consenso

Marketing farmaceutico a regola d’arte, tutti gli obblighi privacy

Dalle campagne promozionali via smartphone alle newsletter fino alla pubblicità sui social, la comunicazione del settore deve far fronte a una serie di vincoli dettati dal GDPR a tutela dei dati personali e particolari. Vediamo cosa prevedono le misure e le deroghe caso per caso

30 Lug 2020
Anna Capoluongo

Avvocato, Data Protection Officer


L’istituto del consenso è una pietra miliare nel trattamento dati del marketing farmaceutico. Ma le misure vengono declinate in maniera diversa a seconda che si tratti di comunicazioni da parte di farmacie o di pubblicità ai medicinali.

Data per assodata la differenza tra marketing diretto[1] ed indiretto, è comunque opportuno soffermarsi su alcune precisazioni del caso. Analizziamo lo scenario alle luce delle limitazioni imposte dal GDPR.

Marketing e sanità digitale, il nodo del consenso

Salvo specifiche eccezioni, il trattamento di dati per finalità di marketing richiede quale base giuridica quella del consenso – libero, specifico, informato ed inequivocabile – dell’interessato, ai sensi dell’art. 6 e dei considerando 42 e 43 del GDPR. Le uniche deroghe sono previste solo in presenza di alcuni presupposti, ovverosia:

  • qualora l’interessato sia già cliente del titolare del trattamento; abbia fornito i dati personali di contatto nel contesto della vendita; i messaggi promozionali vengano inviati direttamente dal titolare e non da terzi, e riguardino prodotti e servizi analoghi a quelli già acquistati (soft spam con diritto all’opt-out);
  • a seguito di richiesta del destinatario (ad esempio nel caso di newsletter);
  • qualora l’attività promozionale venga svolta attraverso telefonate con operatore o posta cartacea e l’interessato non si sia opposto[2];
  • il trattamento sia necessario per il perseguimento di un legittimo interesse del titolare, quale può essere considerato in determinati casi il marketing diretto[3], a condizione che non prevalgano gli interessi o diritti e le libertà fondamentali dell’interessato (cd. balance test).

In ogni caso, il consenso non potrà essere unico, bensì granulare, ovverosia distinto per tutte le finalità che non poggino di loro su una valida base giuridica a sé stante (quale ad esempio quella contrattuale).

Sul punto, la nostra Autorità Garante per la protezione dei dati personali ha a suo tempo chiarito che nell’acquisizione del consenso non è necessario chiederne di separati per i vari strumenti di comunicazione, poiché il consenso per la forma più invasiva (mail, sms, mms, telefonate automatizzate) copre anche quello per le forme meno invasive (posta cartacea, telefonate tramite operatore).

Dati particolari, deroghe al divieto di trattamento

Più nello specifico e con riferimento ai dati sanitari, con provvedimento del 7 marzo 2019, il Garante italiano ha, inoltre, statuito che le deroghe al divieto generale di trattare le cc.dd. “categorie particolari di dati sono da individuarsi nell’art. 9 del GDPR e sono riconducibili, in via generale, ai trattamenti necessari per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri [art. 9, par. 2, lett. g) del Regolamento], individuati dall’art. 2-sexies del Codice privacy; per motivi di interesse pubblico nel settore della sanità pubblica [art. 9, par. 2, lett. i) del Regolamento e considerando n. 54 – es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare]; e per finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali [art. 9, par. 2, lett. h) e par. 3 del Regolamento e considerando n. 53; art. 75 del Codice] effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.

Quadro normativo del marketing indiretto

Nel caso di marketing indiretto e con riferimento al trattamento di dati personali di persone fisiche, bisognerà, inoltre, focalizzare l’attenzione su quanto previsto e richiesto dalla normativa di settore e dunque anche sul predisporre un’adeguata contrattualistica che tenga conto di eventuali responsabili esterni al trattamento, debitamente istruiti, con le conseguenti istruzioni e misure di sicurezza da applicarsi ad hoc.

