Per ottenere qualcosa da qualcuno non serve alzare la voce. Soprattutto se quel qualcuno sono io, se il richiedente è Luisa Giordano, e se il tema riguarda la privacy per farmacie.
Luisa è la titolare di una delle farmacie pilota dell’Accademia Farmacista Vincente. Ci conosciamo da anni e siamo buoni amici. Soprattutto, mi ha aiutato parecchio a costruire e divulgare il protocollo Farmacista Vincente.
Poco prima dell’attivazione del nuovo corso normativo della privacy, Luisa mi ha suggerito che sarebbe stato utile invitare nell’aula virtuale dell’Accademia Farmacista Vincente Davide Candia, il consulente privacy che già in passato ci aveva fornito chiare delucidazioni, per un confronto sulle novità in arrivo.
Ne è venuta fuori una video-intervista talmente interessante che ho deciso di trasformarla in articolo a beneficio di tutti, anche al di fuori dell’Accademia Farmacista Vincente.
Riconosci le mie domande da grassetto, e le risposte di Davide Candia dall’assenza di grassetto.
Esattamente.
Fai riferimento al decreto attuativo. Quello della normativa precedente verrà abrogato e verrà emanato un decreto che si sovrapporrà al regolamento europeo. Quindi tutti i provvedimenti emanati precedentemente dall’autorità garante saranno mutuati col regolamento europeo. Questo decreto attuativo è stato prorogato, ma di fatto oggi, 25 maggio 2018, entra in vigore automaticamente il regolamento europeo.
Come è uscito fuori ieri dal Sole24Ore, oggi dovremmo essere in regola, ma mancano le linee guida. Ci dobbiamo basare sul regolamento europeo, ma manca il decreto attuativo. Oggi, a prescindere da questo, tutti coloro che trattano dati sensibili devono alzare il livello di attenzione sul trattamento di tali dati. Ovviamente le farmacie rientrano in questa fascia.
Devo dire che si è creata un po’ di confusione sulla norma, perché essendo una norma complessa è materia per pochi tecnici. Per esempio, molti stanno “vendendo” la funzione del DPO – Data Protection Officer, ovvero “responsabile della protezione dati”. Devo dire che questa figura in farmacia non è obbligatoria: se andiamo a prendere le FAQ del Garante, spiega che ci sono dei casi in cui non è prevista, ma solo consigliata.
Sappiate che non è una figura obbligatoria, ma opzionale. Siete voi a scegliere se delegare una figura esterna a risponderne per conto vostro, ma non siete obbligati a farlo. Significa che il titolare della farmacia ha la possibilità o di internalizzare il tutto (ne risponde lui), oppure di nominare una figura esterna, il Data Protection Officer, che fungerà da intermediario con l’Autorità garante, per qualsivoglia problematica.
se si assume un DPO, i suoi dati anagrafici e di contatto vanno comunicati all’Autorità garante, attraverso un apposito modulo. Il garante prende le banche dati di questi DPO e li considereranno i loro interlocutori, bypassando il titolare dell’attività.
Potrebbe essere una soluzione interessante per chi volesse delegare, ma sappiate che non è obbligatoria, ma opzionale. Quindi se qualcuno ve la propone come obbligatoria, sta facendo una informazione errata.
Quindi, se vogliamo delegare prendiamo un DPO, e ovviamente la cosa avrà un costo. Ma siccome non è obbligatorio, se vogliamo facciamo da soli.
Esatto, perché la legge fa riferimento al trattamento dei dati su larga scala… ma “larga scala” che significa? Prendiamo ad esempio un paesino di 5.000 abitanti: larga scala può essere inteso in riferimento a 2.500, 3.000 su 5.000. Ma su una città di 600.000 abitanti gli utenti acquisiti nel database non sono larga scala. Ecco dove si è creata la confusione: su questo termine “larga scala”.
Certo, “larga scala” non è un riferimento oggettivo, ma soggettivo.
Sì, è da interpretare.
Grazie, allora, mi sembra una prima osservazione importantissima per iniziarci a orientare.
Sì, perché qualcuno sta proponendo il DPO ai bar, ai panifici… si è creato un mercato che rasenta la frode, secondo me.
Anche perché immagino non ci vogliano titoli particolari.
Il DPO deve avere delle caratteristiche specifiche: deve essere esperto in materia e potrebbe avere dei titoli aggiuntivi (per esempio sono proliferate le certificazioni qualità). Ma in effetti basta poco, e chi ieri vendeva frutta oggi può proporsi come DPO.
Un nuovo modo per campare…
Esattamente. Penso che a questo punto la tua prossima domanda sia: “cosa dobbiamo fare concretamente?”
Mi leggi nel pensiero!
