Registro Trattamenti per lo psicologo e GDPR: guida alla compilazione

Sommario

Il Registro Trattamenti per psicologi e psicoterapeuti non è certo una novità e la sua corretta tenuta è il primo indice di una gestione dei dati e dei trattamenti responsabile, ineccepibile e rispettosa delle regole.

Il registro delle attività di trattamento è stata una delle novità introdotte dal Regolamento UE/679/2016 (il cosiddetto GDPR), e rappresenta (come specificatamente dettagliato all’art. 30) uno dei suoi più importanti adempimenti.

Registro Trattamenti e psicologia: che cos'è

Il registro delle attività di trattamento è un documento interno (da esibire solo dietro specifica richiesta delle competenti autorità) che anche psicologi e psicoterapeuti sono obbligati a redigere e a tenere aggiornato (come comunicato dal CNOP). Il documento è di facile compilazione e deve essere tenuto in forma scritta, anche in formato elettronico, tenendo presente il quadro complessivo di compliance e l’obbligo di cooperazione con l’Autorità Garante sancito dall’art. 31 GDPR.

È d’obbligo precisare che si individuano due tipi di registro di trattamento anche per psicologi e psicoterapeuti:
1 – il registro a cura del titolare del trattamento,
(la persona fisica o giuridica che determina i mezzi e le finalità del trattamento);
2 – il registro a cura del responsabile o sub-responsabile,
(la persona fisica o giuridica che tratta i dati in nome e per conto del titolare).

Ricordiamo che si tratta di un documento essenziale per la conformità alla normativa.
Due, e ben definite, le prerogative del registro trattamenti:
1 – deve essere costantemente aggiornato
2 – deve recare “in maniera verificabile”
→ la data della sua prima istituzione o creazione
→ la data dell’ultimo aggiornamento.

La funzione del registro trattamenti nel contesto clinico della psicologia è duplice:
1 – rappresenta una misura di responsabilizzazione per il titolare ed il responsabile del trattamento;
2 – permette la verifica successiva da parte dell’Autorità di controllo del rispetto della normativa da parte dei soggetti obbligati (art. 30).

Quali informazioni deve contenere

Il registro trattamento dati per lo psicologo contiene le principali informazioni relative alle operazioni di trattamento svolte dal titolare/responsabile dei dati. Ogni professionista, infatti, deve fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione.

Facendo riferimento direttamente al sito del Garante per la Protezione dei Dati Personali, oltre all’indicazione relativa a nome/dati di contatto del titolare del trattamento (e, se nominati, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati), con riferimento ai contenuti del registro trattamenti, si rappresenta quanto segue:

“Finalità del trattamento”: in questo campo, oltre alla principale indicazione delle stesse, distinta per tipologie di trattamento, sarebbe opportuno indicare anche la base giuridica dello stesso. Sempre con riferimento alla base giuridica, sarebbe parimenti opportuno: in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni specifiche (di cui all’art. 9, par. 2del RGPD).
“Descrizione delle categorie di interessati e delle categorie di dati personali”: in questo campo andranno specificate sia le tipologie di interessati, sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.).
“Categorie di destinatari a cui i dati sono stati o saranno comunicati”: in questo campo andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati. Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali.
“Trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale”: in questo campo andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD.
“Termini ultimi previsti per la cancellazione delle diverse categorie di dati”: in questo campo dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”).
“Descrizione generale delle misure di sicurezza”: in questo campo andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva. Tale lista ha di per sé un carattere dinamico dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte.

Alla luce di quanto appena considerato e richiesto per la conformità alla normativa, è opportuno notare che, partendo dal modello di base standard, ogni titolare potrà costruire in maniera “personalizzata” il suo registro di trattamento dati, tenendo conto della sua specificità.