A mero titolo esemplificativo ed in ottica privacy, nel caso di promozione di beni o servizi mediante email marketing[5] andrà distinto il caso in cui ci si avvalga di soggetti terzi per tale attività e più nello specifico se tale intervento si limiti all’acquisizione di liste di indirizzi email, oppure comporti la gestione concreta di tali liste, oppure ancora se si tratti di veri e propri sub-agenti.

Nel primo caso chi cede i dati dovrà occuparsi di ottenere uno specifico consenso e, come indicato dal Garante, “chi acquisisce la banca dati deve accertare che ciascun interessato abbia validamente acconsentito alla comunicazione […] ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario”[6].

Nel caso di gestione delegata delle liste, si rientrerà, invece, nell’ipotesi di individuazione del responsabile esterno ex articolo 28 del GDPR, anche ai sensi del parere 1/2010 del WP29.

Infine, in caso di sub-agenti bisognerà rifarsi alle specifiche norme previste dal Regolamento europeo di cui all’articolo 28 comma 4.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Ad ogni buon conto è il caso di ricordare che “l’eventuale reperibilità di un indirizzo di posta elettronica sulla rete internet non lo rende per ciò stesso liberamente disponibile anche per l’invio di comunicazioni elettroniche non sollecitate”[8].

Marketing per farmacie e farmaceutico

Tutto ciò premesso, è giusto il caso di rilevare alcune distinzioni tra il marketing per le farmacie e il marketing farmaceutico. Quanto al primo aspetto, va anzitutto operata una prima differenziazione tra il farmacista quale professionista sanitario e la sua figura intesa nell’accezione imprenditoriale.

Nel primo caso questi sarà autorizzato al trattamento dei dati – anche particolari – in virtù delle cc.dd. “finalità di cura” dei trattamenti effettuati, peraltro operati in qualità di soggetto tenuto al segreto professionale, senza necessità di preventivo consenso da parte dell’interessato.

Nel secondo caso, invece, entrerebbero in gioco trattamenti “attinenti solo in senso lato alla cura, ma non strettamente necessari”, che dunque richiederebbero, anche se effettuati da un professionista sanitario, “una distinta base giuridica, da individuarsi eventualmente nel consenso dell’interessato o in un altro presupposto di liceità”[9].

Il citato provvedimento, peraltro, nell’occuparsi dei trattamenti in ambito sanitario che richiedono il consenso esplicito dell’interessato, individua, tra gli altri, anche quelli preordinati alla fidelizzazione della clientela, ad esempio effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Servizio sanitario nazionale (SSN).

Farmaci, marketing 4.0

Nel trattare, dunque, del marketing delle farmacie è bene dire che ad oggi, accanto alle tecniche di vendita più comuni tra cui il cross selling, la vendita assistita, l’acquisto di impulso, si sono affermati anche strumenti di espressione della sanità 4.0 e così, in primis, campagne promozionali via tablet o smartphone, app (per promuovere il punto vendita) e fidelity card (per la promozione anche del prodotto), protese a finalità di fidelizzazione del cliente o di marketing, mediante l’inoltro di comunicazioni commerciali o newsletter pubblicitarie riguardanti promozioni, inviti, eventi e servizi gratuiti riservati o personalizzati.

E così, se originariamente gli unici farmaci che potevano essere oggetto di promozione erano i cc.dd. over the counter (OTC) o da banco (FdB)[10], dal 2017 – a seguito della sentenza n. 2217 del Consiglio di Stato – il novero è stato ampliato ed esteso anche a quelli senza obbligo di prescrizione medica (SOP). La stessa limitazione è stata applicata anche ad altre modalità di promozione quali i programmi di fidelizzazione – regali, vendite abbinate, promozioni all’area dell’omaggio, campioncini – e le fidelity card[11], infatti, il programma fedeltà in farmacia può riguardare solamente il “parafarmaco” e altri prodotti e/o servizi diversi dai farmaci con prescrizione medica obbligatoria.