Allora… dobbiamo alzare il livello di attenzione sugli aspetti informativi. Oggi proteggere il dato significa non perderlo, non diffonderlo, fare in modo che nessuno possa in maniera fraudolenta acquisirlo. Quindi la farmacia deve creare una rete IT che garantisca la protezione dei dati da perdite e intrusioni. Quindi la farmacia deve essere dotata di un firewall, per evitare le intrusioni, e deve pensare al salvataggio dei dati. Oggi il salvataggio ottimale, secondo il principio previsto dalla norma, è quello che garantisce una ridondanza, in modo che i dati siano sul computer della farmacia, e conservati anche altrove, in unità di memoria separate. Per esempio…
Ti interrompo Davide: non riusciamo a seguirti negli aspetti tecnici e non sono cose che possono fare personalmente i nostri amici farmacisti. Chi deve fare questo adeguamento IT?
Il sistemista, il referente informatico della farmacia.
Quindi, ricapitoliamo. Prima cosa: scegliere se nominare o meno un DPO.
Sì.
Seconda cosa: chiamare il sistemista per chiedergli di adeguare la nostra rete per proteggere i dati per come ci hai spiegato tu prima, verificando che lui sappia che cosa prevede esattamente la normativa sia per la ridondanza che per evitare le intrusioni.
Certo, verificate che il tecnico conosca i requisiti della legge!
Perdonami… non vorrei che qui stiamo saltando un passaggio. Stiamo parlando dei soli dati sensibili qui, ovvero quelli dai quali si risale alle patologie degli utenti della farmacia. Quindi anche i dati cartacei, le ricette.
Assolutamente sì. Per i dati su carta, vanno conservati come prima, in armadi chiusi a chiave. I dati informatici devono essere protetti con software che consentano la criptazione dei dati, cioé il salvataggio con una chiave di lettura dei dati. Quindi non dobbiamo per esempio trasmettere o ricevere ricette attraverso la mail tradizionale. Se dovesse capitare, sappiate che la procedura non è corretta: devono essere utilizzati canali protetti, come la pec.
Lo stesso vale anche per chi manda le ricette con Whatsapp?
No, perché Whatsapp è criptato end-to-end e quindi offre un livello di protezione ottimale.
Però se perdo il telefonino della farmacia, che ha dentro il Whatsapp con le ricette ricevute…
Se il telefonino è protetto con codice di sblocco forse sei a posto. Però deve avere anche un software antivirus… Non devi avere falle nel sistema.
Chiaro, ragazzi? Mi è sembrato fantastico l’esempio della mail. Avete tutto in regola, la ridondanza, i dati criptati, il firewall… Poi il cliente ti manda una mail con la ricetta, e siccome te l’ha mandata con la mail tradizionale e non via pec, la tua mail può essere comunque controllata e vista dall’esterno e…
Bravissimo. La mail potrebbe essere aggredibile dall’esterno e quindi qualcuno potrebbe acquisire in modo fraudolento i dati sensibili di quella persona, e tu smetti di essere in regola!
A questo punto, cosa facciamo in questo caso? Se ci arriva una ricetta via mail, la distruggiamo subito senza salvare il file allegato. Giusto Davide?
Sì, attiviamo le ricette all’interno del software e poi la mail la eliminiamo, così non lasciamo tracce aggredibili. Aggiungo una cosa di cui non abbiamo ancora parlato. Occorre anche predisporre un Registro del trattamento dei dati, che rappresenta una sorta del vecchio documento programmatico per la sicurezza dei dati. All’interno ci saranno l’analisi dei rischi, l’elenco delle banche dati che trattate, l’elenco dei soggetti operatori che trattano i dati, responsabili esterni, come il consulente del lavoro, ecc. Tutti questi rapporti dovranno essere regolamentati tramite apposite lettere, chiamate “Lettera di nomina responsabile in outsourcing”.
Un registro? Dove lo andiamo a prendere?
Potete intanto usare la piattaforma di PromoFarma, che consente di predispone un piccolo registro, fa stampare le lettere, anche se sono quelle standard. Qualcuno mi chiedeva delle specifiche per il sistemista o altri ruoli. Però con questa piattaforma si ottiene un dossier minimo garantito.
Ottimo. Quindi ecco un terzo passo in avanti.
Da questo momento l’intervista comprende anche le domande dei farmacisti che seguivano la diretta. Per consentirti di distinguerle dalle mie domande, che sono in grassetto nero, quelle dei farmacisti le ho segnate in grassetto blu.
I dati del backup devono essere crittografati? Se sì, mi hanno detto che devo installare un programma per farlo. È corretto?
Esattamente. Confermo.
Perfetto, grazie. Passaggio successivo quindi è questo registro e queste lettere di incarico.
