Il servizio lanciato negli Stati Uniti da Amazon – RxPass – per permettere agli utenti di poter ricevere a casa, anche a cadenza periodica, dei farmaci generici con prescrizione, se importato in Europa, potrebbe comportare l’esplosione di una piccola bomba atomica per quanto riguarda la gestione e il trattamento di una particolare categoria di dati sensibili, quella dei dati personali di tipo sanitario. Si tratta di una fattispecie che prevede già una specifica particolare all’interno del GDPR e che, ulteriormente, è stato esaminato con attenzione al momento della ricezione del regolamento europeo sulla privacy anche all’interno dell’ordinamento nazionale italiano. In più, visto che parliamo di Amazon e dell’esigenza del trattamento di una mole importante di dati personali da parte di un’azienda che ha sede negli Stati Uniti, c’è il rischio di imbattersi anche nell’annosa questione del trasferimento degli stessi dati personali verso Paesi terzi. Ma procediamo con ordine.

RxPass e dati personali: i rischi che si correrebbero in Europa e in Italia

Se, da un lato, il GDPR prevede che il consenso per il trattamento dei dati personali di tipo sanitario non è necessario se effettuato con la responsabilità di un soggetto sottoposto al segreto professionale (come, ad esempio, un operatore nel settore sanitario), occorre capire chi rivestirebbe questo ruolo – mettendosi nei panni del professionista sottoposto a segreto – nel caso di una piattaforma di e-commerce. Il GDPR aggiunge anche, inoltre, che i dati sanitari possono essere trattati senza consenso anche in caso di spiccato interesse pubblico. Ma, anche in questo caso, non sembra rientrare la fattispecie di una piattaforma, come Amazon, che ha il solo obiettivo di vendere un farmaco generico con prescrizione a un utente e che non effettua, pertanto, delle valutazioni di tipo statistico che possono in qualche modo servire a migliorare un aspetto della pubblica sicurezza.

Questo, ovviamente, è il quadro europeo, che si può ritrovare all’interno dell’articolo 9 del regolamento 2016/679 (il GDPR, appunto). Tuttavia, come detto, queste norme comunitarie sono state recepite all’interno dell’ordinamento italiano. Per quanto riguarda i dati personali di tipo sanitario, nella fattispecie, il legislatore ha scelto di seguire in maniera abbastanza pedissequa le normative a livello europeo. Tuttavia, ha aggiunto una ulteriore specifica: il trattamento dei dati personali di tipo sanitario deve essere conforme anche alle misure di garanzia individuate nell’articolo 2 del Codice della Privacy, stilato dal Garante per la protezione dei dati personali. Si tratta di misure di prevenzione che indicano la necessità del consenso (cosa genericamente non prevista dal GDPR, a patto che si verifichino le condizioni di segretezza e di deontologia previste dalla natura della professione esercitata dal responsabile del trattamento di questi dati) in casi estremamente particolari, di elevato rischio (soprattutto quando si tratta di informazione di tipo genetico).

Ora, fermo restando che non è detto che nella lista dei farmaci potenzialmente venduti su un servizio come RxPass di Amazon non ci siano farmaci che prevedano la condivisione di informazioni genetiche, c’è un altro elemento da prendere in considerazione. Amazon – come la maggior parte delle aziende di Big Tech – ha sede negli Stati Uniti e, dunque, si troverebbe in quella stessa condizione in cui, ad esempio, si è trovata Google con il suo servizio di Analytics. Lo stop del Garante della Privacy all’impiego di questo servizio, infatti, derivava proprio dal trasferimento, verso Paesi terzi, di un grande quantitativo di dati, cosa espressamente vietata dal GDPR. Occorrerebbe garantire lo stesso livello di sicurezza degli stati membri dell’Unione Europea per poter consentire questo trasferimento. Ma RxPass di Amazon darebbe queste garanzie? Il fatto che questo servizio sulla vendita dei farmaci possa arrivare anche in Europa, anche per questi motivi, appare molto improbabile.