Gli impatti della GDPR per l’industria farmaceutica
Il settore farmaceutico si trova a gestire un’enorme quantità di informazioni, rendendo particolarmente complessa l’analisi del trattamento e dei flussi in relazione alle specifiche tipologie di dati: il nuovo Regolamento Europeo sulla Data Protection (GDPR) pone in capo alle aziende di questo comparto evidenti obblighi di trasparenza e correttezza.
È chiaro che il Regolamento Europeo ha implicazioni trasversali su tutti i settori merceologici, rappresentando un’occasione per ripensare ai processi ed ottimizzarli partendo proprio dall’elemento normativo e concentrandosi sui concetti di tutela del dato ed accountability dell’azienda. Tuttavia, oltre ad assimilare gli impatti organizzativi delle novità introdotte dalla GDPR, l’obiettivo delle aziende farmaceutiche è quello di individuare gli aspetti determinanti per le loro attività, in particolare mettendo mano ai dati dei propri database.
Una preliminare rilettura della normativa europea in chiave pharma deve iniziare dalle definizioni: «dati genetici», ovvero i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite, che risultano dall’analisi di un campione biologico della persona fisica, e «dati biometrici», riferendosi ai dati ottenuti da un trattamento tecnico specifico relativo alle caratteristiche fisiche, fisiologiche o comportamentali, vengono espressamente elencati a fianco dei «dati relativi alla salute». Quest’ultima è la categoria di dati personali più estesa, in cui dovrebbero rientrare tutte le informazioni raccolte per ricevere assistenza sanitaria o prestazioni, i numeri e i simboli attribuiti per identificare in modo univoco la persona a fini sanitari, nonché l’anamnesi medica e i trattamenti clinici, a prescindere dalla fonte (un medico o un dispositivo).
La raccolta e l’utilizzo dei dati si collega al divieto generale di profilazione, su cui anche l’Autorità Garante italiana è più volte intervenuta proprio in relazione al settore farmaceutico, contestando le modalità ambigue di erogazione dell’informativa e di ottenimento del consenso dei medici destinatari delle attività d’informazione scientifica. Tali azioni sono destinate all’elaborazione nei CRM dei profili in relazione al numero di pazienti e attitudini prescrittive, in modo da pianificare le visite e valutare l’efficacia dell’attività di informazione scientifica. Il Regolamento Europeo sancisce in modo univoco il diritto a non essere sottoposti a misure basate sulla profilazione, a meno che non sia necessaria per la conclusione di un contratto, sia autorizzata dal diritto dell’UE o dello Stato Membro, oppure si basi sul consenso esplicito dell’interessato.
A questo proposito, è meritevole di attenzione da parte delle aziende farmaceutiche anche la nuova disciplina del diritto all’oblio, ovvero l’obbligo di eliminazione dei dati personali dagli archivi propri e di terzi fornitori.
Il regime della protezione dei dati si lega ineludibilmente anche al complesso quadro normativo della Farmacovigilanza, finalizzato a prevenire ogni reazione avversa ai prodotti farmaceutici, finora con alcune lacune di chiarezza; la nuova GDPR cerca di mettere in relazione le due discipline in modo coerente, prevedendo specifiche esenzioni del consenso al trattamento di dati relativi alla salute, nei casi di elaborazione di informazioni per finalità di:
- medicina preventiva o medicina del lavoro
- diagnosi assistenza o terapia sanitaria
- gestione dei sistemi e servizi sanitari
- interesse pubblico legato alla sanità pubblica: ad esempio «la garanzia di parametri elevati di qualità e sicurezza dei medicinali e dei dispositivi medici».
Infine, la correttezza e l’appropriazione del consenso e il già citato diritto all’oblio pone potenziali difficoltà alla conduzione degli studi clinici, in particolare quando coinvolge organizzazioni di ricerca o fornitori non europei ed implicano quindi trasferimenti di dati sulla salute degli interessati fuori dall’UE. Il trasferimento dei dati personali verso un Paese Terzo è ammesso solo se la Commissione Europea ha espresso una decisione di adeguatezza sul livello di protezione del paese in oggetto oppure adottando Clausole Contrattuali standard o Binding Corporate Rules. Molte aziende farmaceutiche sono multinazionali che devono mappare il proprio flusso dei dati e per quanto il nuovo GDPR uniformi la disciplina a livello europeo, allo stesso tempo si impone su tutti i Titolari che trattano dati di Interessati europei.
Sicuramente l’industria farmaceutica è da sempre sensibile alla tutela dei dati, ma la complessità del nuovo quadro normativo obbliga ad un’analisi del trattamento specifica che non ammette improvvisazioni, soprattutto in virtù delle sanzioni economiche che incidono in via proporzionale sul fatturato mondiale delle multinazionali. Due anni non sono molti per mettere in atto una predisposizione culturale che inizi dagli assessment dei rischi e dalle competenze necessarie al personale interno.