Sono obbligato a redigere il documento di valutazione di impatto e se sì come?

La valutazione d’impatto (Data Protection Impact Assessment, abbreviata anche in “DPIA”) è uno dei nuovi adempimenti previsti dal GDPR, che, all’art. 35, prevede il suo svolgimento da parte del Titolare quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, ad esempio:

trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche);
dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.).

Il titolare può decidere, in ogni caso, di condurre una DPIA anche al di fuori dei casi previsti obbligatoriamente dal GDPR.

FAQ - Domande Correlate

Che tipo di violazioni di dati personali vanno notificate?

Unicamente le violazioni di dati personali che possono avere effetti contrari significativi sulle persone assistite/clienti, causando danni fisici, materiali o immateriali (ad esempio la perdita del controllo sui propri dati personali, il furto d'identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale). L’articolo di riferimento è il 33 del Reg. UE 2016/679.

Il registro dei trattamenti va consegnato/fatto vedere al paziente/utente?

No, il registro deve essere esibito al Garante privacy, se richiesto.

È necessario aggiornare il Registro dei trattamenti?

Sì, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere ai trattamenti effettivamente posti in essere dal professionista. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche intervenute.

Il Registro può essere compilato sia in formato cartaceo che elettronico, ma deve in ogni caso riportare, in maniera verificabile, la data della sua prima creazione e quella dell’ultimo aggiornamento.

Il Registro dei trattamenti può contenere informazioni ulteriori?

Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, ecc.).

Il Registro dei trattamenti è da compilare con i dati di ciascuna persona assistita?

No, ciascun professionista è tenuto a indicare esclusivamente le categorie di dati personali di cui è titolare, indicando chiaramente da chi, con quali modalità e per quanto tempo saranno trattati. Il Registro non dovrà contenere dati personali delle persone assistite.

Il Registro deve essere conservato nel proprio archivio professionale ed esibito solo in caso di eventuali controlli.

Il Registro può essere integrato nel tempo per dare atto delle eventuali variazioni intervenute nelle modalità di protezione e trattamento dei dati.

Quali informazioni deve contenere il Registro delle attività di trattamento?

Il Regolamento Europeo, nell’articolo 30, individua nello specifico le informazioni che devono essere contenute nel registro delle attività di trattamento. A titolo esemplificativo:

nel campo “denominazione del trattamento” andranno indicate le tipologie di trattamento dei dati (es. gestione dei dati clinici delle persone assistite; gestione dei dati personali per la fatturazione);
nel campo “finalità del trattamento” andrà indicata la finalità specifica in base alle tipologie di trattamento (es. gestione dei dati clinici finalizzata allo svolgimento del rapporto professionale: consulenza psicologica, psicoterapia);
nei campi “categorie di interessati” e “categorie di dati personali” andranno specificate le tipologie di interessati (es. pazienti/clienti/persone assistite) e di dati personali oggetto di trattamento (es. dati anagrafici, dati relativi alla salute, dati sanitari, dati relativi a condanne penali o reati, ecc.);
nel campo “categorie di destinatari a cui i dati sono o possono essere comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es. Commercialista, Sistema Tessera Sanitaria);
nel campo “periodo di conservazione dei dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es. per i dati relativi alla salute della persona assistita, 5 anni dal termine del rapporto professionale (ex. Art. 17 CD Psicologi);
nel campo “descrizione generale delle misure di sicurezza adottate” andranno indicate le misure tecnico-organizzative adottate dal titolare, ai sensi dell’art. 32 del Regolamento, per garantire la segretezza dei dati trattati. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica (es. Crittografia, pseudonimizzazione, uso di AV, Firewall. Backup cifrato. Armadio/cassettiera di sicurezza).

Non utilizzo il computer nella mia attività lavorativa. Anch’io devo compilare il registro dei trattamenti?

Sì, tutti i titolari e i responsabili del trattamento dati sono tenuti a redigere il Registro delle attività di trattamento, indipendentemente dalla modalità usata per raccogliere e conservare i dati suddetti.

Chi deve redigere il registro delle attività di trattamento?

Tutti i titolari e i responsabili del trattamento dati sono tenuti a redigere il Registro delle attività di trattamento.

Cosa è il Registro delle Attività di Trattamento?

È un documento contenente le principali informazioni (individuate nello specifico dall’art. 30 del Regolamento Europeo in materia di privacy n. 679/16) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento dei dati.

È lo strumento idoneo a fornire un quadro aggiornato delle attività di trattamento dati effettuate dal professionista, indispensabile per la valutazione dei rischi ad esse connessi.

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Come si invia la notifica al Garante?

La notifica deve essere inviata al Garante tramite pec all'indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest'ultimo caso la notifica deve essere presentata unitamente alla copia del documento d'identità del firmatario. L'oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.

Quali informazioni deve contenere la notifica al garante?

La notifica all’Autorità deve descrivere la natura della violazione dei dati personali e, qualora sia possibile, le categorie e il numero approssimativo degli interessati; comunicare il nome e i dati di contatto presso cui ottenere maggiori informazioni possibili sulla violazione; descrivere le probabili conseguenze della violazione dei dati personali; descrivere le misure adottate per porre rimedio alla violazione o attenuare i possibili effetti negativi.

Cosa si intende per titolare e cosa per responsabile del trattamento dei dati?

Il Titolare del trattamento è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali" (art. 4. par. 1, n. 7 GDPR). In sostanza è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide "perché" e "come" devono essere trattati i dati. Il titolare ha l’obbligo giuridico di ottemperare a quanto previsto dalla normativa in materia di protezione dei dati. Titolare del trattamento ad esempio può essere lo psicologo o lo studio associato.

