Farmacovigilanza

In applicazione dell'art. 13 del Reg. 679/2016 UE (d'ora innanzi 'GDPR') qui di seguito si rende la presente informativa in merito al trattamento di tutti i dati personali da Lei forniti.

TITOLARE DEL TRATTAMENTO DEI DATI PERSONALI

Secondo l'art. 4 par. 7) del GDPR è 'Titolare del trattamento' la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità ed i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri.

Il Titolare del trattamento ai sensi dell'art. 4, par. 7) del GDPR è THEA Farma spa (d'ora innanzi 'Titolare'), società di diritto italiano, con sede in Milano in Via Tiziano 32, indirizzo di posta elettronica Privacy.italy@theapharma.com, PI 07649050965 e Tel 0236764311. 

PRINCIPI GENERALI IN TEMA DI TRATTAMENTO DEI DATI PERSONALI

Si rende noto che il trattamento dei suoi dati personali è posto in essere dal Titolare con strumenti manuali, informatici e telematici nel rispetto dei principi di liceità, correttezza, trasparenza, pertinenza, adeguatezza, non eccedenza, esattezza, limitatezza dei tempi di conservazione e con logiche di organizzazione ed elaborazione strettamente correlate alle finalità che si perseguono con il trattamento dei Suoi dati personali.

Inoltre, si fa presente che il trattamento dei Suoi dati personali è effettuato in modo da garantire la loro sicurezza mediante l'adozione di misure organizzative e tecniche sia fisiche che logiche adeguate secondo quanto disposto dalle normative europee e nazionali vigenti in tema di privacy e nello specifico in relazione al corretto trattamento dei dati nell'ambito delle attività di farmacovigilanza. Al riguardo si sottolinea come le predette misure organizzative e tecniche sia fisiche che logiche, saranno oggetto di ulteriore implementazione, miglioramento ed eventuale incremento in relazione allo sviluppo scientifico e tecnologico. Ciò al fine di garantire la riservatezza, disponibilità, esattezza ed integrità dei dati personali trattati.

RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI

Il Responsabile della Protezione dei Dati di THEA Farma spa è raggiungibile alla casella di posta elettronica dpo@theapharma.com o via posta a: Laboratoires Théa, Données personnelles, Z.I. du Brézet, 12 rue Louis Blériot, 63100 Clermont-Ferrand, France. Si fa presente che THEA Farma spa è una società di diritto italiano facente parte di un gruppo imprenditoriale che individua come impresa controllante la Laboratoires Thea S.A. con sede in Francia.

In applicazione dell'art. 4 par. 19) del GDPR si definisce 'gruppo imprenditoriale' un gruppo costituito da un'impresa controllante e dalle imprese da questa controllate. Ebbene, ex art. 37 par. 2) del GDPR un gruppo imprenditoriale può nominare un unico Responsabile della Protezione dei Dati.

THEA Farma spa ha un Responsabile della Protezione dei Dati che è unico per l'intero gruppo imprenditoriale di cui essa è parte e che è raggiungibile secondo le predette indicazioni.

FINALITA' DEL TRATTAMENTO DEI DATI PERSONALI E BASE GIURIDICA

Il trattamento dei Suoi dati personali è assolutamente necessario al fine di poter correttamente adempiere ad obblighi di legge e/o di eseguire attività nel pubblico interesse prescritte dalla normativa europea e nazionale in tema di farmacovigilanza nei confronti dei soggetti autorizzati all'immissione in commercio di medicinali per uso umano. Al riguardo si fa presente che THEA Farma spa è soggetto in possesso di autorizzazione all'immissione in commercio di farmaci per uso umano e, pertanto, è legittimata al trattamento dei Suoi dati personali per le finalità connesse agli obblighi e/o alla attività previste dalla normativa europea e nazionale in relazione alla farmacovigilanza. Nello specifico, si tratta di trattamenti di dati personali posti in essere in esecuzione di obblighi di legge e/o necessari per l'esecuzione di un compito svolto nel pubblico interesse, conseguenti alla ricezione di segnalazioni di sospette reazioni avverse da parte di pazienti o operatori sanitari connesse ai farmaci prodotti e/o distribuiti dalla THEA Farma spa.

