NoMessaggio
X
NoMessaggio
X
Privacy e trattamento dati
LA PRIVACY DOPO IL REGOLAMENTO EUROPEO 679/2016
PREMESSA
Le seguenti informazioni hanno valore di semplici indicazioni, fornite al fine di un primo approccio alle problematiche in materia di privacy e che non sostituiscono il lavoro svolto da un proprio consulente professionista, a cui si rinvia per la comprensione dettagliata e per i necessari adeguamenti alla normativa.
La normativa italiana di adeguamento a quella europea (D.Lgs. 101/2018) non ha risolto le incertezze interpretative esistenti e ha assegnato all'Autorità Garante per la Privacy il compito di formulare linee guida per semplificare gli oneri a carico delle realtà più limitate.
Suggeriamo di verificare periodicamente le novità e gli aggiornamenti sui siti dell’Ordine e del Garante Privacy.
 
Le norme sulla privacy riguardano tutti gli psicologi? Oppure chi non gestisce i dati dei pazienti ne è esonerato?
Il nuovo Regolamento Europeo (ma era già previsto dalla normativa italiana) definisce “trattamento di dati” ogni operazione di raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione di dati, anche se non registrati in una banca di dati, sia che si utilizzi il computer, sia che si lavori su carta.
Sulla base di questa definizione, è praticamente impossibile che lo psicologo non esegua nessun “trattamento” dei dati dei propri pazienti. Ad esempio, costituiscono trattamento di dati tenere un’agenda degli appuntamenti con annotati i nominativi dei pazienti, emettere una fattura con i dati del paziente, fornire le fatture al commercialista per gli adempimenti fiscali.
In conclusione, le norme sulla privacy riguardano tutti.
 
Il Garante ha chiarito che il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso per i trattamenti di dati necessari alla prestazione sanitaria. E’ invece richiesto il consenso, o una differente base giuridica, quando tali trattamenti non sono strettamente necessari per le finalità di cura, anche quando sono effettuati da professionisti della sanità. Ne sono un esempio i trattamenti di dati per finalità promozionali, commerciali o elettorali.
L’Autorità ricorda che, sulla base dell’attuale normativa che regola il settore, permane la necessità di acquisire il consenso anche per il trattamento dei dati relativo al fascicolo sanitario elettronico, o per la consultazione dei referti online.
Sul punto, in caso di prestazione in favore di persona minorenne, si rinvia alle raccomandazioni elaborate dall’Ordine e pubblicate sul sito.
 
Cosa deve fare lo psicologo nel suo studio per essere in regola con la privacy dopo l’entrata in vigore del Regolamento Europeo 679/2016?
Ci sono alcuni adempimenti che lo psicologo è tenuto a fare per ottemperare alle norme del Regolamento Europeo, che si possono riassumere così:
- identificare i soggetti interessati al trattamento dei dati;
- predisporre un’adeguata informativa;
- raccogliere il consenso;
- istituire il Registro dei trattamenti dei dati;
- elaborare procedure per fronteggiare le ipotesi di violazione della privacy.
 
Chi sono i soggetti interessati?
I soggetti interessati al trattamento dei dati da parte di uno psicologo sono non solo i suoi pazienti, ma anche, eventualmente, ad esempio, il personale dipendente o i suoi collaboratori, oppure anche i propri fornitori. Questa ricognizione è il primo passo da fare per calibrare poi i successivi adempimenti.
 
Cos’è l’informativa sul trattamento dei dati personali?
È una dichiarazione scritta con linguaggio semplice e chiaro da rendere nota al paziente anticipatamente rispetto al trattamento dei dati da redigere in forma concisa, trasparente, intellegibile e facilmente accessibile.
Suggeriamo l’utilizzo del modello elaborato dal CNOP “Modulistica unica per la prestazione professionale psicologica” MAGGIORENNI o MINORENNI, che sintetizza gli elementi necessari dell’informativa, nonché gli altri contenuti utili di cui occorre informare il paziente, anche in relazione al consenso alla prestazione professionale. Il modello sottoscritto dal paziente deve essere custodito dal professionista, il quale a sua volta dovrà consegnarne copia ad ogni singolo paziente.