Il responsabile del trattamento è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento (art. 4, par. 1, n. 8 GDPR). Il responsabile ha l'obbligo di garantire la sicurezza dei dati. Gli obblighi del responsabile del trattamento nei confronti del titolare del trattamento devono essere specificati in un contratto o in un altro atto giuridico. Nel caso dell’attività dello psicologo, responsabile ai sensi dell’art. 28 è il commercialista.

Come devo comportarmi in caso di furto/smarrimento/violazione di materiale cartaceo/file contenenti dati delle persone assistite?

Il professionista deve inviare una notifica al Garante entro 72 ore dal momento in cui viene a conoscenza del furto/smarrimento violazione dei dati.

Quali sanzioni rischio se non applico quanto previsto dal nuovo Regolamento Europeo sulla privacy?

Le sanzioni previste in caso di mancato adeguamento o di mancato rispetto delle prescrizioni del nuovo Regolamento Europeo in materia di privacy possono risultare particolarmente gravi; infatti, a seconda dell’illecito commesso, e fermo il diritto degli interessati al risarcimento del danno, le sanzioni amministrative possono raggiungere l’importo massimo di 20 milioni di Euro.

Come devo comportarmi se un paziente, abbandonando la terapia e dunque recedendo dal contratto di prestazione d’opera, chieda di cancellare i dati personali che lo riguardano? Devo cancellarli o devo mantenerli per il tempo di conservazione minimo?

Nel caso in cui l’interessato - cioè la persona cui dati si riferiscono- revochi il consenso o si opponga al loro trattamento e chieda al titolare del trattamento la loro cancellazione, quest’ultimo deve procedere a cancellarli, senza ritardo (art 17 del GDPR). Ovviamente la revoca non comporta illiceità del trattamento precedente, ma solo l'obbligo di terminare il trattamento. Il rifiuto della cancellazione da parte del titolare del trattamento può essere giustificato quando il trattamento avvenga nell’adempimento di un obbligo giuridico previsto dal diritto dell’Unione o degli Stati membri, oppure sia motivato dall’interesse pubblico nel settore della sanità pubblica, o infine sia necessario per l’esercizio o la difesa di un diritto in sede giudiziaria. In ogni caso i dati personali delle persone assistite non possono essere trattenuti per sempre. C'è un tempo limite oltre il quale tutti i dati devono essere cancellati. Per la professione di psicologo il Codice Deontologico, all'articolo 17, indica un periodo di 5 anni dalla conclusione del rapporto professionale.

Come devo comportarmi con le persone assistite/clienti che avevo già in carico prima del 25 maggio 2018 e con le/i quali è proseguito il rapporto professionale?

Per le persone assistite che hanno firmato l’informativa prima dell’entrata in vigore del nuovo Regolamento Europeo, è necessario valutare se il “vecchio” consenso sia stato raccolto secondo modalità che garantiscano la consapevolezza dell’interessato relativamente al trattamento dei suoi dati personali; in tal caso il consenso suddetto si può considerare valido anche sotto il regime del GDPR.

Diversamente, sarà necessario acquisire l’autorizzazione al trattamento dei dati personali conforme al nuovo Regolamento Europeo, n. 679 2016. La vecchia informativa sulla privacy già acquisita è da conservare unitamente alla nuova, della quale deve essere rilasciata una copia alla persona assistita/cliente.
Qualora la persona assistita abbia già sottoscritto il consenso informato all’intervento psicologico/psicoterapeutico e la relativa pattuizione del compenso, il professionista potrà fornire alla persona assistita un supplemento di informativa con le informazioni “nuove” necessarie in base alle norme e alla piena trasparenza (art. 5, comma 1, lett. a) GDPR), offrendo contestualmente agli interessati la possibilità di revocare il consenso originariamente fornito e specificando le eventuali conseguenze di tale revoca.

È possibile trovare la modulistica aggiornata sul sito dell’Ordine al seguente link: https://www.ordinepsicologilazio.it/ordine-psicologi-lazio/commissioni/commissione-deontologica/consenso-informato/

A seguito dell’entrata in vigore del GDPR, come comportarsi con le persone assistite in precedenza, che ormai non si incontrano più?

Per le persone assistite che ormai non si incontrano più resta valido il consenso precedentemente prestato, anche se rilasciato ai sensi del D.lgs 196/03.

Devo rilasciare alla persona assistita/committente la copia dell’informativa sulla privacy?

Sì, è necessario rilasciare una copia del modulo sottoscritto dal professionista e dalla persona assistita/committente.

Cosa comporta la non manifestazione del consenso al trattamento dati da parte della persona assistita?

Il consenso è qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso esprime il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, al trattamento dei dati personali che lo riguardano (art. 4 GDPR). Il consenso deve essere esplicito nel caso di trattamento di dati sensibili (art. 9 GDPR); la forma scritta è preferibile perché consente più facilmente di provare il consenso. La mancata manifestazione del consenso al trattamento dei dati fa sì che il trattamento non possa essere avviato, a meno che non sussista una differente base giuridica per iniziare il trattamento.

Se non prendo appunti sulle persone assistite e raccolgo i soli dati anagrafici devo comunque far sottoscrivere il modulo per il trattamento dati?

Sì, sia il professionista che svolge attività sanitaria (es. consulenza psicologica), sia il professionista che eroga prestazioni non sanitarie (es. corsi di formazione) hanno l’obbligo di fornire alle persone assistite/clienti adeguate informazioni sul trattamento dei dati personali e raccogliere da loro il relativo consenso.