GDPR

'Gentile paziente, i dati sui farmaci che ha acquistato nella nostra farmacia erano accessibili a chiunque.' La lettera che nessun farmacista vuole scrivere.

Il GDPR obbliga a informare personalmente i pazienti quando i loro dati sanitari sono stati esposti. In una singola farmacia, i log del gestionale contengono oltre 12.000 codici fiscali associati ai farmaci acquistati. Accumulati per anni. Senza cifratura. Senza scadenza.

ApoCert Research Lab
8 min
WhatsAppEmail

Gentile Sig.ra Rossi,

Le scrivo per informarLa che i dati relativi ai Suoi acquisti presso la nostra farmacia, inclusi il Suo codice fiscale e i prodotti acquistati, erano conservati nel nostro sistema gestionale senza protezione adeguata e risultavano potenzialmente accessibili a soggetti non autorizzati.

I dati coinvolti riguardano il periodo da dicembre 2024 a febbraio 2026.

Ci scusiamo per l'accaduto e restiamo a disposizione per qualsiasi chiarimento.

Questa lettera non esiste ancora. Nessun farmacista in Italia ha ancora dovuto scriverla per il problema specifico di cui parliamo. Ma potrebbe diventare un obbligo di legge da un giorno all'altro.

Come reagirebbe un cittadino ricevendo questa comunicazione dalla propria farmacia di fiducia? Adesso si immagini di doverla scrivere. A centinaia di persone. Persone che si incontrano ogni giorno al banco.

Quando scatta l'obbligo di informare i pazienti

L'Articolo 34 del GDPR lo stabilisce in modo chiaro: quando una violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è obbligato a comunicare la violazione all'interessato senza ingiustificato ritardo.

Non è una raccomandazione. Non è una buona pratica. È un obbligo di legge, la cui violazione comporta sanzioni autonome.

Il Garante Privacy ha ripetutamente chiarito che i dati sanitari, per la loro natura, comportano quasi automaticamente un "rischio elevato" in caso di esposizione. Significa che, nel settore farmaceutico, la soglia per l'obbligo di notifica ai pazienti è estremamente bassa.

Cosa c'è nel gestionale di ogni farmacia, adesso

Il punto cruciale è che i dati di cui si parla non riguardano solo chi fa preparazioni galeniche o chi gestisce un laboratorio. Riguardano qualsiasi farmacia che utilizzi uno dei gestionali più diffusi in Italia. Perché i dati che il software registra ogni giorno, durante il normale funzionamento, sono molto più estesi di quanto la maggior parte dei farmacisti immagini.

Codici fiscali e farmaci acquistati: 12.000 in cinque mesi

L'analisi di una singola farmacia ha rilevato che il software gestionale registra automaticamente, nei file di log delle stampanti fiscali, il codice fiscale di ogni paziente che richiede la detrazione, accanto ai prodotti acquistati. Il tutto in chiaro, leggibile da chiunque apra il file.

In una sola farmacia, in cinque mesi di operatività, i ricercatori hanno contato oltre 12.000 codici fiscali nei log attivi. Estendendo l'analisi agli archivi storici, il totale superava le 60.000 occorrenze su un arco di 14 mesi, riconducibili a oltre 12.000 pazienti univoci.

Un test per la glicemia associato a un codice fiscale rivela il diabete. Un antidepressivo rivela una patologia psichiatrica. Un farmaco antiretrovirale rivela la sieropositività. Un test di gravidanza, un farmaco per la fertilità, un cerotto di fentanil per le cure palliative. Non sono dati generici: sono dati che rivelano la condizione di salute più intima di una persona, associati al suo identificativo univoco.

Tutto in chiaro. Tutto senza scadenza di cancellazione automatica. Tutto accessibile a chiunque utilizzi il computer della farmacia.