Registro attività di trattamento per lo psicologo: il modello precompilato in PsyCare

In riferimento al registro attività di trattamento per psicologo e psicoterapeuta, PsyCare mette a disposizione agli iscritti in piattaforma il modello già compilato e scaricabile in formato editabile (per le integrazioni ad personam).

Per tutti gli uteriori riferimenti di dettaglio e per chiarire ogni eventuale uteriore dubbio generale, il sito del GPDP (Garante per la Protezione dei Dati Personali) è l’unico valido riferimento: come autorità amministrativa indipendente istituita dalla cosiddetta legge sulla privacy, è l’autorità di controllo designata anche ai fini dell’attuazione del Regolamento generale sulla protezione dei dati personali (UE) 2016/679 (art. 51).

Modalità di conservazione e di aggiornamento: cosa deve fare lo psicologo?

Il registro dei trattamenti, in quanto documento di censimento e analisi dei trattamenti effettuati dal titolare/responsabile, deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere.

Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.

Il registro può essere compilato sia in formato cartaceo che elettronico ma, come già ricordato, deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) e la data dell’ultimo aggiornamento.

Il registro, in quest’ultimo caso, dovrà recare una annotazione del tipo:
– “scheda creata in data XY”
– “ultimo aggiornamento avvenuto in data XY”.

È fondamentale, dunque, che il registro dei trattamenti per lo psicologo sia aggiornato; altrimenti non è adeguato e il titolare è sanzionabile.

Accountability: la responsabilizzazione del titolare

Uno dei principi cardine, forse la vera e più forte rivoluzione culturale portata dal GDPR, è il concetto di accountability, ovvero di responsabilizzazione del titolare del trattamento dati (art. 5 del Regolamento Europeo). Ci piace sottolineare che “accountability” in inglese vuol dire “dover rendere conto del proprio operato”, per cui è qualcosa in più della semplice responsabilizzazione.

Il nuovo e migliorato approccio è, dunque, basato su:
∼ misura delle conseguenze del trattamento
∼ diritti e le libertà dell’interessato
∼ valutazione del rischio.

L’articolo 25, in particolare, introduce un approccio concettuale innovativo che impone alle aziende l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela dei dati personali (il principio di privacy by design e privacy by default, appunto).

In tal senso psicologi e psicoterapeuti dovranno progettare i trattamenti in modo da limitare il più possibile i rischi, eventualmente procedendo ad una valutazione di impatto preventiva, ed adottando le misure di sicurezza ritenute adeguate. La centralità del ruolo del titolare è evidente: alla luce dei principi previsti dal regolamento, opera da sé tutte queste valutazioni, salvo controlli ex post dell’autorità di controllo, e decide in autonomia le misure da adottare, le modalità e i limiti del trattamento.
Tenuto conto della natura, del contesto e della finalità del trattamento, il titolare – psicologo e/o psicoterapeuta – dovrà garantire, ed essere in grado di dimostrarlo (appunto, renderne conto), che il trattamento è effettuato non solo in modo conforme alla normativa, ma anche in modo tale da non determinare rischi.

La tenuta del registro delle attività di trattamento per psicologi e psicoterapeuti risponde a queste necessità.

Si va ben oltre il concetto formale, non basta avere il consenso per sentirsi in regola. Oggi la “semplice” conformità al regolamento non è più sufficiente: il titolare ha sempre la responsabilità di tutelare l’interessato dai rischi impliciti del trattamento. Così come non è poi sufficiente adottare misure di conformità alle norme: è necessario anche documentare (principio di trasparenza) e garantire l’efficacia delle misure adottate.

Conclusioni

La parola d’ordine, dunque, è: responsabilizzazione.
Il Regolameto Europeo parla chiaro: la Protezione dei Dati Personali non va banalizzata, ma deve essere il motore per trasformare l’applicazione del GDPR per la psicologia da semplice adempimento a vera innovazione. A tutela della privacy di tutti, ovviamente.

E, per psicologi e psicoterapeuti in primis, la privacy è requisito indispensabile per la professione.