federfarma federazione nazionale unitaria dei titolari di farmacia italiani Roma, 7 dicembre 2009 Uff.-Prot.n° UL.BF 22015/530/F7/PE Oggetto: Scadenziario adempimenti privacy ALLE ASSOCIAZIONI PROVINCIALI ALLE UNIONI REGIONALI SOMMARIO: In riferimento agli adempimenti concernenti la normativa sulla privacy, la Federfarma fornisce alcuni chiarimenti e ricorda le scadenze di seguito riportate: 15 dicembre 2009. Amministratore di sistema. 1 gennaio 2010. Scontrino fiscale recante il codice AIC anziché la denominazione commerciale del farmaco 31 marzo 2010. Aggiornamento Documento programmatico sulla sicurezza (DPS) PRECEDENTI: Circolare Federfarma n. 97 dell’11 marzo 2009; n.98 dell’11 marzo 2009; n. 212 del 13 maggio 2009; n. 266 del 10 giugno 2009; n. 324 del 9 luglio 2009; n. 365 del 3 agosto 2009 In riferimento agli adempimenti concernenti la normativa sulla privacy, la Federfarma ha cura di ricordare le scadenze degli adempimenti di seguito riportate, fornendo alcuni chiarimenti in materia. 15 dicembre 2009. Amministratore di sistema Si ricorda che le farmacie e le Associazioni devono verificare se, nell’ambito della propria organizzazione, sussiste la figura dell’ “amministratore di sistema”; qualora sussista tale figura, devono applicare entro il 15 dicembre c.a. le misure già descritte nella Circolare Federfarma n. 266 del 10 giugno 2009. L’ “amministratore di sistema” è un soggetto chiamato a svolgere funzioni di gestione e manutenzioni di elaboratori, di base di dati, sistemi software complessi, reti aziendali. Qualora tale soggetto, nell’ambito della propria funzione (ad esempio, salvataggio dei dati, organizzazione della rete, gestione dei supporti di memorizzazione, manutenzione del gestionale della farmacia) può accedere anche incidentalmente a dati personali, si applica la normativa in oggetto. Tuttavia, l’Autorità garante in materia di protezione dei dati personali ha affermato che il soggetto che interviene solo occasionalmente (p. es. per scopi di manutenzione a seguito di guasti o malfunzionamenti sui sistemi di elaborazioni e sui sistemi software) non è da con considerarsi Amministratore di sistema (cfr. circolare Federfarma n.266 del 10 giugno 2009). Peraltro, la scrivente ritiene che, ai fini dell’applicazione di tale norma, non rileva la modalità di accesso al sistema stesso (in remoto, da terminali che non si trovino fisicamente in farmacia ovvero da terminali che si trovino in farmacia). Via Emanuele Filiberto, 190 - 00185 ROMA Tel. (06) 70380.1 - Telefax (06) 70476587 - e-mail:[email protected] Cod. Fisc. 01976520583 Conseguentemente, non è da considerarsi “amministratore di sistema” chi, da remoto o anche direttamente dai computer della farmacia o dell’Associazione, possa accedere al sistema informatico solo occasionalmente, ad esempio su richiesta della farmacia o dell’Associazione stessa, per interventi di manutenzione. Invece, si deve considerare “amministratore di sistema” il soggetto che, anche in remoto, ha la possibilità di accedere, qualora lo ritenga opportuno (quindi, non occasionalmente, ad esempio su richiesta della farmacia), al sistema informatico, al fine di effettuare operazioni di manutenzione, aggiornamento, modifiche, nuove installazioni ecc. e in occasione di tale attività possa accedere a dati personali. Infine, la scrivente ricorda che il Garante ha anche affermato (nelle FAQ emanate in allegato al Provvedimento generale del 27 novembre 2008) che “nel caso limite di un titolare che svolga funzioni di unico amministratore di sistema, come può accadere in piccolissimi realtà di impresa, non si applicheranno le previsioni relative alla verifica delle attività dell’amministratore né la tenuta del log degli accessi informatici”. 