GDPR

GDPR in farmacia: la guida completa. Tutto quello che il farmacista deve sapere, spiegato senza tecnicismi.

Il GDPR non è solo un'informativa appesa al muro. È un sistema di regole che impone obblighi precisi a chiunque tratti dati personali, e la farmacia ne tratta di particolarmente delicati ogni giorno. Questa guida spiega tutto quello che serve sapere: chi è responsabile di cosa, quali documenti sono obbligatori, cosa rischia chi non li ha.

ApoCert Research Lab
16 min
WhatsAppEmail
GDPR in farmacia: la guida completa. Tutto quello che il farmacista deve sapere, spiegato senza tecnicismi.

Per molti farmacisti, il GDPR è un foglio appeso in cassa con scritto "Informativa sulla privacy" e una firma raccolta ogni tanto a un paziente. In realtà, il Regolamento Generale sulla Protezione dei Dati è un sistema articolato di obblighi, documenti e responsabilità che riguarda ogni singola operazione quotidiana di una farmacia: dalla ricetta elettronica alla tessera fedeltà, dalla videosorveglianza alla teleassistenza del gestionale.

Questa guida è scritta per chi non ha mai letto il GDPR e vuole capire, in modo chiaro, cosa la legge impone, quali documenti devono esistere, chi è responsabile di cosa, e cosa succede a chi non si adegua. Senza tecnicismi giuridici. Con esempi concreti dal mondo della farmacia.

Cos'è il GDPR, in parole semplici

Il GDPR, General Data Protection Regulation, è il Regolamento europeo n. 2016/679, in vigore dal 25 maggio 2018 in tutti i Paesi dell'Unione Europea. Non è una legge italiana: è una norma europea che si applica direttamente, senza bisogno di recepimento nazionale.

Il principio di fondo è semplice: chiunque raccolga o utilizzi dati personali di altre persone deve farlo secondo regole precise, deve proteggere quei dati, e deve essere in grado di dimostrare di averlo fatto.

Per "dati personali" si intende qualsiasi informazione che permetta di identificare una persona: nome, cognome, codice fiscale, numero di telefono, indirizzo email, ma anche dati di navigazione, immagini di videosorveglianza e, soprattutto, dati relativi alla salute.

I dati sanitari, quelli che il GDPR chiama "categorie particolari di dati" (Articolo 9), godono di una protezione rafforzata. Il codice fiscale associato a un farmaco acquistato è un dato sanitario. La ricetta elettronica è un dato sanitario. Il nome di un paziente nel registro delle preparazioni galeniche è un dato sanitario. La farmacia, per sua natura, tratta dati sanitari ogni giorno, centinaia di volte al giorno.

Questo colloca la farmacia in una posizione di responsabilità particolarmente elevata. Non è paragonabile a un negozio di abbigliamento che raccoglie indirizzi email per le promozioni. La farmacia custodisce informazioni che rivelano lo stato di salute delle persone, le loro patologie, le terapie in corso. Il GDPR impone che questa custodia sia all'altezza della sensibilità dei dati.

Il titolare del trattamento: la farmacia

Il primo concetto da comprendere è quello di titolare del trattamento. Il titolare è il soggetto che decide perché e come vengono trattati i dati personali. Nel caso di una farmacia, il titolare è la farmacia stessa, nella persona del suo titolare legale.

Essere titolare del trattamento significa avere la responsabilità ultima di tutto quello che accade ai dati dei pazienti. Se il software gestionale ha un problema di sicurezza, la responsabilità primaria è della farmacia. Se un dipendente accede a dati che non dovrebbe vedere, la responsabilità è della farmacia. Se i dati vengono persi, rubati o esposti, è la farmacia che deve rispondere al Garante Privacy e, nei casi più gravi, ai pazienti stessi.

Questa responsabilità non può essere delegata. Non si può dire "è colpa del fornitore del software" o "ci pensava il commercialista". Il GDPR è chiaro: il titolare deve scegliere con cura i propri fornitori, deve verificare che operino correttamente, e deve poter dimostrare di averlo fatto.

In concreto, gli obblighi principali del titolare del trattamento includono:

  • Garantire che i dati siano trattati in modo lecito, corretto e trasparente
  • Raccogliere solo i dati necessari per le finalità dichiarate
  • Conservare i dati solo per il tempo necessario
  • Proteggere i dati con misure di sicurezza adeguate
  • Informare i pazienti su come vengono utilizzati i loro dati
  • Notificare al Garante eventuali violazioni entro 72 ore
  • Essere in grado di dimostrare tutto quanto sopra (il principio di accountability)

Quest'ultimo punto è fondamentale. Il GDPR non chiede solo di fare le cose giuste: chiede di poter provare di averle fatte. In caso di ispezione, non basta dire "i dati erano protetti". Bisogna mostrare i documenti che lo dimostrano.

