fbpx

GDPR e psicologia, un argomento spesso ostico da trattare per chi non si occupa di materie giuridiche. In questa breve linea guida sul GDPR l’obiettivo sarà quello di comprendere cosa dobbiamo fare noi psicologi/psicoterapeuti per adeguarci al Regolamento Generale per la Protezione dei Dati Personali.

Ma è bene procedere con ordine partendo dalle nozioni di base.

Nozioni di base per lo psicologo: GDPR

GDPR è l’acronimo che identifica il Regolamento Generale dell’Unione Europea sulla protezione dei Dati n. 2016/679 entrato in vigore dal 25 maggio 2018, ma che l’Italia ha recepito con il Decreto Legislativo 10/2018 entrato in vigore a tutti gli effetti dal 19 settembre 2018. Nonostante siano passati diversi anni dalla sua attuazione c’è ancora molta confusione e incertezza sulle procedure che  psicologi e psicoterapeuti  sono tenuti a seguire per il trattamento dei dati personali per non incorrere in eventuali sanzioni (che in verità sono piuttosto consistenti). Ad ogni modo se impariamo a conoscere il nostro “nemico” ne avremo meno paura e sicuramente riusciremo ad affrontarlo in maniera serena e quindi ad uscire “vittoriosi” da questo scontro che si va ad aggiungere a tutti i vari problemi che siamo costretti ad affrontare quotidianamente durante la nostra vita professionale; per far ciò innanzitutto capiamo quali sono e cosa significano alcuni termini utilizzati nel GDPR. Per rendere semplice la comprensione del legame tra GDPR e psicologia ci limiteremo a presentare alcuni termini che si rendono necessari per un adeguamento del nostro studio professionale: IL GDPR TUTELA I DIRITTI DELLE PERSONE FISICHE E NON RIGUARDA IL TRATTAMENTO DEI DATI RELATIVI ALLE PERSONE GIURIDICHE Questa nozione è fondamentale, ci deve essere chiaro che tutte le attività che andremo a realizzare sono rivolte solo ed esclusivamente al trattamento dei dati delle persone fisiche e non quelle giuridiche come ad esempio imprese, comprese quelle individuali; i professionisti sono però a tutti gli effetti persone fisiche. Per adeguarsi al GDPR, psicologi e psicoterapeuti hanno l’obbligo di tutelare i dati personali dei pazienti, informarli sull’uso che ne viene fatto, su come e dove vengono trattati e tutelarli in maniera oculata in modo da evitare il più possibile una loro eventuale perdita o sottrazione da parte di malintenzionati. In definitiva il GDPR dobbiamo intenderlo come un insieme di regole e nozioni che normano la raccolta e la gestione e la diffusione dei dati personali delle persone fisiche e come obiettivo fondamentale ha la piena consapevolezza da parte dell’utente del motivo e della quantità dei dati personali raccolti e del modo con cui essi vengono gestiti, sembra complesso, ma se alla base utilizzeremo il normale buon senso, il rispetto delle norme del GDPR, specialmente nel nostro caso, il tutto sarà relativamente semplice.

GDPR e psicologia: alcuni termini comuni

All’interno del GDPR ci sono numerosi termini identificati e specificati utili alla sua comprensione. Di seguito elencheremo solo quelli utili a psicologi e psicoterapeuti per gestire il GDPR all’interno del proprio studio:

  • DATO PERSONALE
    E’ questa l’informazione su cui verte tutta la legislazione del GPDR, ma in pratica cos’è? In sintesi è qualsiasi informazione che identifichi o permetta l’identificazione di una persona, in maniera diretta o indiretta (per esempio incrociandola con altri dati), sono dati personali ad esempio: nome, cognome, indirizzo mail, indirizzo di residenza, numero telefonico, carta di credito, indirizzo ip della connessione, ecc…All’interno di questa categoria ci sono alcuni dati a cui viene aggiunto l’aggettivo SENSIBILI, che quindi necessitano di essere trattati con maggior cura e attenzione, e in linea di massima il loro trattamento è addirittura vietato, salvo il verificarsi di alcune condizioni; fra questi dati ci sono quelli relativi alla salute, i dati genetici e biometrici. Da questo punto di vista, lo psicologo e psicoterapeuta è obbligato a trattare i dati sensibili.
  • TRATTAMENTO DEI DATI
    Con questo termine si identifica ogni operazione, o gruppo di operazioni, compiute manualmente o con l’ausilio di procedure informatiche, rivolta al trattamento dei dati personali (sensibile o meno), come ad esempio la raccolta, la registrazione, l’organizzazione, la conservazione e la diffusione.In pratica il GDPR detta le regole con cui psicologi e psicoterapeuti trattano e utilizzano i dati dei  pazienti sia che lo facciano con la classica penna e carta, sia che si rivolgano ad uno o più strumenti informatici intesi nella loro accezione più ampia, quindi non solo come servizio cloud come ad esempio PsyCare, ma anche relativamente al PC, il tablet o smartphone, oltre che la pendrive, ecc.
  • FIGURE COINVOLTE
    Ovviamente il GDPR prende in considerazione diverse figure interessate all’interno del processo del trattamento del dato. Ecco un breve elenco di quelle figure che è bene conoscere per adeguare la professione di psicologo al GDPR.
    • Interessato: è la persona fisica oggetto del trattamento, nel nostro caso il paziente.
    • Titolare del trattamento: è lo psicologo o psicoterapeuta inteso come persona fisica, oppure come persona giuridica se si fa parte di uno studio associato o società, che stabilisce come vengono trattati i dati dei pazienti
    • Responsabile del trattamento: nella stragrande maggioranza dei casi è sempre lo psicologo o lo psicoterapeuta, a meno che non venga nominato un soggetto terzo (o società esterna) che gestisca i dati al posto nostro
    • DPO responsabile della protezione dei dati personali: è una figura che viene chiamata in causa e che si ritiene necessaria solo quando vengono trattati dati personali su larga scala. Pertanto, ai fini di questa breve linea guida su GDPR e psicologia, e per l’operato clinico dello psicologo e psicoterapeuta è una figura a cui non ricorreremo.

In definitiva le figure che andremo ad identificare sono solamente l’interessato –  equiparabile al nostro paziente –  e il titolare/responsabile del trattamento che siamo noi stessi.

Principi generali del GDPR

La linea guida del GDPR è che ogni trattamento di dati personali da parte dello psicologo e/o psicoterapeuta deve essere effettuato, nei confronti del paziente, secondo tre principi cardini, che sono ampiamente condivisibili e giusti:

  • LEICITA
    In qualità di psicologi e psicoterapeuti possiamo trattare i dati a fronte di una base giuridica, in pratica se abbiamo una giustificazione legittima per farlo. Nel nostro caso quindi il rapporto che si instaura fra clinico e paziente.
  • CORRETTEZZA
    E’ lapalissiano che dobbiamo comportarci e agire con lealtà e buona fede nel rispetto delle informazioni che assumiamo da parte dell’interessato (paziente)
  • TRASPARENZA
    Ogni informazione che trasferiamo al nostro paziente deve essere completa e di facile comprensione, anche da parte di chi non abbia un livello culturale particolarmente elevato.
  • LIMITAZIONE
    Dal momento che raccogliamo i dati dai nostri pazienti per finalità di analisi, terapia, ecc., gli stessi devono essere utilizzati esclusivamente per tale finalità e non ci è concesso utilizzarli per scopi diversi da quelli per cui vengono raccolti, a meno di un ulteriore e più ampio rilascio di consenso da parte dell’interessato.
  • MINIMIZZAZIONE
    Tutti i dati che raccogliamo devono essere quelli strettamente necessari a svolgere il nostro lavoro, non possiamo quindi recepire informazioni che non abbiano attinenza con esso.
  • AGGIORNAMENTO
    Dobbiamo avere i dati esatti e aggiornarli quando se ne palesa la necessità, compresa l’eventuale e tempestiva cancellazione degli stessi che risultano inesatti rispetto alle finalità del trattamento.
  • LIMITAZIONE DELLA CONSERVAZIONE
    I dati devono essere conservati per un tempo limitato a quello richiesto dallo scopo con cui li abbiamo raccolti, in pratica non possiamo conservarli a vita
  • INTEGRITA’ E RISERVATEZZA
    Dobbiamo garantire che tutti i dati raccolti oggetto del trattamento vengano conservati in maniera adeguatamente protetta, questo vale sia per quelli in forma digitale (e qui ci viene incontro anche PsyCare) sia in forma cartacea

A questo punto ci sarebbe ancora tanto da aggiungere, in quanto il GDPR prevede una serie di regole e meccanismi da intraprendere, che però non esamineremo in questo breve guida dato che il nostro unico scopo è quello di poter redigere i documenti necessari per lo psicologo allo svolgimento in sicurezza della professione, quindi andiamo senza altro indugio al dunque.