21.837 codici fiscali accumulati in dodici anni

Lo stesso software registra i codici fiscali dei pazienti anche nei log del sistema di firma digitale degli scontrini. In una singola farmacia, l'analisi ha identificato 21.837 codici fiscali univoci accumulati in dodici anni di utilizzo, dal 2014 al 2026. Dodici anni di dati mai cancellati, tutti associati a transazioni farmaceutiche.

Prescrizioni complete nei log, con i nomi dei farmaci

I log del modulo che si collega al Fascicolo Sanitario Elettronico registrano le risposte del sistema sanitario contenenti le prescrizioni attive dei pazienti. Non i nomi generici dei farmaci, ma quelli specifici che rivelano con precisione la patologia:

  • Levodopa: morbo di Parkinson
  • Fentanil (cerotti): terapia del dolore, cure palliative
  • Clonazepam: epilessia
  • Venlafaxina, Fluoxetina, Trazodone: depressione, disturbi psichiatrici
  • Tirzepatide: diabete di tipo 2
  • Follitropina: terapia della fertilità

Mesi di prescrizioni reali, registrate in chiaro nei file di log del software. Su ogni computer di farmacia che utilizza quel gestionale.

Dati completi dei pazienti: nome, cognome, telefono, email, indirizzo

Il modulo che scarica le ricette elettroniche dal sistema nazionale registra, per ogni ricetta, l'intero profilo del paziente: codice fiscale, nome, cognome, numero di telefono, indirizzo email, indirizzo di residenza completo. Non solo il dato sanitario. L'intera identità della persona, associata ai farmaci prescritti.

I dati dei pazienti cronici, con una password prevedibile

I dati dei pazienti in Distribuzione Per Conto, il programma che fornisce farmaci ai pazienti cronici attraverso le farmacie, sono protetti da una password che segue uno schema prevedibile: un nome di battesimo seguito da un numero progressivo che viene incrementato a ogni rotazione. La password attuale è facilmente intuibile da chiunque conosca la precedente. E la precedente è scritta in chiaro, centinaia di volte, nei log del software.

Diabetici, cardiopatici, pazienti con malattie rare. Le persone più vulnerabili, protette dalla password più prevedibile.

Dati reali, su ogni farmacia

In una singola farmacia analizzata: oltre 12.000 codici fiscali nei log delle stampanti fiscali in 5 mesi. 21.837 codici fiscali nei log della firma digitale in 12 anni. Prescrizioni complete con nomi di farmaci specifici nei log del Fascicolo Sanitario. Dati personali completi (telefono, email, indirizzo) nei log delle ricette elettroniche. Tutto in chiaro, tutto senza scadenza, tutto accessibile da chiunque usi il PC.

Per chi ha anche il laboratorio galenico, è ancora peggio

Se una farmacia utilizza anche un software per il laboratorio galenico, i dati esposti includono le preparazioni con stupefacenti, cannabis medica, sostanze dopanti e veleni, ciascuna con nome e cognome del paziente. In un database protetto da una password nota pubblicamente. La lettera da scrivere in quel caso non direbbe più "i dati sui Suoi acquisti". Direbbe "i dati relativi alla Sua terapia con cannabis medica sono stati potenzialmente esposti".

La reputazione in paese

La Signora Rossi che viene ogni martedì per il Coumadin viene a sapere che i suoi dati erano esposti. Lo racconta alla Signora Bianchi al mercato. Lo dice al bar. In paese si sa tutto. Non importa che non sia colpa del farmacista, non importa che il problema sia nel software: quello che i pazienti vedono è che la loro farmacia non ha protetto i loro dati.

E la Signora Rossi non è l'unica. In una farmacia media, i log contengono i dati di migliaia di pazienti accumulati in anni. La lettera andrebbe scritta a tutti.

Il costo concreto

Le sanzioni del Garante Privacy, per una farmacia, si collocano tipicamente tra i 10.000 e i 50.000 euro. L'assistenza legale per gestire la procedura di notifica costa nell'ordine dei 3.000-8.000 euro. Ma il costo vero non è quello.