Quanto al marketing farmaceutico, poi, le ipotesi maggiormente rilevanti attengono alla pubblicità istituzionale, alla pubblicità dei medicinali (ad uso umano) e alla pubblicità relativa ad iniziative dedicate ai pazienti.

Pubblicità istituzionale e di medicinali

La pubblicità istituzionale o corporate advertising ha come obbiettivo quello di promuovere l’immagine dell’impresa prescindendo dai prodotti della stessa e di norma non è soggetta a particolari limiti regolatori (né ad autorizzazione preventiva da parte del Ministero), ad eccezione del rispetto delle norme in materia di concorrenza, pubblicità e tutela del consumatore.

La pubblicità dei medicinali è invece caratterizzata, come già anticipato, da stringenti limiti regolatori[12]. Tralasciando l’informazione agli operatori sanitari, che costituisce comunque una forma di pubblicità ed è regolamentata dall’AIFA, per la pubblicità al pubblico le regole vengono stabilite dal Ministero della Salute ed è richiesto che questa sia realizzata in modo che la natura pubblicitaria del messaggio sia evidente ed il prodotto venga chiaramente identificato come medicinale.

In tale ambito è di norma richiesta una preventiva autorizzazione del Ministero che sarà valida solo per lo specifico contenuto del messaggio pubblicitario sottoposto a vaglio, cosicché, quindi, una volta approvato non potrà essere modificato, eccezion fatta per il caso di presentazione di richiesta per una nuova autorizzazione.

Pubblicità di farmaci sui new media

La possibilità di utilizzare i nuovi media quale veicolo pubblicitario rientra in pieno in tale casistica, tanto che nelle sue linee guida il Ministero della Salute esclude la possibilità di utilizzare i social per pubblicizzare medicinali presso il pubblico, proprio in virtù del principio della cd. staticità del messaggio[14]. Viene però permesso l’utilizzo degli stessi in pochi tassativi casi:

  • Facebook: è consentito l’utilizzo della piattaforma per la diffusione di messaggi pubblicitari (immagine, script, video, audio) sul “muro”, anche in modalità “app/mobile”, a condizione che vengano disabilitati i commenti e le reazioni (like, emoticon). Laddove la funzione di condivisione non possa essere tecnicamente disabilitata, i messaggi dovranno contenere il seguente disclaimer: Il Ministero della salute autorizza esclusivamente il contenuto del messaggio pubblicitario. Eventuali commenti sono di esclusiva responsabilità dell’utente, l’azienda si dissocia dai commenti degli utenti.

Il messaggio pubblicitario non dovrà inoltre essere visibile sulla pagina Facebook aziendale dove potrà essere pubblicata solo la pubblicità istituzionale.

Viene fatta salva la possibilità di includere un link che dall’inserzione pubblicitaria su facebook conduca al sito internet di prodotto esterno alla piattaforma, laddove autorizzato, nonché l’utilizzo della piattaforma per la diffusione di messaggi pubblicitari (immagine, script, video, audio) nella colonna destra del “muro” del Social Network.

  • Youtube: la pubblicazione di messaggi pubblicitari è consentita a condizione che siano disabilitati i commenti, il contatore di like e dislike e l’incorporamento. L’immagine statica dei video deve inoltre contenere la rappresentazione grafica del prodotto e/o la rappresentazione del bollino di riconoscimento per i medicinali non soggetti a prescrizione medica di cui al decreto del Ministero della Salute del 1° febbraio 2002.
  • Instagram: è consentita esclusivamente l’inserzione di immagini o brevi video pubblicitari autorizzati nella sezione “Storie” dove gli utenti, nel visualizzare tali immagini/video, non hanno la possibilità di commentarli, esprimere reazioni o condividerli. Nella visualizzazione del video, cliccando su “scopri di più”, è possibile essere ricondotti direttamente al sito di prodotto esterno, preventivamente autorizzato dal Ministero.