1 gennaio 2010. Scontrino fiscale recante il codice AIC anziché la denominazione commerciale del farmaco Si ricorda che a seguito del Provvedimento generale del Garante della Privacy 29 aprile 2009 (Circolare Federfarma n. 212 del 13 maggio 2009) e alla conseguente Circolare dell’Agenzia delle entrate n. 40/E del 30 luglio 2009 (Circolare Federfarma n. 365 del 3 agosto 2009) , a partire dal 1 gennaio 2010, i cittadini, per poter detrarre e/o dedurre le spese sostenute per l’acquisto dei farmaci, dovranno ottenere uno scontrino fiscale contenente: codice fiscale del destinatario dei medicinali, la natura e la quantità dei medicinali acquistati il codice alfanumerico dell’AIC Conseguentemente, a partire dal 1 gennaio 2010 le farmacie dovranno apporre il codice alfanumerico AIC anziché la denominazione commerciale del farmaco. L’Agenzia delle Entrate ha chiarito che, sino al 31 dicembre 2010, potranno ritenersi validi ai fini agevolativi sia gli scontrini redatti con il vecchio sistema sia quelli emessi secondo le nuove modalità indicate dal Garante. Infine, la scrivente rileva che la riservatezza del cittadino non è comunque rispettata se in uno scontrino fiscale recante il codice fiscale, oltre al numero di AIC del farmaco, sono indicate le denominazioni commerciali di prodotti parafarmaceutici dai quali si possano evincere informazioni idonee a rivelare lo stato di salute. In relazione a ciò, anche se il Garante della privacy, nel Provvedimento generale del 29 aprile 2009, non ha fornito disposizioni al riguardo, la scrivente ritiene che, in caso di vendita di parafarmaci contestualmente alla vendita di farmaci e richiesta da parte del cittadino dell’apposizione dello codice fiscale sullo scontrino, le farmacie possono fornire una maggiore protezione dei dati personali, in uno dei modi di seguito indicati: - emissione di uno scontrino recante il codice fiscale, la quantità e il codice del parafarmaco “paraf 09…”, anziché la denominazione commerciale del prodotto; la natura, la quantità e il codice AIC del farmaco, anziché la sua denominazione commerciale; - emissione di un uno scontrino recante la natura (ad es. paraf o sanitario etc) e la quantità del parafarmaco senza l’indicazione della sua denominazione commerciale; la natura, la quantità e il codice AIC del farmaco, anziché la sua denominazione commerciale; - emissione di uno scontrino separato per farmaci (con codice fiscale, natura, quantità e codice AIC del farmaco) e parafarmaci (quest’ultimo senza apposizione del codice fiscale). 31 marzo 2010. Aggiornamento Documento programmatico sulla sicurezza (DPS) Le Farmacie e le Associazioni devono aggiornare il Documento programmatico sulla sicurezza entro il 31 marzo di ogni anno. Per effettuare l’aggiornamento del DPS, qualora dopo una verifica dei trattamenti effettuati e dei rischi di sicurezza correlati, non si individuassero variazioni rispetto a quanto contenuto nel documento programmatico precedentemente redatto, le farmacie e le Associazioni potranno redigere un nuovo DPS, utilizzando il contenuto del precedente documento programmatico, apponendovi una data aggiornata e la sottoscrizione del titolare di farmacia. In alternativa, le farmacie o le Associazioni possono apporre in calce al documento già redatto l’anno precedente (che, quindi, si ritiene valido anche per l’anno successivo) questa dichiarazione: “ In data………, il titolare della farmacia (del trattamento) ha effettuato una nuova ricognizione dei trattamenti di dati personali sensibili effettuati mediante strumenti elettronici e dei rischi di sicurezza correlati e non ha rinvenuto variazioni di rilievo rispetto a quanto contenuto nel documento programmatico sulla sicurezza adottato da questa farmacia (Associazione). Tale dichiarazione deve essere sottoscritta dal titolare della farmacia o dal rappresentante legale dell’associazione. Qualora la farmacia o l’Associazione debbano applicare la normativa sull’Amministratore di sistema, il DPS dovrà essere aggiornato con la descrizione delle nuove misure adottate. La scrivente, inoltre, ricorda che il Documento programmatico sulla sicurezza deve essere conservato in farmacia o in Associazione e non deve essere trasmesso ad alcuna Autorità. Inoltre, la legge non richiede, per tale documento, l’apposizione della “data certa”1, ma è sufficiente che il titolare del trattamento apponga una data all’atto della redazione o dell’aggiornamento del DPS, debitamente sottoscritto. Cordiali saluti. IL SEGRETARIO Dott. Alfonso MISASI IL PRESIDENTE Dott.ssa Annarosa RACCA La “data certa” si ottiene con apposizione del timbro direttamente sul documento avente corpo unico da parte degli uffici postali ai sensi dall'art. 8 del d.lg. 22 luglio 1999, n. 261 1