FAQ sulla Privacy

Di seguito sono pubblicate alcune FAQ sulla corretta applicazione del nuovo regolamento comunitario in materia di protezione dei dati personali (Regolamento UE 2016/679 - “GDPR”).

Come devo comportarmi con i pazienti/clienti che avevo già in carico prima del 25 maggio 2018 e con i quali sto continuando il rapporto professionale?
È necessario acquisire l’autorizzazione al trattamento dei dati personali conforme al nuovo Regolamento UE 2016/679 - GDPR. La vecchia informativa sulla privacy già acquisita è da conservare unitamente alla nuova, della quale deve anche essere rilasciata una copia al paziente.
Qualora il paziente/cliente abbia già sottoscritto il consenso informato all’intervento psicologico/psicoterapeutico e la relativa pattuizione del compenso è sufficiente integrare la documentazione con la sola informativa sulla privacy aggiornata al GDPR.
Se invece gli altri adempimenti obbligatori per legge non fossero già stati acquisiti per iscritto (consenso informato, pattuizione compenso, comunicazione estremi assicurazione professionale) suggeriamo di utilizzare il Modello Psy 2019. Anche nel caso la documentazione sia stata acquisita non recentemente può essere opportuno valutare di aggiornarla acquisendo un nuovo consenso tramite il Modello Psy 2019.
Ricordiamo che è sempre necessario rilasciare al paziente/cliente la copia sottoscritta del Modello Psy 2019 e, in generale, di tutta la documentazione relativa al conferimento dell’incarico professionale (consenso informato, pattuizione compenso, informativa privacy, comunicazione estremi assicurazione professionale).
Come devo comportarmi con i pazienti/clienti con i quali non ho più rapporti professionali ma dei quali devo ancora conservare i dati personali?
Come è noto è necessario conservare i dati personali dei pazienti/clienti almeno 5 o 10 anni (a seconda della tipologia di dati) successivi alla conclusione dell’incarico professionale.
Nel rispetto del nuovo GDPR sarebbe quindi necessario contattare, ad esempio via e-mail, tutti i pazienti/clienti dei quali si conservano ancora i dati personali inviando la nuova informativa sulla privacy.
Il professionista è quindi chiamato ad effettuare una valutazione sulla fattibilità di tale comunicazione e, qualora la ritenesse troppo gravosa (es. centinaia di pazienti/clienti da contattare) o inattuabile per mancanza di informazioni (es. mancanza di recapiti e-mail), può decidere responsabilmente di dare atto di tale impossibilità nel “Registro dei trattamenti”, motivando la decisione assunta.
Devo rilasciare al paziente/cliente la copia dell’informativa sulla privacy?
Sì, è necessario rilasciare copia sottoscritta del Modello Psy 20198 o, qualora il professionista utilizzi diversi modelli, rilasciare la copia di tutti i moduli sottoscritti (consenso informato, pattuizione compenso, informativa sulla privacy).
Se non prendo nessun appunto sui miei pazienti/clienti ad eccezione dei dati anagrafici posso togliere la voce dei dati relativi allo stato di salute?
No, è necessario lasciare la voce sia sull’informativa sulla privacy che sul Registro dei trattamenti in quanto la professione di psicologo è sanitaria e, pertanto, il solo nominativo del paziente/cliente può rivelare un’informazione sanitaria su suo conto (es. essere in psicoterapia o in un percorso di sostegno psicologico, ecc.).
Il Registro dei trattamenti è da compilare con i dati di ciascun paziente/cliente?
No, il Registro dei trattamenti rappresenta il “manuale di istruzioni” in cui ciascuno psicologo è tenuto ad esplicitare le categorie di dati personali di cui è titolare, indicando chiaramente da chi, con quali modalità e per quanto tempo saranno trattati. Si tratta di una riflessione preventiva sulle misure adottate per il trattamento e la protezione dei dati e una valutazione dei rischi connessi al trattamento stesso.
Non deve contenere dati personali di nessun paziente/cliente e non deve essere consegnato loro. Il documento deve essere conservato nel proprio archivio professionale ed esibito solamente in caso di eventuali controlli.
Ovviamente può essere integrato nel tempo per dare atto di tutte le eventuali variazioni delle modalità di protezione e trattamento dei dati. Per maggiori informazioni clicca qui
Ci sono particolari suggerimenti anche per la gestione dell’archivio professionale?
E' importante ricordare che non tutti gli elementi che costituiscono la “cartella” di un paziente/cliente rappresentano dati personali.
Può quindi risultare utile suddividere materialmente l’archivio tra dati personali del paziente/cliente (es. modulistica, fotografie, punteggi grezzi di un test, disegni, dati oggettivi di qualsiasi tipo) e dati professionali dello psicologo, legati alla sua attività, prodotti dal professionista (appunti, interpretazioni ecc..).
Infatti, entrambe le tipologie di dati sono soggetti a procedure di trattamento secondo il GDPR ma soltanto i primi sono necessariamente dovuti al paziente/cliente che li richiede.