Il responsabile del trattamento: chi lavora con i dati della farmacia

Il secondo concetto chiave è quello di responsabile del trattamento. Il responsabile è qualsiasi soggetto esterno che tratta dati personali per conto della farmacia.

Gli esempi concreti nel contesto farmaceutico sono numerosi:

  • Il fornitore del software gestionale: accede ai dati dei pazienti durante la teleassistenza, gestisce il database, fornisce aggiornamenti
  • Il commercialista o consulente del lavoro: tratta i dati dei dipendenti della farmacia, le buste paga, i dati fiscali
  • Il fornitore del servizio di videosorveglianza: gestisce le immagini registrate dalle telecamere
  • Il fornitore del sito web: se il sito raccoglie dati (prenotazioni, newsletter)
  • Il servizio di posta elettronica o PEC: custodisce le comunicazioni che contengono dati personali
  • Il servizio di backup in cloud: conserva copie dei dati della farmacia

Ogni soggetto che accede ai dati personali dei pazienti o dei dipendenti della farmacia, anche solo potenzialmente, è un responsabile del trattamento. E con ogni responsabile del trattamento, la legge impone un documento specifico.

Il DPA: il contratto che quasi nessuno ha

Il documento che regola il rapporto tra titolare e responsabile del trattamento si chiama DPA, Data Processing Agreement, in italiano "Accordo per il Trattamento dei Dati Personali". L'Articolo 28 del GDPR lo rende obbligatorio.

In termini semplici, il DPA è un contratto che stabilisce:

  • Quali dati il responsabile può trattare
  • Per quali finalità può trattarli (e solo per quelle)
  • Quali misure di sicurezza adotta per proteggerli
  • Chi può accedere ai dati all'interno dell'organizzazione del responsabile
  • Se e a chi può trasmetterli a sua volta (sub-responsabili)
  • Cosa succede in caso di violazione dei dati (tempi di notifica, procedure)
  • Cosa accade ai dati quando il rapporto contrattuale si conclude (restituzione, cancellazione)

Senza un DPA firmato, la farmacia sta affidando i dati sanitari dei propri pazienti a un soggetto terzo senza alcun vincolo formale su come quei dati vengono gestiti. In caso di ispezione del Garante, l'assenza del DPA è una delle prime contestazioni.

Un aspetto cruciale: il DPA non deve essere un documento generico pieno di formule standard. Il Garante Privacy ha più volte sottolineato che le misure di sicurezza dichiarate devono essere specifiche, documentate e verificabili. Un DPA che dice "adottiamo misure adeguate" senza specificare quali è come una polizza assicurativa che dice "copriamo i danni" senza specificare quali. In caso di contestazione, non protegge nessuno.

La farmacia dovrebbe avere un DPA firmato con ciascuno dei propri responsabili del trattamento. Per la maggior parte delle farmacie italiane, questo significa almeno: fornitore del gestionale, commercialista, consulente del lavoro, fornitore di videosorveglianza, e ogni altro soggetto che acceda a dati personali.

Un obbligo sottovalutato

Il DPA non è una formalità burocratica. È il documento che, in caso di violazione dei dati da parte del fornitore, permette alla farmacia di dimostrare di aver fatto la propria parte. Senza DPA, la farmacia risponde in prima persona anche per gli errori del fornitore. L'analisi di due contratti di gestionali farmaceutici molto diffusi ha rivelato che, anche quando il DPA esiste, spesso contiene dichiarazioni che non corrispondono alla realtà tecnica del software.

Il registro dei trattamenti: obbligatorio per le farmacie

Il registro delle attività di trattamento (Articolo 30 del GDPR) è un documento in cui il titolare elenca tutti i trattamenti di dati personali che effettua, con le relative caratteristiche.

Esiste un equivoco diffuso: molti credono che il registro sia obbligatorio solo per le organizzazioni con più di 250 dipendenti. In realtà, l'Articolo 30 prevede un'eccezione a questa soglia che riguarda direttamente le farmacie: il registro è obbligatorio, indipendentemente dal numero di dipendenti, quando il trattamento riguarda "categorie particolari di dati" ai sensi dell'Articolo 9.

I dati sanitari sono categorie particolari di dati. Ogni farmacia tratta dati sanitari. Di conseguenza, ogni farmacia è obbligata a tenere il registro dei trattamenti, anche se ha un solo dipendente.