Sulla base del Decreto 30 aprile 2015 che regolamenta la farmacovigilanza in Italia,
eventuali reazioni avverse ai farmaci devono essere segnalate al Responsabile di Farmacovigilanza della ASL di appartenenza, tramite la scheda unica di segnalazione di sospetta reazione avversa.

È anche possibile segnalare l'eventuale evento avverso direttamente a THEA Farma attraverso la compilazione dell'apposito modulo online. I dati personali trattati che Lei inserirà negli allegati elettronici presenti sul sito WEB alla pagina Registrazione ed in essi meglio descritti, nome e cognome del segnalatore, indirizzo email e/o numero di telefono, città di residenza, iniziali di nome e cognome di chi ha manifestato la reazione avversa, sesso, data di nascita oppure età, nome del farmaco e dose giornaliera, data di inizio trattamento, descrizione della reazione avversa, data di insorgenza e data di termine.

Sinteticamente i predetti dati personali saranno oggetto dei seguenti trattamenti previsti ex lege: ricezione, registrazione, conservazione e loro notifica in favore della banca dati  Eudravigilance delle sospette reazioni avverse a un medicinale che si sono osservate in un paziente in uno specifico momento. In tali casi il titolare è tenuto a redigere un rapporto di sicurezza sul caso individuale con tutte le informazioni disponibili assunte in conseguenza delle segnalazioni effettuate. Gli ulteriori, eventuali trattamenti sui dati personali saranno posti in essere con il solo scopo di soddisfare le finalità connesse all'attività di farmacovigilanza e, comunque, sempre effettuati nel pieno rispetto delle prescrizioni normative Ue e nazionali che disciplinano detta materia e secondo i limiti in esse indicati.

La base giuridica del trattamento dei predetti dati personali anche particolari è da individuarsi primariamente nelle seguenti prescrizioni normative dell'Unione europea e italiane:

• Considerando (45) del GDPR in applicazione del quale «E' opportuno che il trattamento effettuato in conformità di un obbligo legale al quale il titolare del trattamento è soggetto […] sia basato sul diritto dell'Unione o di uno Stato membro.»
• Considerando (45) del GDPR secondo il quale «E' opportuno che il trattamento […] necessario per l'esecuzione di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri sia basato sul diritto dell'Unione o di uno Stato membro»;
• 6, par. 1, lett. c) del GDPR a mente del quale ««Il Trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: […] c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento»;
• 6, par. 1), lett. e) del GDPR in forza del quale «Il Trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: […] e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento»;
• 9, par. 2,
• 9, par. 2), lett. g) del GDPR secondo il quale: (i) occorre porre in essere il trattamento di dati particolari qualora esso sia «necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri»; (i) il trattamento dei predetti dati «deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato»;
• 2-sexies, commi 1 e 2 del D. Lgs. 196 del 2003 così come emendato dal D. Lgs. 10 agosto 2018, n. 101 in applicazione del quale «1. I trattamenti delle categorie particolari di dati personali di cui all'art. 9, paragrafo 1, del regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g) del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato. 2. Fermo quanto previsto al comma 1, si considera rilevante l'interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all'esercizio di pubblici poteri nelle seguenti materie: […] z) vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e all'importazione di medicinali e di altri prodotti di rilevanza sanitaria»;
• 107 par. 1 della Direttiva 2001/83/CE in forza del quale «I titolari delle autorizzazioni all'immissione in commercio registrano tutti i sospetti effetti collaterali negativi nell'Unione o nei paesi terzi che gli vengono comunicati, sia spontaneamente dai pazienti o dai professionisti del settore sanitario, sia nel contesto di studi dopo l'autorizzazione»;
• Regolamento di esecuzione (UE) n. 520/2012 della Commissione del 19 giugno 2012. In particolare: (i) il Considerando (17) secondo il quale «Il diritto fondamentale alla protezione dei dati personali deve essere pienamente ed efficacemente garantito in tutte le attività di farmacovigilanza. La salvaguardia della salute pubblica costituisce un interesse pubblico sostanziale e di conseguenza il trattamento dei dati personali è giustificato, a condizione che i dati personali identificabili siano trattati solo se necessario e solo se le parti coinvolte valutano tale necessità ad ogni fase del processo di farmacovigilanza. […]»(ii) l'art. 12 secondo il quale «I titolari di autorizzazioni all'immissione in commercio registrano tutte le informazioni relative alla farmacovigilanza e si assicurano che siano trattate e conservate in modo da poter essere comunicate, interpretate e verificate accuratamente. I titolari di autorizzazioni all'immissione in commercio predispongono un sistema di gestione delle registrazioni per tutti i documenti utilizzati per le attività di farmacovigilanza che permetta di reperire tali documenti e di rintracciare come e quando sono state esaminate le questioni di sicurezza e sono state prese decisioni al riguardo. I titolari di autorizzazioni all'immissione in commercio istituiscono meccanismi che consentano la tracciabilità e il follow-up dei rapporti sulle reazioni avverse. I titolari di autorizzazioni all'immissione in commercio adottano le disposizioni necessarie affinché gli elementi di cui all'articolo 2 siano conservati per almeno cinque anni dopo che i titolari stessi hanno formalmente posto fine al sistema descritto nel fascicolo di riferimento del sistema di farmacovigilanza. I dati di farmacovigilanza e i documenti relativi ai singoli medicinali autorizzati sono conservati fintanto che il prodotto è autorizzato e almeno per i dieci anni seguenti la scadenza dell'autorizzazione all'immissione in commercio. Tuttav ia, i documenti sono conservati per un periodo più lungo se la legislazione dell'Unione o la legislazione nazionale lo richiedono.»; (iii) l'art. 19, par. 1 a mente del quale «L'identificazione di nuovi rischi o di cambiamenti dei rischi si basa sull'identificazione e sull'analisi dei segnali concernenti un medicinale o una sostanza attiva. Ai fini del presente capo, per 'segnale' s'intende un'informazione proveniente da una o più fonti, osservazioni ed esperimenti compresi, che lascia supporre l'esistenza di una nuova associazione potenzialmente causale, o di un nuovo aspetto di un'associazione nota, tra un intervento e un evento o una serie di eventi collegati, avversi o benefici, ritenuta sufficientemente probabile da giustificare una verifica.»; (iv) L'art. 27 secondo il quale «I rapporti di sicurezza su casi individuali sono utilizzati per notificare alla banca dati Eudravigilance le sospette reazioni avverse a un medicinale che si osservano in un paziente in uno specifico momento.»; (v) L'art. 28 paragrafi 1, 2 e 3  in forza dei quali: « Gli Stati membri e i titolari di autorizzazioni all'immissione in commercio si assicurano che i rapporti di sicurezza su casi individuali siano per quanto possibile completi e comunicano gli aggiornamenti di tali rapporti alla banca dati Eudravigilance in modo accurato e affidabile. In caso di notifica accelerata, nel rapporto di sicurezza sul caso individuale sono menzionati almeno un segnalatore identificabile, un paziente identificabile, una sospetta reazione avversa e il medicinale o i medicinali in questione. 