In attesa dell’adeguamento dei processi aziendali al GDPR (verrebbe da dire finalmente la presa di coscienza…), uno dei temi delicati, di cui ancora dopo anni si continua a dibattere, è l'identificazione del titolare del trattamento dei dati degli archivi dei medici all'interno nell'organizzazione pharma e quali responsabilità esso debba assumersi.

L’EU GDPR non da al Titolare indicazioni di come deve mettere sotto controllo i processi; si limita a dire deve farlo e che, in caso contrario, subirà sanzioni: “Effettive, Proporzionate, Dissuasive”.

Fra gli strumenti ancora non pienamente compresi e quindi poco sfruttati, c’è l’istituto della certificazione accreditata (ndr. In attesa dei criteri per dichiarare la conformità ai sensi dell’art. 42 e 43 EU reg. 2016/679).
Le certificazioni, come richiamato anche dal recente comunicato stampa congiunto Garante – Accredia, “costituiscono una garanzia e atto di diligenza verso le parti interessate dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento” .

Ancora una volta le Autorità di vigilanza, ci vengono in aiuto, definendo sia il valore che il perimetro, a legislazione vigente.

In particolare, nell’ambito definito dal quadro dal GDPR, il Titolare del trattamento degli archivi medici delle aziende farmaceutiche di cui all’artt. 119 e 122 d.lgs. 219/06 è colui che:

-  Viene così percepito dall’interessato
-  Beneficia del contatto con l’interessato
-  Disciplina nel dettaglio ed in autonomia modalità, compiti, ruoli e procedure nello  svolgimento dell’attività.

Risulta quindi chiaro che la qualifica di “Titolare” non può essere liberamente interpretata o determinata contrattualmente da contraenti, ma deriva dai poteri che si esercitano sui dati.

Senza tornare sui dettagli tecnici ampiamenti affrontati, citiamo i documenti:

Gruppo art. 29 “Parere 1/2010”
Provvedimento del 24 luglio 2008 [doc. web n. 1544575]
Provvedimento del 5 aprile 2012 [doc. web n. 1891156]
Provvedimento del 15 giugno 2011 [doc.web. n. 1821257]
Parere del Garante 16 febbraio 1999, in Boll. n. 7/gennaio 1999, p. 10, doc. web n. 1088774

Applicando i contenuti dei provvedimenti all’ambito del farmaceutico, potremmo considerare che l’azienda che acquista, ad esempio, l’accesso ad un archivio di medici di terza parte, inequivocabilmente presenta le caratteristiche sopra riferite al Titolare nei punti 1), 2), 3) per cui:

è l’azienda farmaceutica, per il cui conto l’ISF effettua la visita, che il medico percepisce come il soggetto che tratta il suo dato – indipendentemente dal provider tecnico-informativo che agisce nella raccolta operativa e che spesso il medico neanche conosce;
è l’azienda farmaceutica che trae vantaggio diretto dal contatto-visita che l’ISF svolge presso il medico;
è sempre l’azienda farmaceutica che, benché abbia in uso un database originariamente costituito da terzi, decide in funzione di strategie scientifiche e di marketing chi e quando contattare per la promozione dei medicinali.
Quindi in conclusione il “TITOLARE DEL TRATTAMENTO o (data controller) di database presi dall’esterno è sempre l’azienda farmaceutica!