Il Garante Privacy italiano ha confermato questa interpretazione e ha pubblicato le FAQ ufficiali in materia, raccomandando la tenuta del registro anche a chi non sarebbe formalmente obbligato, come strumento di accountability. Per le farmacie, tuttavia, non si tratta di una raccomandazione: è un obbligo.

Il registro deve contenere, per ogni trattamento:

  • Il nome e i contatti del titolare del trattamento (la farmacia)
  • Le finalità del trattamento (es. "erogazione di farmaci su ricetta medica", "gestione del laboratorio galenico", "videosorveglianza dei locali")
  • Le categorie di interessati (es. pazienti, dipendenti, fornitori)
  • Le categorie di dati trattati (es. dati anagrafici, codici fiscali, dati sanitari)
  • I destinatari a cui i dati vengono comunicati (es. fornitore del gestionale, SSN, commercialista)
  • I tempi di conservazione previsti per ciascuna categoria di dati
  • Le misure di sicurezza adottate (una descrizione generale)

Non è un documento complicato. Può essere un semplice foglio di calcolo, purché sia aggiornato e rifletta la realtà dei trattamenti effettuati. Quello che conta è che esista, che sia completo, e che sia a disposizione in caso di richiesta del Garante.

L'autorizzazione al trattamento per i dipendenti

Ogni persona che, all'interno della farmacia, ha accesso a dati personali, deve essere formalmente autorizzata al trattamento. È quello che l'Articolo 29 del GDPR e l'Articolo 2-quaterdecies del Codice Privacy italiano chiamano autorizzazione al trattamento (spesso indicata anche come "incarico" o "designazione").

In pratica, si tratta di un documento in cui il titolare della farmacia:

  • Identifica il dipendente autorizzato
  • Specifica a quali dati può accedere e per quali finalità
  • Fornisce istruzioni su come deve trattare quei dati
  • Ricorda gli obblighi di riservatezza

Questo documento è obbligatorio per ogni dipendente e collaboratore che tratti dati personali: farmacisti collaboratori, tecnici di laboratorio, personale di cassa, magazzinieri che accedono al gestionale. Ciascuno dovrebbe avere un'autorizzazione che riflette il proprio ruolo e i dati a cui effettivamente accede.

Non è sufficiente un generico "rispetta la privacy". L'autorizzazione deve essere specifica. Un commesso che opera alla cassa non ha le stesse necessità di accesso ai dati di un farmacista che gestisce le preparazioni galeniche. Il principio del GDPR è chiaro: ogni persona deve accedere solo ai dati strettamente necessari per svolgere le proprie mansioni (principio di minimizzazione).

Le informative privacy: non basta un foglio appeso

L'informativa privacy è il documento con cui la farmacia comunica ai pazienti come vengono trattati i loro dati personali. Gli Articoli 13 e 14 del GDPR stabiliscono cosa deve contenere:

  • Chi è il titolare del trattamento e come contattarlo
  • Quali dati vengono raccolti
  • Per quali finalità vengono utilizzati e su quale base giuridica
  • A chi possono essere comunicati
  • Per quanto tempo vengono conservati
  • Quali diritti ha l'interessato (accesso, rettifica, cancellazione, opposizione, portabilità)

L'informativa deve essere fornita prima della raccolta dei dati, deve essere chiara, comprensibile, e facilmente accessibile. Non può essere scritta in legalese incomprensibile, e non può essere nascosta in fondo a un modulo.

Una farmacia ha bisogno tipicamente di più informative distinte:

  • Informativa per i pazienti: riguarda il trattamento dei dati connessi alla vendita di farmaci, alle ricette elettroniche, alla fidelizzazione
  • Informativa per i dipendenti: riguarda il trattamento dei dati dei lavoratori
  • Informativa per la videosorveglianza: obbligatoria se la farmacia ha telecamere di sicurezza

L'informativa per la videosorveglianza

La videosorveglianza merita un approfondimento specifico perché è un'area in cui il Garante Privacy interviene con frequenza crescente.

Se una farmacia ha telecamere di sicurezza, deve rispettare regole precise:

  • Un cartello informativo (il "cartello area videosorvegliata") deve essere visibile prima di entrare nell'area ripresa, e deve contenere le informazioni essenziali e un rimando all'informativa completa
  • L'informativa completa deve essere disponibile, con tutti gli elementi richiesti dagli Articoli 13-14
  • Le immagini possono essere conservate per un massimo di 24-48 ore, salvo esigenze specifiche documentate (fino a 72 ore in casi particolari). Conservazioni più lunghe richiedono una valutazione d'impatto
  • Se i dipendenti sono ripresi, è necessario l'accordo sindacale o l'autorizzazione dell'Ispettorato del Lavoro

Il Garante ha irrogato sanzioni a strutture sanitarie e studi medici per telecamere installate senza informativa, senza cartello, o con tempi di conservazione delle immagini non conformi. Nel 2024, un centro medico è stato sanzionato per aver installato un sistema di videosorveglianza con riconoscimento biometrico senza aver effettuato la valutazione d'impatto obbligatoria.

