Il 25 maggio 2018 è entrato in vigore il Regolamento europeo 2016/679, anche conosciuto come General Data Protection Regulation o con l’acronimo GDPR, recepito in Italia con il D.lgs. n. 101/2018.
Si tratta di una serie di disposizioni il cui obiettivo è quello di ampliare la tutela dei diritti delle persone fisiche in occasione del trattamento dei loro dati da parte di organizzazioni, enti o singoli professionisti.
La portata del GDPR riguarda anche gli psicologi che, come altri professionisti, nell’esercizio della propria attività lavorativa entrano in contatto con dati identificativi e/o con dati sensibili di clienti/pazienti.
È opportuno precisare che la nuova normativa non abroga il D.lgs. n. 196/2003, il principale riferimento normativo a livello nazionale in materia di Privacy, né lo modifica radicalmente, ma lo aggiorna e lo integra, prevedendo alcune significative novità.
Il Registro delle attività di trattamento
Alla base della nuova regolamentazione europea vi è il principio della cosiddetta “responsabilizzazione” del professionista, chiamato a effettuare preventivamente un’analisi della propria attività di trattamento dei dati, a valutare il relativo rischio e a prevedere adeguate misure di sicurezza.
Tali informazioni dovranno essere raccolte all’interno di un documento, chiamato Registro delle attività di trattamento, conservato dal professionista nel luogo dove solitamente esercita la sua attività professionale.
Nel documento confluiscono ad esempio informazioni relative alla tipologia dei dati trattati, alle modalità e alle tempistiche di conservazione, alle misure di sicurezza e così via.
Rispetto al passato non sono più imposte misure minime di sicurezza. Sulla base del principio di responsabilizzazione, il titolare del trattamento è obbligato a mettere in atto misure tecniche e organizzative adeguate per garantire che le attività di trattamento e l’efficacia delle misure che adotterà sono in linea con il GDPR.
Sono comunque considerate misure di sicurezza adeguate, ad esempio:
- la cifratura dei dati (ovvero solo chi ha le chiavi di lettura – password potrà leggere quei dati in chiaro, per tutti gli altri appariranno cifrati, cioè illeggibili);
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali;
- le procedure volte a testare e verificare regolarmente l’efficacia delle misure tecniche per garantire la sicurezza dei trattamenti.
L’adozione di misure di protezione deve essere pensata e predisposta fin dalla fase di progettazione del trattamento.
Al fine di adempiere a tale obbligo, è possibile utilizzare il facsimile proposto, personalizzandolo in base alla propria specifica attività professionale.
Obbligo di notifica di Data breach
Il GDPR abolisce l’obbligo di preventiva notifica per il trattamento di dati sensibili al Garante per la protezione dei dati personali.
Tuttavia, nel caso di data breach, cioè di qualsiasi violazione dei dati personali conseguente ad attacchi informatici, accessi abusivi, incidenti o altre calamità dalle quali dovesse verificarsi la perdita, la distruzione o la diffusione indebita di dati personali trattati, lo psicologo ha l’obbligo di inviare una notifica al Garante entro 72 ore dal momento in cui ne viene a conoscenza.
Se la violazione riguarda trattamenti svolti da un Responsabile quest’ultimo deve informare il Titolare senza ritardo.
La notifica all’Autorità deve:
- descrivere la natura della violazione dei dati personali, ed ove possibile, la categoria e il numero approssimativo degli interessati;
- comunicare il nome e i dati di contatto presso cui ottenere maggiori informazioni possibili sulla violazione;
- descrivere le probabili conseguenze della violazione dei dati personali;
- descrivere le misure adottate per porre rimedio alla violazione o anche per attenuare i possibili effetti negativi.
Il Titolare dovrà infine comunicare all’interessato la violazione dei dati personali quando questa violazione sia suscettibile di rappresentare un rischio elevato per i diritti e le libertà delle persone.
Leggi Violazioni di dati personali (data breach) sul sito web del Garante per la protezione dei dati personali
La gestione dell’archivio
Per quanto riguarda la conservazione dei dati personali, l’archivio deve tener conto della distinzione tra dati personali del paziente e dati professionali prodotti dallo psicologo.
Entrambe le categorie di dati sono soggette alla disciplina del GDPR ma, mentre i primi sono sempre dovuti in caso di richiesta del paziente/cliente (è il caso, ad esempio, dei dati di contatto di un paziente o dei dati non elaborati di un test), i secondi, che sono frutto dell’attività del professionista (gli appunti presi durante una seduta o le valutazioni prodotte dalla elaborazione di un test), non sono necessariamente dovuti al paziente.
Tutti i dati inerenti ai pazienti/clienti, in particolar modo i dati sensibili (salute, orientamento sessuale, etc.), devono essere criptati o anonimizzati sempre, per evitare che siano riconducibili alla singola persona.
Nuove modalità di redazione dell’informativa da fornire all’interessato
Il GDPR dispone che, per ottenere il consenso al trattamento dei dati dalla persona interessata, il professionista debba preliminarmente fornire adeguata informativa in forma concisa, facilmente accessibile, con un linguaggio chiaro, per iscritto o con altri mezzi, ad esempio elettronici, oralmente solo se richiesto dall’interessato e purché sia comprovata con altri mezzi l’identità dell’interessato anche in combinazione con l’utilizzo di icone standardizzate.
L’informativa deve contenere necessariamente i seguenti elementi:
- oggetto del trattamento;
- finalità del trattamento;
- modalità del trattamento;
- criteri di accessibilità dei dati;
- eventuale comunicazione/diffusione dei dati;
- diritti dell’interessato e modalità di esercizio degli stessi;
- dati e contatti del titolare del trattamento, responsabile e incaricati.
È importante precisare inoltre che, così come in passato, l’obbligo di informativa sul trattamento dei dati personali non sostituisce ma affianca gli obblighi di informativa sul trattamento sanitario (con cui il professionista fornisce al paziente informazioni sulle prestazioni che riceverà, le finalità e le modalità delle stesse), l’informativa sulla trasmissione delle spese sostenute dal paziente al Sistema Tessera Sanitaria, nonché gli obblighi di informativa inerenti alla misura del compenso.
Al fine di agevolare gli adempimenti di tali obblighi, la Commissione deontologica dell’Ordine ha elaborato un modello di informativa che consente di raccogliere all’interno di un unico documento, tutte le informazioni che occorre obbligatoriamente fornire al cliente/paziente, prima di dare inizio al rapporto professionale.