GDPR: cosa cambia per lo psicologo in tema di privacy

Privacy

«Disegna la tua privacy sulla base del tuo business».

 

Fino ad oggi, la tutela dei dati personali era affidata alla direttiva 95/46/CE, recepita da ciascuno Stato membro dell’Unione Europea con proprie norme locali.

Il 25 maggio 2018, è entrato in vigore il Regolamento UE 679/2016 (GDPR – General Data Protection Regulation), che cambia il quadro normativo in tema di privacy.

La nuova regolamentazione prevede e rafforza la protezione e il trattamento dei dati personali, alla luce dei principi di correttezza, liceità, trasparenza, tutela della riservatezza e dei diritti dell’interessato.

Il GDPR riguarda enti sia pubblici che privati, senza distinzioni, ed è attivo già dal 2016, ma ora è diventato definitivamente applicabile, anche se l’attuale quadro normativo italiano è ancora in fase di evoluzione e di definizione.

Potremmo pensare che tutto ciò si traduca solamente in una nuova e fastidiosa mole di pratiche burocratiche per noi psicologi, ma in realtà il GDPR rappresenta anche un’opportunità, poiché il cambiamento di norme diventa una buona occasione per uniformare e organizzare in maniera più consapevole il nostro lavoro dal punto di vista giuridico.

A tale scopo, il Consiglio Nazionale degli Psicologi ha diffuso un documento informativo e l’Ordine della Lombardia ha realizzato un evento ad hoc, presso la Casa della Psicologia, tenuto dal Presidente Riccardo Bettiga e dall’avvocato Francesca Gravili.

All’interno di questo articolo, cercherò di riassumere quanto emerso nel corso di quest’ultima iniziativa.

Puoi comunque vedere il video integrale dell’evento a questo link: https://www.youtube.com/watch?v=ypHUlDO8q-A

 

Gli adempimenti per lo psicologo in tema di privacy

Gli imperativi che il Regolamento UE 679/2016 ha introdotto in tema di privacy sono sostanzialmente i seguenti:

  • fare ordine rispetto a come la privacy veniva trattata in passato
  • responsabilizzare il Titolare del trattamento (principio dell’Accountability)
  • minimizzare i dati (privacy by default), ossia trattare solamente quelli che realmente servono e per il tempo strettamente necessario ai fini della prestazione professionale
  • fornire delle regole per la loro tenuta

Oltre all’informativa e al consenso al trattamento dei dati personali, già da tempo in vigore, con il GDPR, si aggiungono alcuni adempimenti alla prestazione professionale di psicologo, ovvero la valutazione dei rischi relativa alla privacy dei pazienti, il registro delle attività di trattamento, la comunicazione al Garante per la privacy in caso di data breach, la nuova informativa e la gestione differenziata dell’archivio.

 

1. La valutazione dei rischi relativa alla privacy dei pazienti

Il modo in cui trattiamo i dati sensibili dei nostri pazienti oggi va pensato maggiormente, perché le sanzioni sono molto più severe rispetto al passato (da 0 a 10 milioni di euro per alcune violazioni, da 0 a 20 milioni di euro per altre).

Il GDPR, all’articolo 25, chiede a tutti noi professionisti di avere un approccio by design, ovvero di disegnare la nostra privacy in maniera libera, ma responsabile, in base allo scopo e all’organizzazione di quella che è la nostra attività professionale.

In altri termini, se sappiamo che esistono potenziali pericoli per i dati in nostro possesso, dovremo organizzarci nella maniera più opportuna e dimostrare che ci abbiamo pensato, descrivendo e espicitando le procedure che utilizziamo per proteggerne la riservatezza.

Pertanto, non dovremo più lavorare sull’emergenza, ma redigere un documento interno basato su un giudizio prognostico, ovvero una valutazione dei rischi che potrebbero subire i dati personali dei nostri pazienti.

Una volta nel Codice Privacy (D. Lgs 196 del 2003), esisteva il cosiddetto allegato B, che ora verrà abrogato dalla nuova norma di coordinamento, e che descriveva le misure minime da adottare in relazione alla sicurezza manuale e a quella informatica, la cybersecurity.

Questo documento è tutt’ora abbastanza utile e potrebbe rappresentare un’ottima base da cui partire per organizzare il nostro lavoro e redigere le nostre procedure interne, sia cartacee che elettroniche.

 

2. Il registro delle attività di trattamento

Il registro delle attività di trattamento è un documento nuovo, che dovremo implementare e costantemente aggiornare.

Esso consiste in un file excel o cartaceo, in cui annoteremo tutti gli elementi stabiliti dall’articolo 30, specificando quindi:

  • Nome del Titolare del trattamento dei dati personali
  • Finalità e modalità del trattamento dei dati, sia manuali che informatiche
  • Interessati
  • Dati personali (che si distinguono in dati relativi allo stato di salute e dati anagrafici, di contatto e di pagamento)
  • Termini di cancellazione dei dati (5 anni per quelli relativi allo stato di salute, 10 anni invece per quelli anagrafici)
  • Trasferimento extra UE
  • Descrizione delle misure tecniche e organizzative di sicurezza adottate
  • Eventuali destinatari della comunicazione dei dati (Autorità Sanitarie e/o Giudiziarie, dipendenti, fornitori ecc.)