Quali sono le possibili finalità del trattamento dei dati?
Per uno psicologo, tendenzialmente, la prevenzione, la diagnosi, le attività di abilitazione-riabilitazione e di sostegno in ambito psicologico rivolte alla persona, al gruppo, agli organismi sociali e alle comunità, nonché le attività di sperimentazione, ricerca e didattica in tale ambito); Vi potrebbero poi essere altre finalità, a discrezione del singolo professionista avendo riguardo alla sua specifica attività. Se il titolare dello studio si rende conto che utilizza i dati dei pazienti anche per altri e ulteriori scopi, deve dichiararlo esplicitamente nell’informativa che quindi va adeguatamente integrata.
 
Quali possono essere queste ulteriori finalità di trattamento?
Ad esempio condurre attività di ricerca scientifica o epidemiologica, utilizzare i dati dei pazienti per pubblicazioni scientifiche o presentazioni ai congressi, spedire una periodica newsletter ai pazienti per informarli sulle attività dello studio. Sono tutte finalità ulteriori rispetto a quella fondamentale di attività psicologica che quindi vanno separatamente evidenziate per renderle note al paziente.
 
Modalità di trattamento dei dati
Il titolare dello studio deve dichiarare che si ispira ai principi di liceità, correttezza, trasparenza, minimizzazione e limitazione dei dati, come previsto dal Regolamento Europeo.
 
Tempo di conservazione dei dati
Nell’informativa va anche indicato il tempo di conservazione dei dati da parte dello studio. Si tratta di un termine piuttosto difficile da stabilire a priori.
Utile spunto potrebbe essere il seguente, contenuto nel modulo elaborato dal CNOP:
I tempi di conservazione, in relazione alle differenti finalità sopra elencate, saranno i seguenti:
  1. dati anagrafici, di contatto e di pagamento: verranno tenuti per il tempo necessario a gestire gli adempimenti contrattuali/contabili e successivamente per un tempo di 10 anni;
  2. dati relativi allo stato di salute: saranno conservati unicamente per il periodo di tempo strettamente necessario allo svolgimento dell’incarico e al perseguimento delle finalità proprie dell’incarico stesso e comunque per un periodo minimo di 5 anni (art.17 del Codice Deontologico degli Psicologi Italiani).
 
Comunicazioni a terzi dei dati
Una formulazione suggerita può essere la seguente: I dati personali potrebbero dover essere resi accessibili alle Autorità Sanitarie e/o Giudiziarie sulla base di precisi doveri di legge. In tutti gli altri casi, ogni comunicazione potrà avvenire solo previo esplicito consenso, e in particolare:
  1. dati anagrafici, di contatto e di pagamento: potranno essere accessibili anche a eventuali dipendenti, nonché a fornitori esterni che supportano l’erogazione dei servizi;
  2. dati relativi allo stato di salute: verranno resi noti, di regola, solamente all’interessato e solo in presenza di una delega scritta a terzi. Verrà adottato ogni mezzo idoneo a prevenire una conoscenza non autorizzata da parte di soggetti terzi anche compresenti al conferimento. Potranno essere condivisi, in caso di obblighi di legge, con strutture/servizi/operatori del SSN o altre Autorità pubbliche. Salvo parere contrario, da rendere attraverso il punto in calce alla presente, i dati anagrafici, di contatto e di pagamento saranno comunicati all’Agenzia delle Entrate, ai fini della dichiarazione dei redditi, tramite flusso telematico del Sistema Tessera Sanitaria. Tale opposizione non pregiudica la detrazione della spesa, bensì comporta esclusivamente che la fattura non venga inserita automaticamente nella dichiarazione precompilata. Nel caso di opposizione le informazioni contabili relative alle spese sanitarie verranno trasmesse all’Agenzia delle Entrate ai fini dell’elaborazione del mod.730/UNICO precompilato e risulteranno accessibili anche dai soggetti fiscalmente a carico (coniuge, genitori, ecc.).
 
Trasferimento all’estero dei dati
Di norma uno psicologo non ha mai necessità di trasferire all’estero i dati dei propri pazienti. Però bisogna aver presente che il professionista può avvalersi di strumenti informatici che si “appoggiano” su server ubicati al di fuori del territorio italiano. In tal caso occorre specificare il dettaglio nella propria informativa.
 