Il costo vero è: identificare tutti i pazienti coinvolti, uno per uno. Scrivere una comunicazione a ciascuno. Gestire centinaia di telefonate di pazienti preoccupati. Rispondere alle richieste di chiarimento. Affrontare le eventuali richieste di risarcimento. E convivere, per anni, con la reputazione di "quella farmacia che ha perso i dati".

In un settore dove la fiducia personale è il primo motivo per cui un paziente sceglie una farmacia piuttosto che un'altra, il danno reputazionale può essere più devastante di qualsiasi sanzione amministrativa.

La buona notizia: la lettera non è ancora necessaria

Questa lettera non esiste ancora. Nessun farmacista in Italia ha ancora dovuto scriverla per questo specifico problema. Le vulnerabilità sono state comunicate alle Autorità competenti, ma non si è ancora verificato un incidente pubblico che faccia scattare l'obbligo di notifica.

C'è una finestra temporale, e il modo migliore per assicurarsi che quella lettera non debba mai essere scritta è documentare di aver agito prima che succeda qualcosa.

Il Garante Privacy, in sede sanzionatoria, valuta la buona fede del titolare del trattamento. Chi ha verificato la propria posizione, ha documentato le criticità, ha richiesto interventi al fornitore del software e ha adottato le misure possibili si trova in una posizione incomparabilmente migliore di chi ha fatto finta di niente.

La differenza tra una sanzione simbolica e una sanzione devastante, tra una comunicazione gestita e una crisi reputazionale, sta spesso in un documento: la prova che il farmacista sapeva, ha agito e ha fatto il possibile. In linguaggio GDPR, si chiama accountability.

Il principio di accountability

L'Articolo 5 del GDPR non chiede solo di proteggere i dati: chiede di essere in grado di dimostrare di averlo fatto. In caso di ispezione, la domanda non è solo "i dati erano protetti?" ma anche "cosa avete fatto quando avete scoperto che non lo erano?". La risposta a questa seconda domanda può fare la differenza tra una contestazione e un'archiviazione.

Il report completo

Il report contiene l'analisi dettagliata dei dati esposti, le implicazioni legali specifiche e le azioni raccomandate per documentare la propria posizione e ridurre il rischio. Gratuito.

Scarica il Report Sicurezza Dati Farmacia 2026 →

Analisi Gratuita

Vuoi verificare se la tua farmacia è esposta?

Prima analisi gratuita, risposta entro 24 ore.

Contattaci →

Articoli Correlati

GDPR in farmacia: la guida completa. Tutto quello che il farmacista deve sapere, spiegato senza tecnicismi.
GDPR

GDPR in farmacia: la guida completa. Tutto quello che il farmacista deve sapere, spiegato senza tecnicismi.

Il GDPR non è solo un'informativa appesa al muro. È un sistema di regole che impone obblighi precisi a chiunque tratti dati personali, e la farmacia ne tratta di particolarmente delicati ogni giorno. Questa guida spiega tutto quello che serve sapere: chi è responsabile di cosa, quali documenti sono obbligatori, cosa rischia chi non li ha.

15 mar 202616 min · Leggi →
GDPR
GDPR

Il contratto con il fornitore del gestionale? Probabilmente non contiene la cosa più importante.

Esiste un documento che il GDPR obbliga ad avere e che la maggior parte delle farmacie non ha mai visto. Si chiama DPA e dovrebbe regolare come il fornitore del software gestisce i dati dei pazienti. L'analisi di due contratti reali rivela che, anche quando esiste, non protegge nulla.

8 apr 20269 min · Leggi →
GDPR
GDPR

€75.000 per accessi non controllati. €120.000 per un bug nel software. Le sanzioni vere del Garante a strutture sanitarie.

Non sono scenari ipotetici: sono provvedimenti pubblicati dal Garante Privacy tra il 2021 e il 2025. Ogni caso riguarda problemi identici a quelli documentati nei gestionali farmaceutici più diffusi in Italia. Con una differenza: le farmacie non sono ancora state ispezionate.

8 apr 20269 min · Leggi →