2. Gli Stati membri e i titolari di autorizzazioni all'immissione in commercio registrano i dati necessari per ottenere informazioni di follow-up sui rapporti di sicurezza su casi individuali. Il follow-up dei rapporti è adeguatamente documentato. 3. Quando notificano sospette reazioni avverse, gli Stati membri e i titolari di autorizzazioni all'immissione in commercio comunicano tutte le informazioni disponibili su ogni caso individuale, in particolare: […] d) informazioni sulle fonti primarie: dati di identificazione del segnalatore, con indicazione dello Stato membro di residenza e delle qualifiche professionali; e) dati di identificazione del paziente (e del genitore nel caso di un rapporto genitore-bambino), con indicazione dell'età al momento della comparsa della prima reazione, della fascia di età, del periodo di gestazione se la reazione o l'evento sono stati osservati nel feto, peso, altezza, sesso, data dell'ultima mestruazione e/o periodo di gestazione al momento dell'esposizione; f) precedenti clinici pertinenti e condizioni concorrenti;  […] j) informazioni sulle sospette reazioni avverse: data d'inizio e di fine delle sospette reazioni avverse o durata, gravità, esito delle sospette reazioni avverse al momento dell'ultima osservazione, intervalli di tempo tra somministrazione del medicinale sospetto e inizio della reazione avversa, le esatte parole o brevi frasi utilizzate dal segnalatore per descrivere le reazioni e Stato membro o paese terzo in cui si è verificata la sospetta reazione avversa; k) risultati dei test e delle procedure pertinenti per l'esame del paziente; l) in caso di decesso del paziente, data e causa dichiarata del decesso, comprese le cause determinate all'autopsia; m) una relazione clinica, se possibile, che fornisca tutte le informazioni pertinenti per i casi individuali, ad eccezione delle reazioni avverse non gravi; n) motivi di annullamento o modifica di un rapporto di sicurezza su un caso individuale»;
• L'art. 23 commi 1,2,3,4 e 5 del Decreto 30 aprile 2015 rubricato ' Procedure operative e soluzioni tecniche per un'efficace azione di farmacovigilanza adottate ai sensi del comma 344 dell'articolo 1 della Legge 24 dicembre 2012, n. 228 (Legge di stabilità 2013) secondo il quale « I titolari dell'AIC registrano tutte le sospette reazioni avverse nell'Unione o nei paesi terzi, che sono portate alla loro attenzione spontaneamente, dai pazienti o dagli operatori sanitari, o che si verificano nell'ambito di studi dopo l'autorizzazione. Inoltre garantiscono che tali registrazioni sono accessibili presso un punto unico all'interno dell'Unione. 2.  In deroga al comma 1, le sospette reazioni avverse che intervengono nell'ambito di una studio di sperimentazione clinica sono registrate e comunicate a norma del decreto legislativo 24 giugno 2003, n. 211, e successive modificazioni. 3. I titolari dell'AIC tengono in considerazione qualsiasi segnalazione di sospette reazioni avverse effettuata per via elettronica o mediante qualsiasi altro mezzo adeguato da pazienti ed operatori sanitari. 4. Ad eccezione delle segnalazioni di sospette reazioni avverse contenute nella rete nazionale di farmacovigilanza, i titolari dell'AIC trasmettono per via elettronica alla banca dati Eudravigilance informazioni su tutte le sospette reazioni avverse gravi che si verificano nell'Unione e nei Paesi terzi entro i quindici giorni solari successivi al giorno in cui il titolare dell'AIC interessato viene a conoscenza dell'evento.  5. Ad eccezione delle segnalazioni di sospette reazioni avverse contenute nella rete nazionale di farmacovigilanza, i titolari dell'AIC trasmettono per via elettronica alla banca dati Eudravigilance informazioni sulle sospette reazioni avverse non gravi che si verificano nell'Unione entro i novanta giorni solari successivi al giorno in cui il titolare dell'AIC interessato viene a conoscenza dell'evento.»;
• Le FAQ per la gestione delle segnalazioni nell'ambito della Rete Nazionale di Farmacovigilanza aggiornate all'aprile 2018 ad opera dell'AIFA. Nel documento l'AIFA osserva come: (i) «Le Aziende titolari di AIC non sono più tenute a inviare le segnalazioni di sospette ADRs ai Responsabili locali di farmacovigilanza (RLFV) delle strutture sanitarie di appartenenza dei segnalatori o direttamente alla Rete Nazionale di Farmacovigilanza (RNF), ma devono trasmetterle direttamente ad Eudravigilance che attraverso la funzione di 're-routing' le inoltra alla RNF»; (ii) « […] la segnalazione di sospetta reazione avversa può essere comunicata al Titolare dell'Autorizzazione all'Immissione in Commercio (AIC) del medicinale che si sospetta abbia causato la reazione avversa. Anche se non espressamente indicato, la firma del segnalatore non è più tassativamente richiesta.»; (iii) «La nuova scheda di segnalazione prevede il campo con la firma del segnalatore. Considerato, tuttavia, che la scheda può essere inviata in formato elettronico, la firma non è di fatto considerata necessaria. Ai fini di una accurata valutazione del caso il segnalatore dovrebbe essere identificabile (nome, cognome, indirizzo, etc) in modo da poterlo contattare in caso di chiarimenti o per informazioni aggiuntive».