Iniziative dedicate ai pazienti

Infine, per la pubblicità di iniziative dedicate ai pazienti, mediante pubblicazione su social media, siti web o apposite community di materiali promozionali in cui siano presenti, ad esempio, immagini o dati particolari idonei a rivelare lo stato di salute degli interessati, vige un generale divieto di diffusione di dati sanitari, salvo eventualmente il ricorso alla completa anonimizzazione degli stessi, o all’ottenimento di consenso per quanto attiene i dati personali (in cui rientrano a pieno titolo foto e immagini), nonché di espressa liberatoria ai sensi della Legge 633/1941 in materia di diritto d’autore.

L’art. 9 del GDPR contiene, inoltre, il divieto espresso al trattamento dei dati cd. particolari – salvo che in ipotesi tassative – e prevede quale condizione necessaria per la liceità del trattamento la prestazione di un esplicito consenso dell’interessato o il verificarsi di una delle altre condizioni contemplate dallo stesso.

Sarà, dunque, ancora una volta necessario approntare quanto richiesto dalla normativa di settore, e così in primis informative, consensi, privacy by design e by default, analisi dei rischi e misure di sicurezza adeguate.

Per dovere di completezza, si ricorda, infine, che in ambito di social marketing, il Garante già nelle linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013, riprese poi in un provvedimento del 21.9.2017, aveva chiarito che l’invio di messaggi promozionali ad utenti iscritti ai social (cd. social spam) è lecito solo previo consenso dell’interessato, fatto salvo il caso in cui dal contesto o dalle modalità di funzionamento del social network, anche sulla base delle informazioni fornite, possa evincersi in modo inequivocabile che l’interessato abbia in tal modo voluto manifestare anche la volontà di fornire il proprio consenso alla ricezione di messaggi promozionali da parte di quella determinata impresa.

Note

  1. Treccani: “Con riferimento alle imprese produttrici di beni di largo consumo, il complesso dei metodi atti a collocare con il massimo profitto i prodotti in un dato mercato attraverso la scelta e la pianificazione delle politiche più opportune di prodotto, di prezzo, di distribuzione, di comunicazione, dopo aver individuato, attraverso analisi di mercato, i bisogni dei consumatori attuali e potenziali”. La differenza sta nell’assenza (diretto) o presenza di intermediari (indiretto) che si frappongono tra il venditore e il consumatore.
  2. Sul punto si veda anche il provvedimento dell’Autorità Garante del 22 maggio 2018 [doc. web n. 899528].
  3. Si veda Considerando n. 47 del GDPR.
  4. Si veda anche Privacy e diritto nel web. Le regole, di R. Rapicavoli, ed. Flaccovio 2017.
  5. Provvedimento Autorità Garante n. 136 del 5 aprile 2012. Sul punto si veda anche il provvedimento doc. web n. 4885578 del Garante.
  6. Cfr. provvedimento Garante privacy doc. web. n. 1289884 del 2006.
  7. Si veda il provvedimento dell’Autorità Garante italiana del 7 marzo 2019, [doc. web n. 9091942].
  8. Si veda anche art. 115, D.Lgs. 219/2006 o Codice del Farmaco.
  9. Come specificato dall’art. 8 c. 1 lett. d) del D.P.R. 26 ottobre 2001, n. 430.
  10. Si vedano: D.lgs. n. 219/2006 (c.d. Codice del Farmaco); “Aggiornamento delle linee guida all’utilizzo dei nuovi mezzi di diffusione nella pubblicità sanitaria dei medicinali di auto-medicazione” del 6 febbraio 2017; “Aggiornamento delle linee guida per la pubblicità a mezzo social network degli Otc” del 5 luglio 2017; Consiglio di Stato, sentenza n. 2217 del 12 maggio 2017.
  11. Articolo 116 c. 1, D.lgs. n. 219/2006.
  12. “… nel senso che non può essere modificato né dall’Azienda titolare del prodotto pubblicizzato, né da altri soggetti”, Aggiornamento delle linee guida per la pubblicità a mezzo Social network degli OTC del 27.7.2017.
WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 4