(Roma, 8 gennaio 2018) – In attesa dell’adeguamento dei processi aziendali al GDPR (verrebbe da dire finalmente la presa di coscienza…), uno dei temi delicati, di cui ancora dopo anni si continua a dibattere, e’ l’identificazione del titolare del trattamento dei dati degli archivi dei medici all’interno nell’organizzazione pharma e quali responsabilita’ esso debba assumersi. L’EU GDPR non da al Titolare indicazioni di come deve mettere sotto controllo i processi; si limita a dire deve farlo e che, in caso contrario, subira’ sanzioni: “Effettive, Proporzionate, Dissuasive”.

Fra gli strumenti ancora non pienamente compresi e quindi poco sfruttati, c’e’ l’istituto della certificazione accreditata (ndr. In attesa dei criteri per dichiarare la conformita’ ai sensi dell’art. 42 e 43 EU reg. 2016/679).
Le certificazioni, come richiamato anche dal recente comunicato stampa congiunto Garante – Accredia, “costituiscono una garanzia e atto di diligenza verso le parti interessate dell’adozione volontaria di un sistema di analisi e controllo dei principiu’ e delle norme di riferimento“.

Ancora una volta le Autorita’ di vigilanza, ci vengono in aiuto, definendo sia il valore che il perimetro, a legislazione vigente.

In particolare, nell’ambito definito dal quadro dal GDPR, il Titolare del trattamento degli archivi medici delle aziende farmaceutiche di cui all’artt. 119 e 122 d.lgs. 219/06 e’ colui che:

1.Viene cosi’ percepito dall’interessato
2.Beneficia del contatto con l’interessato
3.Disciplina nel dettaglio ed in autonomia modalita’, compiti, ruoli e procedure nello svolgimento dell’attivita’.

Risulta quindi chiaro che la qualifica di “Titolare” non puo’ essere liberamente interpretata o determinata contrattualmente da contraenti, ma deriva dai poteri che si esercitano sui dati.

Citiamo a tal proposito i documenti:

• Gruppo art. 29 “Parere 1/2010”

• Provvedimento del 24 luglio 2008 [doc. web n. 1544575]

• Provvedimento del 5 aprile 2012 [doc. web n. 1891156]

• Provvedimento del 15 giugno 2011 [doc.web. n. 1821257]

• Parere del Garante 16 febbraio 1999, in Boll. n. 7/gennaio 1999, p. 10, doc. web n. 1088774

Applicando i contenuti dei provvedimenti all’ambito del farmaceutico, potremmo considerare che l’azienda che acquista, ad esempio, l’accesso ad un archivio di medici di terza parte, inequivocabilmente presenta le caratteristiche sopra riferite al Titolare nei punti 1), 2), 3) per cui:

• e’ l’azienda farmaceutica, per il cui conto l’ISF effettua la visita, che il medico percepisce come il soggetto che tratta il suo dato – indipendentemente dal provider tecnico-informativo che agisce nella raccolta operativa e che spesso il medico neanche conosce;
• e’ l’azienda farmaceutica che trae vantaggio diretto dal contatto-visita che l’ISF svolge presso il medico;
• e’ sempre l’azienda farmaceutica che, benche’ abbia in uso un database originariamente costituito da terzi, decide in funzione di strategie scientifiche e di marketing chi e quando contattare per la promozione dei medicinali.

Quindi in conclusione il “TITOLARE DEL TRATTAMENTO” o (data controller) di database presi dall’esterno e’ sempre l’azienda farmaceutica!

(Immediapress – Adnkronos
Immediapress e’ un servizio di diffusione di comunicati stampa in testo originale redatto direttamente dall’ente che lo emette. Padovanews non e’ responsabile per i contenuti dei comunicati trasmessi.)