N. B. Lo psicologo libero professionista, dato l’esiguo numero di dati trattati e l’attività di norma svolta in modo individuale, è sempre Titolare del trattamento, ma non è strettamente tenuto alla nomina di un Responsabile della Protezione dei Dati (DPO, o Data Protection Officer).

Puoi scaricare una bozza di questo registro all’interno del sito di OPL a questo link: http://www.psy.it/gli-psicologi-e-la-privacy-cosa-cambia.html

 

3. La comunicazione al Garante per la privacy in caso di data breach

Un data breach è un incidente di sicurezza in cui dati personali, protetti o riservati, vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato.

Solitamente si realizza con una divulgazione di dati confidenziali all’interno di un ambiente privo di misure di sicurezza, in maniera involontaria o volontaria.

La perdita accidentale o il furto dei dati personali dovrà necessariamente essere notificata al Garante per la privacy e comunicata al paziente da parte dello psicologo Titolare del trattamento.

Tale notificazione dovrà avvenire entro 72 ore dalla relativa conoscenza, decorse le quali dovrà essere allegata la ragione del ritardo.

L’eventuale omissione costituisce una violazione passibile di sanzione.

 

4. La nuova informativa sulla privacy

L’informativa sulla privacy è uno strumento che ci riguarda massivamente e richiede alcuni nuovi requisiti.

A norma del Regolamento, essa dovrà essere accessibile, comunicativa, coincisa, scritta con un linguaggio chiaro e semplice, con riferimenti normativi limitati e potrà contenere icone standardizzate per renderla più leggibile.

L’informativa sulla privacy dovrà inoltre rafforzare i diritti dell’utenza e contenere alcune novità, quali:

  • il consenso libero, specifico, informato e inequivocabile, va quindi esclusa qualsiasi forma di consenso tacito
  • il diritto di accesso ai dati personali e ad altre informazioni specificamente indicate (finalità del trattamento, destinatari cui i dati saranno comunicati, periodo di conservazione dei dati ecc.)
  • il diritto di rettifica dei dati personali inesatti o incompleti
  • il diritto alla portabilità dei dati personali, cioè al loro trasferimento, che consente al paziente di ottenere e riutilizzare i suoi dati per i propri scopi e attraverso servizi differenti
  • il diritto all’oblio e alla cancellazione dei dati personali
  • il diritto alla limitazione del trattamento dei dati personali alla sola operazione di conservazione
  • il diritto di opposizione al trattamento dei dati personali

 

5. La gestione differenziata dell’archivio

In virtù del Codice Deontologico degli Psicologi italiani, l’archivio già da molto tempo doveva essere reso più funzionale ed organizzato, ma in pochi fino ad ora hanno pensato di differenziare la tenuta dei dati che sono dovuti al paziente, nel caso li richiedesse, da quelli a lui non dovuti, ovvero i nostri appunti e le nostre riflessioni.

L’archivio andrebbe pertanto sempre suddiviso fra dati personali, ovvero ciò che il paziente produce e ci fornisce e che non risulta mediato dalla nostra capacità (ad esempio i punteggi ottenuti a un test, i suoi scritti, i disegni, i dati anamnestici, fiscali ecc.), e i dati professionali, prodotti da noi psicologi e legati alla nostra attività, che non sono dovuti al paziente e che andrebbero conservati per cinque anni.

 

Il modello unico psy2018

Il Regolamento UE 679/2016 rappresenta un’opportunità per riunificare e comprendere meglio alcuni degli obblighi contrattuali, legali e deontologici cui ogni psicologo dovrebbe adempiere nell’esercizio della propria attività professionale.

In particolare, lo psicologo, nella sottoscrizione del contratto con il proprio paziente, si trova oggi a dover assolvere a diversi obblighi deontologici e fiscali, quali il consenso informato, il preventivo riguardante i costi delle sedute, la trasmissione telematica delle spese sanitarie all’Agenzia delle Entrate e, da ora, anche la nuova informativa sulla privacy.

A tal fine, l’Ordine Nazionale ha creato un modello unico, denominato psy2018, contenente tutti gli adempimenti formali necessari per svolgere correttamente la nostra professione, sia che si tratti di soggetti adulti che di minori. Puoi scaricarne una copia a questo link: http://www.psy.it/gli-psicologi-e-la-privacy-cosa-cambia.html

Ogni nuovo paziente, dl 25 maggio in poi e prima che lo psicologo eserciti la propria prestazione professionale, dovrà compilare e firmare questo documento e dovrà anche sapere che esso è ufficialmente condiviso e approvato da tutti gli psicologi italiani.