Gli impatti della GDPR per l’industria farmaceutica

05/07/2016
di Silvia Calissi

Il settore farmaceutico si trova a gestire un’enorme quantità di informazioni, rendendo particolarmente complessa l’analisi del trattamento e dei flussi in relazione alle specifiche tipologie di dati: il nuovo Regolamento Europeo sulla Data Protection (GDPR) pone in capo alle aziende di questo comparto evidenti obblighi di trasparenza e correttezza.

È chiaro che il Regolamento Europeo ha implicazioni trasversali su tutti i settori merceologici, rappresentando un’occasione per ripensare ai processi ed ottimizzarli partendo proprio dall’elemento normativo e concentrandosi sui concetti di tutela del dato ed accountability dell’azienda. Tuttavia, oltre ad assimilare gli impatti organizzativi delle novità introdotte dalla GDPR, l’obiettivo delle aziende farmaceutiche è quello di individuare gli aspetti determinanti per le loro attività, in particolare mettendo mano ai dati dei propri database.

Una preliminare rilettura della normativa europea in chiave pharma deve iniziare dalle definizioni: «dati genetici», ovvero i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite, che risultano dall’analisi di un campione biologico della persona fisica, e «dati biometrici», riferendosi ai dati ottenuti da un trattamento tecnico specifico relativo alle caratteristiche fisiche, fisiologiche o comportamentali, vengono espressamente elencati a fianco dei «dati relativi alla salute». Quest’ultima è la categoria di dati personali più estesa, in cui dovrebbero rientrare tutte le informazioni raccolte per ricevere assistenza sanitaria o prestazioni, i numeri e i simboli attribuiti per identificare in modo univoco la persona a fini sanitari, nonché l’anamnesi medica e i trattamenti clinici, a prescindere dalla fonte (un medico o un dispositivo).

medical_25464374_lLa raccolta e l’utilizzo dei dati si collega al divieto generale di profilazione, su cui anche l’Autorità Garante italiana è più volte intervenuta proprio in relazione al settore farmaceutico, contestando le modalità ambigue di erogazione dell’informativa e di ottenimento del consenso dei medici destinatari delle attività d’informazione scientifica. Tali azioni sono destinate all’elaborazione nei CRM dei profili in relazione al numero di pazienti e attitudini prescrittive, in modo da pianificare le visite e valutare l’efficacia dell’attività di informazione scientifica. Il Regolamento Europeo sancisce in modo univoco il diritto a non essere sottoposti a misure basate sulla profilazione, a meno che non sia necessaria per la conclusione di un contratto, sia autorizzata dal diritto dell’UE o dello Stato Membro, oppure si basi sul consenso esplicito dell’interessato.

A questo proposito, è meritevole di attenzione da parte delle aziende farmaceutiche anche la nuova disciplina del diritto all’oblio, ovvero l’obbligo di eliminazione dei dati personali dagli archivi propri e di terzi fornitori.

Il regime della protezione dei dati si lega ineludibilmente anche al complesso quadro normativo della Farmacovigilanza, finalizzato a prevenire ogni reazione avversa ai prodotti farmaceutici, finora con alcune lacune di chiarezza; la nuova GDPR cerca di mettere in relazione le due discipline in modo coerente, prevedendo specifiche esenzioni del consenso al trattamento di dati relativi alla salute, nei casi di elaborazione di informazioni per finalità di:

  • medicina preventiva o medicina del lavoro
  • diagnosi assistenza o terapia sanitaria
  • gestione dei sistemi e servizi sanitari
  • interesse pubblico legato alla sanità pubblica: ad esempio «la garanzia di parametri elevati di qualità e sicurezza dei medicinali e dei dispositivi medici».

Infine, la correttezza e l’appropriazione del consenso e il già citato diritto all’oblio pone potenziali difficoltà alla conduzione degli studi clinici, in particolare quando coinvolge organizzazioni di ricerca o fornitori non europei ed implicano quindi trasferimenti di dati sulla salute degli interessati fuori dall’UE. Il trasferimento dei dati personali verso un Paese Terzo è ammesso solo se la Commissione Europea ha espresso una decisione di adeguatezza sul livello di protezione del paese in oggetto oppure adottando Clausole Contrattuali standard o Binding Corporate Rules. Molte aziende farmaceutiche sono multinazionali che devono mappare il proprio flusso dei dati e per quanto il nuovo GDPR uniformi la disciplina a livello europeo, allo stesso tempo si impone su tutti i Titolari che trattano dati di Interessati europei.

Sicuramente l’industria farmaceutica è da sempre sensibile alla tutela dei dati, ma la complessità del nuovo quadro normativo obbliga ad un’analisi del trattamento specifica che non ammette improvvisazioni, soprattutto in virtù delle sanzioni economiche che incidono in via proporzionale sul fatturato mondiale delle multinazionali. Due anni non sono molti per mettere in atto una predisposizione culturale che inizi dagli assessment dei rischi e dalle competenze necessarie al personale interno.

Riproduzione riservata ©

ALTRE NEWS

Quando ricorre il reato di accesso abusivo ad un sistema informatico?

Tra i reati più ricorrenti in ambito informatico vi è quello di accesso abusivo ad un sistema informatico. Tale condotta, introdotta con la legge n…. Leggi Tutto

Videosorveglianza sul luogo di lavoro: il Garante “bacchetta” un’importante società

Un accertamento ispettivo effettuato a Genova ha fornito al Garante la possibilità di sottolineare nuovamente l’importanza delle finalità effettive dell’attività di videosorveglianza. Nel caso in… Leggi Tutto

Privacy, quale sorveglianza intelligente?

Articolo pubblicato su Punto Informatico Un provvedimento del Garante autorizza l’uso di un sistema di sorveglianza complesso a base di telecamere, WiMAX e microonde Con il… Leggi Tutto

AziendaSpeech & Eventi

COLIN & PARTNERS

CHI SIAMO

Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI

Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE

Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.