GDPR e psicologia: i documenti obbligatori da produrre

  • Registro delle attività di trattamento

Il Registro delle attività di trattamento è un documento interno di semplice compilazione (che mostreremo solo dietro specifica richiesta delle competenti autorità) che lo psicologo e psicoterapeuta sono obbligati a realizzare sia per il trattamento dei dati in modalità cartacea che quelli in modalità elettronica. Possiamo realizzarlo in entrambe le modalità e deve innanzitutto contenere due date importanti:

  1. Data di prima istituzione
  2. Data dell’ultimo aggiornamento
 
  • Valutazione di impatto dei trattamenti (DPIA)

Altro documento ad uso interno che psicologo e psicoterapeuta devono utilizzare è il DPIA. Non è altro che una descrizione dettagliata del trattamento atta a valutare correttamente la necessità e la proporzionalità e di conseguenza i relativi rischi al fine di individuare le idonee misure atte a contrastarli. Di conseguenza, sorge lecita la domanda. Quali sono le possibili violazioni a cui psicologo e psicoterapeuta possono andare incontro? Vediamole più nel dettaglio:

  1. Violazione della RISERVATEZZA che consiste nella divulgazione o accesso non autorizzato o accidentale ai dati personali dei nostri pazienti
  2. Violazione dell’INTEGRITA’ nel caso in cui i predetti dati possano subire una modifica non autorizzata o accidentale
  3. Violazione della DISPONIBILITA’ consistente nella perdita o distruzione accidentale o non autorizzata dei dati (come ad esempio avviene sempre più frequentemente con i criptolocker)

Questa valutazione va effettuata per i dati in nostro possesso tenendo conto che essi vengono conservati sia in forma cartacea che in forma digitale che quindi possono subire forme diverse di violazione; questo documento dovrà essere redatto sulla base di analisi riguardanti il nostro operare giornaliero e quindi può variare, ma in linea generale potrà essere il seguente:

  • Informativa agli interessati

Ultimo, ma primo per importanza è il documento relativo al cosiddetto “consenso informato” che psicologi e psicoterapeuti devono sottoporre e far firmare, anche in maniera digitale tramite la semplice funzione integrata in PsyCare, ai propri pazienti, ed è il cuore del GDPR: tramite questo allegato li informeremo su quali dati acquisiremo, il motivo di questa acquisizione e come verranno conservati.

Come già detto osserveremo i principi del GDPR, ponendo alla base dell’acquisizione dei dati il buon senso innanzitutto, ma anche in concetto di minimizzazione: cioè acquisiremo solo i dati strettamente necessari all’esecuzione delle prestazioni richieste.

Al riguardo trovate due file:

Contenente solo le informazioni strettamente necessarie ad acquisire il consenso da parte del paziente

 

Contenente il contratto di prestazione e l’informativa dettagliata.

A questo punto per una aderenza basilare ai dettami del GDPR possiamo ritenerci soddisfatti. Ricordiamoci di tenere aggiornati i registri e di far firmare SEMPRE il consenso informato ai nostri pazienti il prima possibile, preferibilmente, e compatibilmente con le nostre esigenze, anche già al primo incontro in modo da non incorrere in eventuali contestazioni future.

Considerazioni Finali

Tutto quanto su esposto concerne l’adeguamento della professione di psicologo ai dettami del GDPR ipotizzando una configurazione standard (studio gestito direttamente dal titolare con al massimo una segretaria e/o un dipendente), ma in caso di studi di dimensioni maggiori, studi associati, cooperative di psicologi, ecc., il rispetto della normativa è più complesso e necessita di ulteriori approfondimenti, in tal caso e nel caso tu voglia comunque avere maggiori informazioni, ti invitiamo ad inviare una mail a gdpr@psycare.it