Tra tutti i documenti che il GDPR impone, il Registro dei Trattamenti dei Dati Personali è probabilmente quello meno conosciuto. Non l'informativa alla cassa. Non il modulo del consenso. Il Registro.
Eppure è esattamente il documento che il Garante per la Protezione dei Dati Personali chiede di vedere per primo quando avvia un'istruttoria o dispone un'ispezione. È il documento che dimostra se una farmacia sa cosa fa con i dati dei propri pazienti, chi vi ha accesso, per quanto tempo li conserva, e su quale base giuridica. È, in sostanza, la prova documentale dell'intera organizzazione della privacy di una struttura.
La maggior parte delle farmacie italiane non ce l'ha. O meglio: ha un documento che porta quel nome, compilato nel 2018 da un consulente al momento dell'adeguamento GDPR, che elenca quattro voci generiche e non è mai stato aggiornato da allora.
Perché l'eccezione per le piccole imprese non si applica alle farmacie
L'Articolo 30 del Regolamento europeo 2016/679 prevede un'esenzione per le organizzazioni con meno di 250 dipendenti. Molti farmacisti si sono fermati a questa soglia e hanno concluso che l'obbligo non li riguardasse.
Lo stesso articolo, però, precisa immediatamente che l'esenzione non si applica quando il trattamento può comportare rischi per i diritti delle persone, quando non è occasionale, oppure quando riguarda categorie particolari di dati come i dati sulla salute.
La farmacia tratta dati sulla salute ogni giorno, continuativamente, per definizione. Ogni vendita di farmaco con ricetta associa un codice fiscale a un farmaco, a un medico prescrittore, e implicitamente a una patologia o a una terapia. Ogni preparazione galenica contiene informazioni sanitarie ancora più specifiche. Ogni misurazione della pressione, ogni test rapido, ogni consulenza al banco è un trattamento di dati che il GDPR classifica come "categorie particolari", meritevoli di protezione rafforzata in base all'Articolo 9.
Non si tratta di un'attività occasionale o marginale. È il lavoro quotidiano della farmacia. L'esenzione per le piccole organizzazioni non si applica. L'obbligo di tenere un Registro è pieno, indipendentemente dal fatto che la farmacia abbia due dipendenti o venti.
Il documento che quasi nessuno ha davvero
Quando un farmacista mostra il proprio Registro dei Trattamenti, il documento assomiglia quasi sempre alla stessa cosa: un PDF di tre o quattro pagine, ricevuto da un consulente anni fa, con un elenco di cinque o sei trattamenti generici.
"Gestione clienti. Gestione fornitori. Gestione del personale. Videosorveglianza. Contabilità."
Il documento esiste. Ma in molti casi i trattamenti più rilevanti mancano del tutto. I nuovi servizi avviati negli anni successivi non compaiono da nessuna parte. I fornitori che accedono ai dati della farmacia non sono nominati. I tempi di conservazione non sono indicati. La base giuridica di ogni trattamento non è specificata.
Dal punto di vista formale, il Registro c'è. Dal punto di vista sostanziale, non serve a nulla, né come strumento di gestione né come difesa in caso di controllo.
Cosa deve contenere, in concreto
Il Registro non è un elenco di categorie astratte. È una mappa di tutto quello che una farmacia fa con i dati personali: chi raccoglie i dati, di chi, per quale scopo, per quanto tempo, con quali protezioni, e a chi li comunica o li rende accessibili.
Per ogni trattamento il documento deve indicare la finalità, la base giuridica, i destinatari dei dati, i tempi di conservazione e le misure di sicurezza adottate. Questa struttura deve essere applicata a ogni singola attività che comporta il trattamento di dati personali.
Per una farmacia tipica, questo significa coprire almeno i seguenti ambiti:
La dispensazione di farmaci con ricetta è probabilmente il trattamento più delicato e quello che produce il volume di dati sanitari più elevato. Associa il nome del paziente, il codice fiscale, il farmaco e la posologia, il medico prescrittore. Il collegamento tra un codice fiscale e un farmaco è, per giurisprudenza consolidata, un dato sanitario nel senso pieno del termine.
Le preparazioni galeniche aggiungono un livello ulteriore di sensibilità. La formula prescritta rivela la patologia con una specificità che supera spesso quella di una ricetta standard, e i dati vengono conservati per anni per ragioni di riproducibilità.
I servizi di assistenza al paziente, come le misurazioni della pressione arteriosa, della glicemia, della saturazione e i test rapidi, sono trattamenti di dati sanitari che molte farmacie hanno avviato negli ultimi anni. Quasi sempre senza aggiornare il Registro.
La fidelity card merita una trattazione separata, perché il suo profilo giuridico è diverso dalla dispensazione dei farmaci. È un trattamento basato sul consenso del cliente e collega le abitudini di acquisto, che possono includere integratori per patologie specifiche, dispositivi medici, prodotti correlati a condizioni di salute. Se quei dati vengono usati per promozioni personalizzate, o se vengono trasmessi a un sistema centralizzato di franchising, questo deve essere documentato con precisione.
La gestione del personale dipendente deve essere presente come voce autonoma, distinta dai trattamenti relativi ai pazienti.
Il sistema di videosorveglianza, se presente, richiede un'indicazione precisa del tempo di conservazione delle immagini e di chi vi può accedere.
