Nel settore farmaceutico è particolarmente complessa l’analisi del trattamento e dei flussi in relazione alle specifiche tipologie di dati trattati, soprattutto con riferimento ai dati sanitari. Il GDPR non disciplina in modo settoriale il trattamento dei dati in ambito sanitario, ma fornisce una compiuta definizione all’art. 4, n. 15, GDPR. La definizione ha “obbligato” il legislatore europeo ad inserire i dati sanitari tra le “categorie particolari di dati personali” dei quali è espressamente vietato il trattamento ai sensi dell’art. 9, par. 1 del GDPR. Tale divieto trova nel medesimo Regolamento una serie di deroghe che il Garante ha ricondotto, in ambito sanitario. Partendo da questo elemento si valuterà in quale maniera siano ammissibili strumenti come app mediche, per mezzo delle quali vengono raccolti dati, anche sanitari, dell’interessato per diverse finalità o patients support programme generalmente destinati a pazienti affetti da una malattia cronica e aventi quale obiettivo quello di facilitare il percorso terapeutico del paziente e aumentare l’aderenza alla terapia. Da ultimo, in ossequio alla maggiore preminenza di utilizzo dei dati sanitari, da parte delle aziende farmaceutiche, si affronterà il tema dei dati sanitari nella ricerca clinica. Il 23 gennaio 2019 lo European Data Protection Board (“Edpb”) ha pubblicato un parere sull’interazione tra il Regolamento sulla sperimentazione clinica dei medicinali umani e il GDPR, affrontando il tema dell’uso primario e secondario dei dati sanitari, particolarmente cari agli operatori di settore. Confermate le difficoltà interpretative di un complesso regolamentare principle based qual è il GDPR, che chiarirà la sua portata interpretativa solo attraverso lo stratificarsi dell’esperienza applicativa, è indubbio che un grande pregio del GDPR è quello di aver sin da subito posto le basi per un approccio certamente più dinamico alla gestione dei dati personali; un approccio che risponde essenzialmente a due priorità ugualmente care, tanto all’ordinamento europeo e nazionale, quanto al mercato: garantire una reale ed efficace protezione dei dati personali, ma nello stesso tempo soddisfare l’esigenza di un utilizzo dinamico dei dati sdoganando la liceità del trattamento, ove possibile, al requisito del consenso e inducendo gli operatori di settore ad una accountability sempre più consolidata.