Diritti dell’interessato
In questa sezione dell’informativa occorre riportare i diritti dell’interessato come l’esempio sottostante:
Al persistere di talune condizioni, in relazione alle specificità connesse con l’esecuzione dell’incarico, sarà possibile all’interessato esercitare i diritti di cui agli articoli da 15 a 22 del GDPR (come ad es. l’accesso ai dati personali nonché la loro rettifica, cancellazione, limitazione del trattamento, copia dei dati personali in un formato strutturato di uso comune e leggibile da dispositivo automatico e la trasmissione di tali dati a un altro titolare del trattamento). Nel caso di specie sarà onere del professionista verificare la legittimità delle richieste fornendo riscontro, di regola, entro 30 giorni.
 
Ma se il paziente ha diritto a ottenere “la cancellazione dei suoi dati”, come fa il professionista a difendersi in caso di contenzioso?
Il diritto alla cancellazione va messo in relazione al diritto del professionista di tutelare i suoi interessi legali, per cui se il paziente chiede la cancellazione dei suoi dati prima che siano decorsi i termini di prescrizione legali, lo Psicologo può legittimamente rifiutare tale cancellazione, motivando tale decisione con la necessità di tutelare il suo diritto di difesa. Viceversa, se i termini sono oramai decorsi, il professionista può tranquillamente procedere alla cancellazione, accogliendo la richiesta del paziente. In altre parole, il “diritto all’oblio” non è assoluto: trova un limite nel diritto del professionista a tutelare i suoi diritti legali.
 
FORMALIZZAZIONE DEI RUOLI
Oltre a riformulare l’informativa e raccogliere il consenso, cos’altro deve fare il professionista nel suo studio?
Se, nel proprio studio, si avvale di personale di segreteria, deve redigere una formale lettera, da far sottoscrivere al singolo dipendente, in cui specifica le istruzioni impartite. Un modello di lettera di incarico può essere il seguente:
Il sottoscritto/a …………............................………………… in qualità di Titolare del trattamento dei dati dello Studio …..……………………………...……….. con sede in ……………………………………….
NOMINA QUALE ADDETTO AL TRATTAMENTO DEI DATI PERSONALI E SENSIBILI
il signor/a ……………………………………… nato/a a …………… il …...........…
In particolare dovrà:
  1. a) raccogliere, registrare, trattare e conservare i dati personali e sensibili contenuti nelle cartelle cliniche, sia su supporto cartaceo che informatico, avendo cura che l’accesso agli stessi sia consentito solo ai soggetti autorizzati;
  2. b) adempiere alla comunicazione dei dati ai soggetti esterni nelle forme previste.
Le rammento che dovrà adottare la parola chiave riservata per l’accesso alla banca dati elettronica che dovrà essere periodicamente modificata.
Data ……………………
FIRMA DEL TITOLARE
per ricevuta: Firma dell’Incaricato
Si consiglia di allegare la copia del documento di identità dell’addetto.
 
Se il professionista si avvale di un ragioniere e/o commercialista per la tenuta della sua contabilità?
Anche in questo caso va affidata al commercialista la formale responsabilità per il trattamento dei dati. Si può utilizzare il seguente modello di lettera:
Il sottoscritto/a …………............................………………… in qualità di titolare del trattamento dei dati dello Studio ………...……….. con sede in ………………………………………..
NOMINA QUALE RESPONSABILE AL TRATTAMENTO DEI DATI PERSONALI E SENSIBILI
Il/la signor/a - Il/La dott./ssa titolare di Studio commercialista con sede in…………… nato/a a …………… il …...........…..
In particolare dovrà:
  1. a) raccogliere, registrare, trattare e conservare i dati personali e sensibili sia su supporto cartaceo che informatico, avendo cura che l’accesso agli stessi sia consentito solo ai soggetti autorizzati;
  2. b) adempiere alla comunicazione dei dati ai soggetti esterni nelle forme previste.
Le rammento che dovrà adottare la parola chiave riservata per l’accesso alla banca dati elettronica che dovrà essere periodicamente modificata.
Data ……………………
FIRMA DEL TITOLARE
per ricevuta: Firma del Responsabile
Si consiglia di allegare la copia del documento di identità del commercialista.
 