In ottemperanza al principio di trasparenza in generale sono, inoltre, da considerare base giuridica che legittima il trattamento dei predetti dati personali da parte del Titolare in funzione delle prefate finalità tutte le ulteriori prescrizioni contenute nelle normative europee ed italiane che si occupano di farmacovigilanza in massima parte già citate nel presente documento.   

DESTINATARI O EVENTUALI CATEGORIE DI DESTINATARI DEI DATI PERSONALI

I dati personali da Lei forniti saranno trattati esclusivamente da personale autorizzato al trattamento che è stato debitamente istruito e che opera sotto il controllo del Titolare.

In particolare, i dati personali contenuti nella segnalazione sono ricevuti dal responsabile della Farmacovigilanza e dal suo staff e, se del caso, condivisi con il responsabile del servizio medico, per una loro corretta valutazione ai fini della notifica presso la banca dati Eudravigilance. In ogni caso i dati personali potranno altresì essere comunicati ad altri soggetti terzi (es: enti pubblici italiani e/o europei) qualora la normativa europea e/o italiana lo imponga al solo fine di adempiere ad un obbligo di legge e/o per l'esecuzione di attività di interesse pubblico.

TEMPI DI CONSERVAZIONE DEI DATI PERSONALI

I dati personali da Lei forniti e trattati in funzione delle finalità sopra descritte in esecuzione dell'art. 16 del Regolamento di esecuzione (UE) n. 520/2012 della Commissione del 19 giugno 2012 saranno conservati fintanto che il prodotto è autorizzato e almeno per i dieci anni seguenti la scadenza dell'autorizzazione alla immissione in commercio. Inoltre, si precisa che i predetti dati personali potranno essere trattati per la tutela di interessi legittimi del Titolare quali ad esempio la difesa in giudizio. Anche in tal caso si applicherà il principio di limitatezza del periodo di conservazione. Dunque, il predetto periodo di conservazione garantisce anche la corretta applicazione dell'istituto della prescrizione dei diritti previsto ex lege.

DIRITTI DELL'INTERESSATO

La informiamo che in applicazione del GDPR Lei ha la facoltà di esercitare i seguenti diritti: (i) conoscere i destinatari della possibile comunicazione dei suoi dati personali (art. 15 del GDPR); (ii) accedere ai suoi dati (art. 15 del GDPR); rettificare i dati (art. 16 del GDPR); (iii)  ottenere la cancellazione ed eventualmente l'oblio dei suoi dati nei limiti e con le modalità previste dall'art. 17 del GDPR; (iv) ottenere la limitazione del trattamento (art. 18 del GDPR); (v) ottenere la portabilità dei dati qualora ricorrano le ipotesi di cui all'art. 20 del GDPR; (vi) opporsi in qualsiasi momento al trattamento dei propri dati secondo le modalità indicate nell'art. 21 del GDPR.

Inoltre, La informiamo che ai sensi dell'art. 77 del GDPR Lei può esercitare il diritto di proporre reclamo ad un'autorità di controllo dello Stato membro in cui risiede abitualmente, ove Lei svolge la propria attività lavorativa o nel luogo dove si è verificata la presunta violazione dei suoi dati. Si precisa che in Italia l'autorità di controllo è il Garante per la Protezione dei dati personali. I riferimenti per contattare detta autorità sono agilmente individuabili sul sito istituzionale www.garanteprivacy.it.

Da ultimo La informiamo che può esercitare i sopramenzionati diritti contattando il Titolare tramite i recapiti indicati nel presente documento.

Il Titolare del Trattamento