Sì, sono lettere che regolano tutti i rapporti con chi “tocca” i dati sensibili dell’utenza, sia quelli interni (quindi coi collaboratori) che quelli esterni (quindi con consulenti e altre figure).
A questo punto siamo arrivati a una definizione di cosa occorre alle farmacie più semplici per essere in regola con la privacy?
Manca ancora qualcosa: bisogna affiggere in sala, in farmacia, l’informativa nuova, più snella rispetto alla precedente, che deve indicare la tempistica del trattamento dei dati, se i dati vengono trasferiti all’estero (fuori dall’UE), l’eventuale presenza del DPO, e la titolarità del trattamento.
Quindi abbiamo quest’ultima piccola incombenza, quella di fare un cartellino idoneo e metterlo in sala. Immagino che siamo in regola così per le farmacie “normali”. Poi ci sono quelle che utilizzano i dati dei clienti a scopo promozionale, in modo semplice o addirittura con la profilazione, ovvero registrando i comportamenti di acquisto dei clienti registrati. Ricordo infatti ai titolari di farmacia che per la normativa della privacy un conto è se conservi i soli dati di ricontatto del cliente, e altra cosa è se tracci anche i suoi acquisti. Nel primo caso hai un trattamento dati semplificato, nel secondo caso invece devi seguire il trattamento previsto nei casi di profilazione.
Oggi vige il principio dell’opt-in, ossia il cliente deve acconsentire esplicitamente sia alla profilazione che alla ricezione di messaggi diretti nella sua mail o nel cellulare. Quindi dobbiamo chiedere un consenso esplicito.
Ok, quindi per questo non è cambiato nulla rispetto a prima.
Confermo.
Le lettere di incarico vanno inviate per esempio anche ai fornitori come te, Eugenio?
Se Eugenio non ha modo di accedere ai tuoi dati, come immagino, no. Devi incaricare solo chi accede ai dati sensibili dei tuoi utenti.
E se il farmacista utilizza un servizio online per smistare mail e/o sms?
Provo a rispondere io. È implicito che si utilizzi un servizio esterno per farlo. Se per esempio ti vuoi passare il tempo a mandare le mail una per una con GMail, non credo tu debba inviare una lettera a Google, giusto Davide?
Giusto. L’importante è che il cliente abbia dato consenso a riceverle queste mail promozionali. Se ti avvali di una società esterna, certamente avrai accettato delle condizioni d’uso in cui c’è scritto che in alcun modo la piattaforma può accedere ai tuoi dati, e sei il solo responsabile del loro utilizzo.
Se i dati li prendiamo online?
Il consenso andrà richiesto online, in questo caso.
È necessario richiedere nuovamente la ADES alla privacy? Alcune aziende chiedono una interazione, altre no. Mi riferisco soprattutto ai clienti con carta fedeltà di cui conserviamo traccia degli acquisti effettuati.
Sì. È opportuno ri-acquisire questi consensi acquisiti con la vecchia normativa anche con la nuova. Però vi consiglio di farlo in maniera graduale, man mano che vengono in farmacia.
Ci sono adempimenti formativi obbligatori per i titolari di farmacia?
Sì, si deve dimostrare che il titolare abbia frequentato un corso sulla nuova normativa e che si sia erogata formazione ai dipendenti. Si potrebbe optare per la formazione al titolare, che la trasferisce a tutti i dipendenti.
Quindi un corso sulla Privacy i titolari dovranno seguirlo per forza. Giusto?
Certo.
Se la fidelity è gestita da società esterne, la farmacia è responsabile e non titolare, giusto?
Esatto. Il trattamento è regolamentato tra la società esterna e la farmacia, ma siccome i dati vengono conservati nel sito della società esterna, non transitano nella farmacia.
Allora il quadro è completo?
No, manca ancora una cosa. In caso di intrusione dall’esterno al sistema informatico, se siamo certi che chi è entrato ha preso i dati, dobbiamo: A) fare una notifica al Garante seguendo una procedura ben specifica, e B) comunicarlo a tutti gli utenti, o con un messaggio affisso in sala vendita, o con un sito Internet. Saltare questi due passaggi potrebbe comportare sanzioni molto salate, dal 2 al 4% del fatturato.
Mi spiace, ma questa volta hai sbagliato, Davide.
???
In questi casi le opzioni sono tre, quelle che hai detto solo la B) e la C).
…
La A) è che se vi succede un’intrusione dovete chiedere subito aiuto al nostro amico Davide Candia (la sua mail è studiocandiadavide@gmail.com), prima di tutto!
Grazie Davide, sempre generoso e prezioso amico della nostra Accademia Farmacista Vincente.
Grazie a te, Eugenio, è sempre un piacere.
