GDPR e privacy dei dati: cosa cambia per lo psicologo
Dal 25 maggio 2018, a causa del cambiamento delle normative sulla privacy e protezione dei dati personali, tutti i professionisti devono far riferimento al Regolamento europeo 2016/679 (General Data Protection Regulation o GDPR).
Molti professionisti possono essere preoccupati dalle implicazioni che queste nuove regole avranno sul loro lavoro e si domandano cosa fare per rispettare in pieno il nuovo regolamento a livello legale, deontologico ed etico.
Una piccola premessa: il Codice Deontologico degli Psicologi Italiani già prevede la massima tutela della privacy, quindi già il corretto esercizio della professione secondo tale codice è una garanzia. In questo caso quindi si tratterà, per i professionisti della psicologia, di integrare e migliorare le pratiche di gestione dei dati portando attenzione su alcuni aspetti delicati che il Codice Deontologico può non copre del tutto (ad esempio la protezione dati nei supporti tecnologici).
Data l'importanza della questione si raccomanda di prendere visione della normativa originale GDPR sul sito del Garante per la Privacy ed eventualmente di rivolgersi a consulenti ed esperti al fine di non lasciare nulla al caso. Tenendo presente quanto appena detto, di seguito riporteremo alcune indicazioni utili che non hanno la pretesa di essere esaustive in materia, ma che si propongono soltanto di fare un po' di chiarezza.
"La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale"; negli ultimi tempi si è discusso ampiamente dell'argomento e gli psicologi professionisti sono chiamati a rispettare le nuove normative soprattutto per la mole di "dati personali" e "dati sensibili" che ci si trova a dover trattare.
I dati personali riguardano tutte le informazioni sulla persona fisica come il nome, l'indirizzo o l'email, mentre dei dati sensibili fanno sicuramente parte tutte le informazioni sulla salute del soggetto interessato, che in ambito psicologico sono ovviamente numerose.
Un punto molto importante da chiarire è che ogni professionista è tenuto a garantire la privacy dei propri clienti già "alla base", cioè nel modo stesso in cui questi dati vengono immagazzinati, protetti e utilizzati, garantendo la massima trasparenza.
Questo significa che se si utilizza un software di gestione e archiviazione dei dati esso deve essere impostato obbligatoriamente in modo da garantire la massima protezione (es. password) di questi dati. Inoltre è obbligatorio che il supporto di archiviazione sia ben protetto; il pc deve essere munito di antivirus, antispyware e tutte le protezioni del caso, ma anche se si archivia il tutto su penne usb o altri supporti bisogna tenere a mente che deve essere garantita una protezione anche in caso di perdita del supporto (che ci si augura non avvenga).
Anche lo smartphone deve essere degno di attenzione e protezione se in questo sono contenuti dati riguardanti il soggetto interessato.
Insomma, la gestione dei dati deve essere responsabile già a partire dalla base soprattutto se si utilizza la tecnologia per archiviarli. Oggi più che in precedenza c'è bisogno di fare attenzione a come si conservano i dati e crittografare queste informazioni è fondamentale per attenuare i danni da possibili accessi impropri, smarrimenti ecc...
Il responsabile dei dati deve:
"mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento."
Il soggetto deve essere messo a conoscenza dei modi che sono alla base del trattamento dei dati e inoltre bisogna garantire che questi vengano utilizzati solo e soltanto per lo scopo per cui sono stati chiesti. Inoltre non vale il silenzio/assenso ma il permesso di trattare i dati deve essere esplicito.
"I principi di trattamento corretto e trasparente implicano che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità. Il titolare del trattamento dovrebbe fornire all’interessato eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e del contesto specifici in cui i dati personali sono trattati."
Di estrema importanza è il trattamento dei dati dei minorenni: "il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni". Per età inferiori ai 16 anni sarà obbligatorio ottenere un consenso esplicito dai genitori.
Un altro punto da tenere in considerazione è che i dati non possono essere trattenuti per sempre. C'è un tempo limite oltre il quale tutti i dati devono essere cancellati. Per la professione di psicologo il Codice Deontologico all'articolo 17 indica un periodo di 5 anni dalla conclusione del rapporto professionale.
Un ulteriore punto che vorremmo evidenziare è quello sull'utilizzo di pseudonimi. Questa è una pratica già ampiamente utilizzata in ambito psicologico, ma in relazione alle nuove norme sulla privacy è bene far attenzione anche a non collegare lo pseudonimo ai dati. Tenere separati i dati personali reali dallo pseudonimo, mascherando questi dati, è essenziale anche più che in precedenza. Si possono utilizzare nomi e codici diversi la cui corrispondenza sarebbe conservata a parte.
Nel caso in cui si debba conferire dati a terzi questo richiede un atto esplicito di nomina a Responsabile dei dati.
Ultimo argomento è quello della designazione di un Responsabile della Protezione dei Dati (RPD). Per quanto riguarda lo psicologo libero professionista, questa designazione non si rende obbligatoria, ma in ogni caso è bene visionare la normativa e nel caso rivolgersi ad un esperto.
Il consiglio di affidarsi ad un esperto in materia è sempre valido e permette di essere sicuri di non incorrere in alcuna sanzione, ma allo stesso tempo è bene ricordare che molte delle pratiche previste nel GDPR rispecchiano pratiche già previste dal Codice Deontologico degli Psicologi Italiani.
Per concludere, quindi, sottolineiamo come il corretto esercizio della professione vada soltanto integrato con questi nuovi aspetti previsti dal GDPR.
(A cura del Dottor Antonio Morgia)
Scrivi articoli di psicologia e psicoterapia e ti piacerebbe vederli pubblicati su Psiconline?
per sapere come fare, Clicca qui subito!
Sei nel posto giusto.
Attiva una campagna pubblicitaria su Psiconline
Tags: psicologia protezione privacy dati gdpr
Segui il nostro canale YouTube
Seguici su Twitter
Seguici su Facebook
Seguici su Linkedin