Gli impatti della GDPR per l’industria farmaceutica

05/07/2016
di Silvia Calissi

Il settore farmaceutico si trova a gestire un’enorme quantità di informazioni, rendendo particolarmente complessa l’analisi del trattamento e dei flussi in relazione alle specifiche tipologie di dati: il nuovo Regolamento Europeo sulla Data Protection (GDPR) pone in capo alle aziende di questo comparto evidenti obblighi di trasparenza e correttezza.

È chiaro che il Regolamento Europeo ha implicazioni trasversali su tutti i settori merceologici, rappresentando un’occasione per ripensare ai processi ed ottimizzarli partendo proprio dall’elemento normativo e concentrandosi sui concetti di tutela del dato ed accountability dell’azienda. Tuttavia, oltre ad assimilare gli impatti organizzativi delle novità introdotte dalla GDPR, l’obiettivo delle aziende farmaceutiche è quello di individuare gli aspetti determinanti per le loro attività, in particolare mettendo mano ai dati dei propri database.

Una preliminare rilettura della normativa europea in chiave pharma deve iniziare dalle definizioni: «dati genetici», ovvero i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite, che risultano dall’analisi di un campione biologico della persona fisica, e «dati biometrici», riferendosi ai dati ottenuti da un trattamento tecnico specifico relativo alle caratteristiche fisiche, fisiologiche o comportamentali, vengono espressamente elencati a fianco dei «dati relativi alla salute». Quest’ultima è la categoria di dati personali più estesa, in cui dovrebbero rientrare tutte le informazioni raccolte per ricevere assistenza sanitaria o prestazioni, i numeri e i simboli attribuiti per identificare in modo univoco la persona a fini sanitari, nonché l’anamnesi medica e i trattamenti clinici, a prescindere dalla fonte (un medico o un dispositivo).

medical_25464374_lLa raccolta e l’utilizzo dei dati si collega al divieto generale di profilazione, su cui anche l’Autorità Garante italiana è più volte intervenuta proprio in relazione al settore farmaceutico, contestando le modalità ambigue di erogazione dell’informativa e di ottenimento del consenso dei medici destinatari delle attività d’informazione scientifica. Tali azioni sono destinate all’elaborazione nei CRM dei profili in relazione al numero di pazienti e attitudini prescrittive, in modo da pianificare le visite e valutare l’efficacia dell’attività di informazione scientifica. Il Regolamento Europeo sancisce in modo univoco il diritto a non essere sottoposti a misure basate sulla profilazione, a meno che non sia necessaria per la conclusione di un contratto, sia autorizzata dal diritto dell’UE o dello Stato Membro, oppure si basi sul consenso esplicito dell’interessato.

A questo proposito, è meritevole di attenzione da parte delle aziende farmaceutiche anche la nuova disciplina del diritto all’oblio, ovvero l’obbligo di eliminazione dei dati personali dagli archivi propri e di terzi fornitori.

Il regime della protezione dei dati si lega ineludibilmente anche al complesso quadro normativo della Farmacovigilanza, finalizzato a prevenire ogni reazione avversa ai prodotti farmaceutici, finora con alcune lacune di chiarezza; la nuova GDPR cerca di mettere in relazione le due discipline in modo coerente, prevedendo specifiche esenzioni del consenso al trattamento di dati relativi alla salute, nei casi di elaborazione di informazioni per finalità di:

  • medicina preventiva o medicina del lavoro
  • diagnosi assistenza o terapia sanitaria
  • gestione dei sistemi e servizi sanitari
  • interesse pubblico legato alla sanità pubblica: ad esempio «la garanzia di parametri elevati di qualità e sicurezza dei medicinali e dei dispositivi medici».

Infine, la correttezza e l’appropriazione del consenso e il già citato diritto all’oblio pone potenziali difficoltà alla conduzione degli studi clinici, in particolare quando coinvolge organizzazioni di ricerca o fornitori non europei ed implicano quindi trasferimenti di dati sulla salute degli interessati fuori dall’UE. Il trasferimento dei dati personali verso un Paese Terzo è ammesso solo se la Commissione Europea ha espresso una decisione di adeguatezza sul livello di protezione del paese in oggetto oppure adottando Clausole Contrattuali standard o Binding Corporate Rules. Molte aziende farmaceutiche sono multinazionali che devono mappare il proprio flusso dei dati e per quanto il nuovo GDPR uniformi la disciplina a livello europeo, allo stesso tempo si impone su tutti i Titolari che trattano dati di Interessati europei.

Sicuramente l’industria farmaceutica è da sempre sensibile alla tutela dei dati, ma la complessità del nuovo quadro normativo obbliga ad un’analisi del trattamento specifica che non ammette improvvisazioni, soprattutto in virtù delle sanzioni economiche che incidono in via proporzionale sul fatturato mondiale delle multinazionali. Due anni non sono molti per mettere in atto una predisposizione culturale che inizi dagli assessment dei rischi e dalle competenze necessarie al personale interno.

Riproduzione riservata ©

ALTRE NEWS

Patent box, l’agevolazione che piace a tutti

Dal 2015 è stata attivata una nuova agevolazione di cui si è molto parlato recentemente in ambito di sgravi fiscali per le aziende: stiamo parlando… Leggi Tutto

L’obbligo della casella di posta elettronica nella PA

Il 12 gennaio 2004, sulla Gazzetta Ufficiale è stata pubblicata la Direttiva datata 27 novembre 2003, emessa dalla Presidenza del Consiglio dei Ministri – Dipartimento… Leggi Tutto

Nuove regole in materia di videosorveglianza

Pubblicato su Pm@Business Emanato dall’Autorità Garante per la privacy un provvedimento generale sulla videosorveglianza. Il provvedimento si pone come strumento di bilanciamento tra l’interesse del… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.