Referti e comunicazioni su WhatsApp: le sanzioni del Garante

Un tema particolarmente attuale riguarda l'uso di WhatsApp e delle app di messaggistica per comunicare dati sanitari.

La pratica è diffusa: secondo un'indagine del 2023, oltre l'80% dei medici italiani utilizza WhatsApp per comunicazioni professionali, inclusa la trasmissione di referti, prescrizioni e informazioni cliniche. Il fenomeno riguarda anche le farmacie: comunicazioni con i medici prescrittori, invio di referti di autoanalisi ai pazienti, fotografie di ricette.

Il Garante Privacy ha preso posizione in modo netto. WhatsApp non è uno strumento conforme al GDPR per la trasmissione di dati sanitari, per diverse ragioni:

  • Non esiste un Data Processing Agreement tra il professionista sanitario e Meta (la società proprietaria di WhatsApp)
  • I metadati delle comunicazioni (chi scrive a chi, quando, con quale frequenza) sono accessibili a Meta
  • I dati transitano su server extra-UE senza le garanzie previste dal GDPR per i trasferimenti internazionali
  • Il professionista non ha alcun controllo sulla conservazione e sull'eventuale cancellazione dei dati

Il Garante ha sanzionato con 20.000 euro un medico che aveva lasciato accessibili prescrizioni contenenti dati sanitari di pazienti. In diversi provvedimenti, il Garante ha ribadito che la trasmissione di dati sanitari tramite app di messaggistica non conformi al GDPR costituisce una violazione degli Articoli 5, 9 e 32 del Regolamento.

Il principio si applica pienamente alle farmacie. L'invio del risultato di un test della glicemia su WhatsApp, la fotografia di una ricetta inviata a un collega, la comunicazione di una preparazione galenica pronta: sono tutte operazioni che, se effettuate tramite canali non conformi, espongono la farmacia a contestazioni.

WhatsApp non è un canale conforme

L'uso di WhatsApp per comunicare dati sanitari, referti, prescrizioni o informazioni sui farmaci acquistati dai pazienti è stato ripetutamente censurato dal Garante Privacy. La farmacia che utilizza questi canali per trasmettere dati sanitari lo fa in violazione del GDPR, indipendentemente dal consenso del paziente. Il consenso non sana l'assenza delle misure di sicurezza richieste dal Regolamento.

Il DPO: serve alla farmacia?

Il DPO, Data Protection Officer, in italiano Responsabile della Protezione dei Dati, è una figura prevista dall'Articolo 37 del GDPR. Si tratta di un professionista, interno o esterno, che ha il compito di sorvegliare l'applicazione del GDPR all'interno dell'organizzazione, fornire consulenza al titolare, e fungere da punto di contatto con il Garante Privacy.

La nomina del DPO è obbligatoria in tre casi:

  1. Il trattamento è effettuato da un'autorità pubblica o un organismo pubblico
  2. Le attività principali del titolare richiedono il monitoraggio regolare e sistematico degli interessati su larga scala
  3. Le attività principali del titolare consistono nel trattamento su larga scala di categorie particolari di dati (Articolo 9)

La farmacia tratta dati sanitari, ma la domanda è se lo faccia "su larga scala". Secondo le linee guida del Comitato Europeo per la Protezione dei Dati (EDPB), il singolo professionista sanitario o la singola farmacia non rientra generalmente nel concetto di trattamento su larga scala. Il trattamento su larga scala riguarda strutture come ospedali, ASL, catene di cliniche.

Di conseguenza, per la maggior parte delle farmacie italiane, la singola farmacia e la piccola società titolare, la nomina del DPO non è obbligatoria. Resta comunque una scelta consigliata per le farmacie più strutturate o per chi desidera un supporto professionale continuativo nella gestione della conformità.

Anche in assenza del DPO, tuttavia, tutti gli altri obblighi del GDPR restano pienamente in vigore. Il DPO è una figura di supporto, non un sostituto della responsabilità del titolare.

