Analizziamo quali sono le caratteristiche peculiari dei trattamenti di dati personali presso farmacie e parafarmacie: si tratta ovviamente di presidi dove si esercita la professione farmaceutica ma di fatto molto simili ad esercizi commerciali come i negozi, e quindi bisogna mettere in conto la natura più “sensibile” del tipo di acquisti, se non la vera e propria gestione di questioni, e quindi dati, sanitari.
I trattamenti basilari sono, come di consueto, quelli relativi a gestione dei lavoratori, amministrazione contabile e fiscale, eventualmente la videosorveglianza (con annessi aspetti di tutela dei lavoratori).
Trattamenti per conto del Servizio Sanitario Nazionale o Regionale
Tutto ciò che riguarda il dispensare (in qualche caso: preparare) i medicinali dietro prescrizione o i servizi accessori (prenotazione o effettuazione di prestazioni sanitarie) per conto del Servizio Sanitario, sono regolate formalmente dalla legge (nonché dalla deontologia professionale) e dalle convenzioni/autorizzazioni. Ciò che rimane in capo alla farmacia è garantire sicurezza rispetto all’utilizzo dei dispositivi come computer e lettori di codici a barre (e questo si fa con le consuete misure di sicurezza informatica, formazione digitale e regolamenti d’uso), e riservatezza della clientela (e questo si fa con le distanze di cortesia, attenzione ad impedire la visione dei documenti cartacei e l’ascolto delle conversazioni a terzi, etc.).
Negli ultimi anni alle Farmacie è stato assegnato il compito, o aperta la possbilità, di effettuare presso i propri locali o a domicilio alcune tipologie di prestazioni a supporto della medicina territoriale (anche se poi, per questioni sia burocratiche che logistiche, l’adesione sembra al momento piuttosto limitata); anche per queste attività, per quanto riguarda la protezione dei dati personali, a parte gli adempimenti basilari quali la redazione del registro dei trattamenti, le nomine e le informative, il punto di attenzione riguarda la tutela della riservatezza dell’utenza rispetto ai servizi ed alle prestazione di cui usufruisce.
Aspetti di marketing
Farmacie e soprattutto Parafarmacie effettuano vendita di prodotti, che siano farmaci cosiddetti “da banco” oppure relativi al in generale al benessere ed all’igiene personale. Per queste tipologie di prodotti, nulla vieta di effettuare attività di marketing.
Tipicamente, si cerca di fidelizzare la clientela, in primis quella che si reca autonomamente ad effettuare gli acquisti, attraverso attività promozionali o vere e proprie fidelity card. La necessaria analisi dei rischi relativa a questi trattamenti non può che dare, complessivamente, un livello di rischio superiore a quello che si ha per attività equivalenti ma su prodotti di carattere meno sensibile, e di conseguenza può spesso risultare necessaria una Valutazione di Impatto. Dal punto di vista di privacy by design, occorre prestare particolare attenzione al rispetto dei principi di minimizzazione dei dati (sia quelli di identità, che quelli relativi agli acquisti effettuati), e di limitazione della conservazione (quindi tenendo i dettagli degli acquisti passati per un periodo inferiore all’anno, e magari ricorrendo in alternativa a forme di conteggio di punti). La base giuridica non può che essere il consenso, e quindi bisogna essere pronti a gestire le richieste di revoca. Dal punto di vista dell’informativa, è decisamente opportuna un’informativa dedicata ai trattamenti di marketing, da affiancare a quella “generica” dedicata alla clientela.
Nella gestione delle comunicazioni promozionali, quindi che utilizzano i dati di contatto degli aderenti (email, whatapp, etc), occorrerà prestare particolare attenzione che, dall’incrocio della combinazione dei contenuti con l’elenco dei destinatari, non sia possibile ricostruire aspetti relativi allo stato di salute o di altre condizioni particolari (disabilità, disturbi, etc.).
Vendite online
Sempre relativamente ai prodotti che non necessitano di prescrizione medica, è possibile la vendita online e/o la consegna a domicilio. Anche in questo caso, il problema riguarda la natura “sensibile” dei dati di acquisto, e quindi risulta opportuna la Valutazione di Impatto.
Se si sceglie la via del sito di e-commerce gestito autonomanente, le cose a cui fare attenzione sono: una piattaforma affidabile e sicura, così come l’eventuale agenzia web di supporto; una stringente minimizzazione dei dati e limitazione dei tempi di conservazione dello storico degli acquisti.
Come alternativa, ci si può affiliare a marketplace online già esistenti, in questo caso occorre però prestare molta attenzione ai termini contrattuali, sia per verificare che il marketplace rispetti la normativa e sia adeguato alle proprie esigenze, sia per capire la suddivisione delle responsabilità e delle attività operative (per questo genere di verifiche, è bene avvalersi del nostro supporto).
Infine, per quanto riguarda la consegna a domicilio (indipendentemente che sia effetto di una vendita online che di un “ordine” fatto direttamente in negozio o telefonicamente), una particolare attenzione va posta alle informazioni che il pacco può rilevare, inclusa la semplice provenienza da una farmacia/parafarmacia: un imballo anonimo e senza dettagli del contenuto è preferibile.
Catene di farmacie o parafarmacie
Se ci sono più “negozi” appartenenti ad una stessa catena, quindi ad una stessa azienda, si deve porre un po’ d’attenzione alla condivisione dei dati tra i negozi. Imprescindibili sono le misure di sicurezza per le comunicazioni, quindi la presenza di firewall e canali crittografati (es. VPN), nonché la protezione di un eventuale server centralizzato, sia esso installato fisicamente in una sede che in cloud. Le informazioni relativamente alla clientela ed ai relativi acquisti possono essere condivise tra i negozi, a condizione che se ne possa dimostrare l’effettiva necessità rispetto alle proprie modalità operative e finalità. La minimizzazione degli accessi da parte del personale è anch’essa imprescindibile: l’accesso ai dati degli altri negozi da parte di un farmacista di un certo negozio è possibile nella misura in cui rispecchia le effettive necessità di condivisione e relative modalità operative aziendali.
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