 
REGISTRO DEI TRATTAMENTI
Oltre a tutto questo bisogna preoccuparsi del “Registro dei Trattamenti”. Cos’è in pratica?
E’ un registro in cui si elencano le tipologie di trattamenti che vengono svolti dal professionista e che coinvolgono i dati personali degli interessati.
Può essere composto come un semplice foglio in formato Excel (ce ne sono molti esempi su internet, fra cui quello suggerito dal Garante per la Privacy) oppure può essere realizzato dall’azienda informatica che fornisce il software gestionale dello studio.
 
In che cosa consiste?
Si tratta di un documento tenuto in forma libera e conservato dove il professionista svolge l’attività.
Ogni professionista deve esplicitare chiaramente da chi e come saranno trattati i dati, dall’informativa all’archiviazione, ma non va visto come un mero adempimento burocratico, bensì parte integrante di un sistema di corretta gestione dei dati personali, in quanto finalizzato a tenere sotto controllo il ciclo vitale del dato.
E’ un documento che può essere necessario esibire agli organi di controllo in caso di verifiche o accertamenti.
 
E’ obbligatorio per tutti i professionisti?
Siccome gli psicologi trattano dati inerenti la salute dei propri assistiti, che sono dati particolarmente delicati e sensibili, al di là dell’esistenza di uno specifico obbligo è obbligatorio approntare il registro, come previsto dall’art. 30 del Regolamento Europeo.
Per ogni altro profilo in materia di registro dei trattamenti, si rinvia a quanto specificato dal Garante sul proprio sito istituzionale, over reperire anche una versione "semplificata".
 
Ho sentito parlare di “Data Breach”. Cosa significa?
Il termine indica ogni “violazione dei dati” e nella pratica può significare ad esempio il furto, la perdita, l’alterazione, la manipolazione di dati cartacei o informatici.
In questi casi il professionista deve notificare il fatto all’Autorità Garante per la privacy entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Ma non basta notificare il fatto che si è subita una violazione: bisogna anche dire cosa si è fatto per contenere il danno.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
In ogni caso il titolare del trattamento, a prescindere dalla notifica al Garante, deve documentare tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa (c.d. "registro degli incidenti").
Siccome queste eventualità non sono purtroppo rare, è assolutamente indispensabile che il professionista progetti e rediga una “procedura di emergenza” con la quale fronteggiare simili evenienze. Tale procedura di emergenza deve essere approntata prima che si verifichino fenomeni di violazione, proprio per essere in grado, prima possibile, di farvi fronte nel modo tecnicamente e organizzativamente più adeguato.
A questo proposito, per dimostrare il rispetto del regolamento potrebbe anche essere utile dimostrare che i dipendenti sono stati informati dell’esistenza di tali procedure e meccanismi e che sanno come reagire alle violazioni.
La mancata corretta documentazione di una violazione può comportare l’esercizio da parte dell’autorità di controllo dei suoi poteri ai sensi dell’articolo 58 GDPR e l’imposizione di una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 GDPR.
Inoltre, il Regolamento Europeo, all’art. 34, stabilisce che “quando la violazione dei dati è suscettibile di presentare un rischio elevato peri diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”; la comunicazione deve descrivere con linguaggio semplice e chiaro la natura della violazione, i dati di contatto presso cui ottenere informazioni, un descrizione delle probabili conseguenze della violazione dei dati e la descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. 

Qual è la procedura di emergenza da seguire?
Dipende dall’organizzazione del professionista. Ad esempio lo psicologo potrebbe stabilire a priori che, in caso di violazione di dati, lui personalmente o un suo incaricato appositamente individuato, svolga alcune operazioni essenziali e basilari come ad esempio: spengere il server; spostarlo in un luogo più sicuro; interrompere l’energia elettrica; spostare i fascicoli in un luogo più sicuro; allertare i Vigili del Fuoco, ecc. Bisogna prevedere gli interventi di emergenza ritenuti più adeguati al caso concreto, metterli per iscritto e seguirli in caso di “data breach”.
Le misure di protezione informatica hanno una rapida evoluzione tecnologica, per cui è assolutamente necessario che il professionista possa contare su un consulente informatico di propria fiducia per rendere il suo sistema sempre protetto al massimo grado.
 