Cosa rischia chi non si adegua

Il sistema sanzionatorio del GDPR prevede due livelli:

  • Fino a 10 milioni di euro (o il 2% del fatturato annuo globale) per violazioni relative agli obblighi del titolare, alle misure di sicurezza, al registro dei trattamenti, alla notifica delle violazioni
  • Fino a 20 milioni di euro (o il 4% del fatturato) per violazioni dei principi fondamentali, dei diritti degli interessati, dei trasferimenti internazionali di dati

Per una farmacia, ovviamente, il Garante calibra la sanzione sulla dimensione dell'attività. Le sanzioni documentate a strutture sanitarie italiane vanno dai 10.000 ai 150.000 euro, con punte di 271.000 euro per i fornitori tecnologici.

Ma le sanzioni economiche non sono l'unico rischio. Il Garante può ordinare la limitazione o il divieto del trattamento, il che per una farmacia può significare l'impossibilità di utilizzare il proprio gestionale fino all'adeguamento. Può ordinare la comunicazione della violazione a tutti i pazienti coinvolti, con le conseguenze reputazionali che ne derivano. Nei casi più gravi, le violazioni possono avere rilevanza penale, in base al Codice Privacy italiano (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018).

Il GDPR non è un foglio appeso al muro

Il messaggio di fondo è che il GDPR non si esaurisce in un'informativa appesa in cassa e in un modulo fatto firmare al paziente. È un sistema organico che richiede:

  1. Consapevolezza di quali dati si trattano e perché
  2. Documentazione completa: registro dei trattamenti, DPA con ogni fornitore, autorizzazioni ai dipendenti, informative aggiornate
  3. Misure di sicurezza adeguate alla sensibilità dei dati trattati
  4. Verifica periodica che i fornitori, a partire dal gestionale, rispettino effettivamente gli impegni assunti
  5. Capacità di dimostrare tutto quanto sopra in caso di ispezione

La buona notizia è che, per una farmacia, la conformità al GDPR non richiede investimenti enormi né competenze informatiche avanzate. Richiede, prima di tutto, la comprensione di cosa la legge impone e la volontà di verificare che la propria posizione sia in ordine.

La cattiva notizia è che, secondo le analisi condotte sui software gestionali più diffusi in Italia, alcune delle misure di sicurezza fondamentali, cifratura dei dati, registri degli accessi, credenziali sicure, non dipendono dalla farmacia ma dal fornitore del software. E in diversi casi documentati, queste misure sono completamente assenti.

Questo non esonera la farmacia dalla responsabilità, ma le offre una leva importante: verificare, documentare le criticità, richiedere formalmente gli interventi necessari. In linguaggio GDPR, si chiama accountability. Ed è la differenza tra chi subisce una sanzione e chi dimostra di aver fatto il possibile.

Il report completo

L'analisi dettagliata delle vulnerabilità riscontrate nei gestionali farmaceutici, con le implicazioni legali e le azioni raccomandate, è disponibile nel report gratuito.

Scarica il Report Sicurezza Dati Farmacia 2026 →

Analisi Gratuita

Vuoi verificare se la tua farmacia è esposta?

Prima analisi gratuita, risposta entro 24 ore.

Contattaci →

Articoli Correlati

GDPR
GDPR

Il contratto con il fornitore del gestionale? Probabilmente non contiene la cosa più importante.

Esiste un documento che il GDPR obbliga ad avere e che la maggior parte delle farmacie non ha mai visto. Si chiama DPA e dovrebbe regolare come il fornitore del software gestisce i dati dei pazienti. L'analisi di due contratti reali rivela che, anche quando esiste, non protegge nulla.

8 apr 20269 min · Leggi →
GDPR
GDPR

'Gentile paziente, i dati sui farmaci che ha acquistato nella nostra farmacia erano accessibili a chiunque.' La lettera che nessun farmacista vuole scrivere.

Il GDPR obbliga a informare personalmente i pazienti quando i loro dati sanitari sono stati esposti. In una singola farmacia, i log del gestionale contengono oltre 12.000 codici fiscali associati ai farmaci acquistati. Accumulati per anni. Senza cifratura. Senza scadenza.

8 apr 20268 min · Leggi →
GDPR
GDPR

€75.000 per accessi non controllati. €120.000 per un bug nel software. Le sanzioni vere del Garante a strutture sanitarie.

Non sono scenari ipotetici: sono provvedimenti pubblicati dal Garante Privacy tra il 2021 e il 2025. Ogni caso riguarda problemi identici a quelli documentati nei gestionali farmaceutici più diffusi in Italia. Con una differenza: le farmacie non sono ancora state ispezionate.

8 apr 20269 min · Leggi →