmacie) che sappia ben consigliarle soprattutto in considerazione del fatto che:
- le farmacie hanno tanti e diversi trattamenti che non si limitano più alla sola erogazione delle medicine ma che vanno anche alla implementazione di dispositivi sanitari su pazienti, alla verifica dello stato di salute degli stessi in farmacia o anche da remoto
- che le farmacie sono dotate di sistemi informatici sempre complessi e assoggettati alle misure di sicurezza adeguate di cui all’art. 32 del Gdpr e che quindi necessitano di un presidio che non sia semplicemente la società di gestione dello stesso
Per acquisire maggiori competenze in ambito Gdpr e Data Protection iscriviti al live webinar del 21 e 28 giugno 2023 in cui verrà illustrata la situazione attuale chiarendo le norme vigenti che abrogano o modificano parte della disciplina precedente.