Ma il “Documento Programmatico per la sicurezza” (DPS) esiste sempre?
Il DPS deve ritenersi superato dal Regolamento Europeo che non parla più di “misure minime di sicurezza”, ma obbliga il professionista a pensare alla sicurezza al massimo grado.
In pratica col Regolamento Europeo non bisogna limitarsi ad adottare misure di sicurezza minime, ma all’opposto bisogna approntare le procedure che diano il massimo di garanzie tecnicamente possibili per tutelare e proteggere i dati.
Ed in effetti: costruire ed integrare al meglio l’informativa, redigere correttamente il Registro dei Trattamenti e monitorare costantemente le proprie procedure per evitare i rischi di Data Breach sono tutte azioni che rientrano nell’ottica della tutela della riservatezza “al massimo grado” possibile, sia in termini di sicurezza fisica (luoghi e ambienti) che organizzativa (procedure e incarichi) che informatica (strumenti hardware e software adeguati).
 
IL DPO: chi è?
Il Regolamento Europeo ha introdotto la figura del “Responsabile della Protezione dei Dati” (in italiano RPD e in inglese DPO).
Si tratta di un soggetto, persona fisica o giuridica, nominato dal titolare del trattamento (il professionista) con il compito di collaborare con lui nella protezione dei dati e che quindi può affiancare il titolare anche nella redazione dell’informativa, nella gestione del Registro dei Trattamenti, nell’elaborazione delle procedure di emergenza e nel monitoraggio costante e continuativo delle prassi all’interno dello studio.
Il DPO funge anche da punto di contatto con l’Autorità Garante per la Privacy ed è per questo motivo che il suo nominativo va comunicato al Garante.
 
Lo Psicologo è obbligato a nominare un DPO?
La questione non è ad oggi chiaramente risolta;
nel frattempo i vari esperti di privacy ritengono che la nomina possa essere evitata da parte del singolo professionista. Ma al momento non è possibile essere più precisi.
 
SUGGERIMENTI PRATICI
 
E si può usare Whatsapp o strumenti simili nel rapporto professionista-paziente?
Gli strumenti di chat o messaggistica non danno alcuna garanzia legale sull’identità del mittente.
Detto in altre parole, mentre al telefono si ha la ragionevole possibilità di identificare colui che sta dall’altra parte della cornetta perché se ne conosce la voce, nelle chat o nei messaggi non c’è modo per avere una minima sicurezza su chi c’è dall’altra parte. Si tratta di strumenti certamente molto utili nelle relazioni quotidiane, ma probabilmente non sono il mezzo migliore per comunicare e trasmettere dati sensibili.
 
C’è un consiglio “finale” che, in conclusione, può essere dato ai professionisti?
Come gli altri professionisti iscritti ad Ordini e Collegi professionali, anche gli Psicologi hanno nel loro patrimonio etico e deontologico la tutela del segreto professionale e della riservatezza dei pazienti. Questo valore deve essere mantenuto vivo e operante perché è alla base del rapporto fiduciario, in quanto nessun paziente riporrebbe la sua fiducia in un professionista che divulgasse sconsideratamente e a chiunque le informazioni che ha acquisito.
Proseguendo, quindi, in questo “binario” etico e deontologico, lo Psicologo troverà sempre il modo per affrontare le varie e disparate situazioni in cui si trova ad operare, fondando il suo agire sulla propria coscienza, sensibilità e accortezza.
Potrebbe interessarti anche...
(Tema disattivato o non trovato):
Elenco pagine
Temi Come fare per
X
Ordine degli Psicologi della Toscana e terze parti utilizzano cookie per archiviare e accedere alle informazioni sul Suo dispositivo. Alcuni di questi cookie sono tecnicamente essenziali per fornire un sito web sicuro, ben funzionante e affidabile. Altri, dietro Suo consenso, per poter offrire la migliore esperienza all’utente. È possibile rivedere e modificare le scelte inerenti al consenso in qualsiasi momento.
Ulteriori informazioni sono disponibili nelle nostre Privacy policy e Cookie policy del sito web.
Per acconsentire all’utilizzo di tutte le tipologie di cookie clicca su "Accetta", per rifiutare clicca su "Rifiuta" o chiudi direttamente il banner. Altrimenti, per maggiori dettagli e specificare le proprie scelte, clicca su "Scopri di più e personalizza".
Rifiuta
Personalizza
Accetta