Il punto cieco più comune: i fornitori
Fin qui si tratta di trattamenti che la farmacia effettua direttamente. Ma il Registro deve documentare anche qualcosa che molti farmacisti non hanno mai considerato: chiunque acceda ai dati della farmacia dall'esterno.
Il fornitore del software gestionale è il caso più importante e quello più frequentemente assente dai Registri. Quando il tecnico di assistenza entra in teleassistenza per risolvere un problema, accede al sistema che contiene i dati di tutti i pazienti. In base all'Articolo 28 del GDPR, diventa un responsabile del trattamento. Come tale, dovrebbe comparire nel Registro con nome, dati di contatto, descrizione delle operazioni che svolge per conto della farmacia, e il riferimento al contratto DPA che regolamenta il rapporto.
In quasi nessun Registro di farmacia questa voce esiste.
Lo stesso vale per altri soggetti: il consulente del lavoro che tratta i dati dei dipendenti, il commercialista, il fornitore del backup in cloud, la società che gestisce il sito web con un form di prenotazione, il fornitore del sistema POS.
Tutti questi soggetti sono responsabili del trattamento ai sensi del GDPR. Tutti devono essere censiti nel Registro. E con ciascuno di essi dovrebbe esistere un contratto DPA firmato.
Perché la documentazione dei fornitori non è burocrazia
Il caso delle 151 farmacie del Friuli Venezia Giulia coinvolte nel provvedimento del Garante su Promofarma Sviluppo, documentato nell'articolo sulle sanzioni reali pubblicato su questa piattaforma, illustra il valore pratico di questa documentazione.
La società informatica che gestiva il portale di prenotazione tamponi aveva reso accessibili i dati dei pazienti senza alcun meccanismo di autenticazione. Il Garante ha sanzionato la società informatica, non le farmacie. Le farmacie erano state esonerate dalla responsabilità perché il rapporto con il fornitore era documentato e il problema era chiaramente imputabile al fornitore tecnologico.
Chi non documenta i propri fornitori, chi non ha un DPA firmato con il gestore del gestionale, rinuncia a quella difesa prima ancora che si verifichi un problema.
Il problema dell'aggiornamento
Un Registro compilato correttamente nel 2018 ma mai più aperto è, nel 2026, un documento che non corrisponde alla realtà.
Le farmacie hanno avviato nuovi servizi. Hanno cambiato fornitori. Hanno stipulato contratti con nuove piattaforme digitali. Hanno iniziato a raccogliere dati per prenotazioni online o per comunicazioni di marketing. In molti casi hanno cambiato il software gestionale, o ne hanno aggiunto uno secondario per la gestione delle prenotazioni o dei servizi.
Nessuno di questi cambiamenti ha prodotto un aggiornamento del Registro.
Il GDPR non stabilisce una frequenza minima di revisione, ma il principio di accountability, sancito dall'Articolo 5, comma 2, richiede che il titolare del trattamento sia sempre in grado di dimostrare la conformità alle norme. Un documento che non rispecchia più la realtà operativa non soddisfa questo requisito.
Come valutare il proprio Registro
Alcune verifiche che un farmacista può fare in autonomia per capire se il documento è adeguato.
Il fornitore del software gestionale compare come responsabile del trattamento, con il riferimento al contratto DPA? Se la risposta è no, il Registro è incompleto su uno dei punti più critici.
Sono presenti le voci relative ai servizi avviati negli ultimi tre o quattro anni? Se la farmacia ha iniziato a fare test rapidi, misurazioni o consulenze di telemedicina dopo il 2020, queste attività dovrebbero comparire.
Per ogni trattamento è indicata la base giuridica? Per i dati sanitari in ambito farmaceutico, la base giuridica è generalmente l'Articolo 9, comma 2, lettera h) del GDPR, relativo alle finalità di medicina preventiva o di medicina del lavoro. Un Registro che non indica la base giuridica è strutturalmente incompleto.
Sono indicati i tempi di conservazione per ogni voce? I dati dei pazienti non possono essere conservati a tempo indeterminato. Il Registro deve specificare per quanto tempo vengono mantenuti i dati di ciascun trattamento, e quella indicazione deve trovare corrispondenza nelle impostazioni effettive del sistema informatico.
Se la risposta a una o più di queste domande è no, o se il documento non è stato modificato da più di due anni, il Registro non è adeguato.
Il punto di partenza
Il Registro dei Trattamenti non è un documento che un consulente esterno può compilare correttamente senza conoscere in dettaglio il funzionamento della farmacia. Può fornire la struttura giuridica e il modello normativo, ma la lista dei trattamenti effettivi, dei fornitori reali, dei sistemi in uso e dei servizi erogati appartiene solo a chi lavora in quella farmacia ogni giorno.
L'approccio che produce un Registro realmente utile parte da una mappatura delle attività concrete: cosa fa la farmacia con i dati, chi accede a quei dati, su quali sistemi sono conservati, con quali fornitori sono stati stipulati contratti, quali nuovi servizi sono stati avviati negli ultimi anni. Da quella mappatura emerge quasi invariabilmente una lista di elementi mancanti: DPA non firmati con fornitori critici, trattamenti non censiti, tempi di conservazione mai definiti.
Sono problemi risolvibili. L'unica cosa che non si può correggere è non sapere che esistono.
Per una valutazione dello stato del Registro dei Trattamenti della tua farmacia e dei documenti GDPR correlati, contatta il nostro team per una prima analisi gratuita.
