GDPR 2018 – cosa cambia per gli psicologi

Il 25 maggio 2018 è entrato in vigore il Regolamento europeo 2016/679

(General Data Protection Regulation – GDPR)

Il nuovo regolamento non si sostituisce al precedente, lo integra.

Lo psicologo era già soggetto al rispetto di alcune normative riguardanti la privacy, molti articoli del codice deontologico si integrano completamente ai principi del nuovo GDPR, come anche i vari obblighi imposti al professionista sanitario.

Cosa non cambia

Articoli del codice deontologico che già rispettano il nuovo GDPR

  • 2 (corretto esercizio della professione),
  • 3 (responsabilità sociale),
  • 4 (diritto alla riservatezza),
  • 9 (ricerca scientifica),
  • 11 (segreto professionale,
  • 12 (testimonianza e deroga al segreto),
  • 13 (obbligo di referto e obbligo di denuncia),
  • 14 (gruppi),
  • 15 (supervisione, condivisione, collaborazione interprofessionale),
  • 16 (anonimato nelle comunicazioni scientifiche),
  • 17 ( custodia dei dati),
  • 24 (consenso informato),
  • 31 (consenso informato minori).

Leggi gli articoli menzionati

 

Obblighi della professione di psicologo che già rispettano il nuovo GDPR

  • l’obbligo di preventivo
  • l’obbligo di trasmissione telematica delle spese sanitarie al “sistema tessera sanitaria”

 

Cosa cambia

Le novità principali del GDPR riguarderanno:

  1. La redazione di un documento (Valutazione d’Impatto) in cui lo psicologo dichiara a priori come tratterà i dati;
  2. La redazione dell’informativa e il consenso esplicito secondo il nuovo GDPR;
  3. Il consenso esplicito secondo il nuovo GDPR.

1) la redazione di un documento (Valutazione d’Impatto) in cui lo psicologo dichiara a priori come tratterà i dati;

Il regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.

Pertanto Tutti i titolari e i responsabili di trattamento devono tenere un registro delle operazioni di trattamento dei dati i cui contenuti sono indicati all’art. 30 del GDPR:

  • Il nome e i dati di contatto del titolare del trattamento e del responsabile della protezione dei dati;
  • Le finalità del trattamento;
  • Una descrizione delle categorie di interessati e delle categorie di dati personali (es: dati relativi allo stato di salute);
  • Le categorie di destinatari a cui i dati personali sono stati o saranno comunicati (es: supervisione, commercialista, Asl, Ordine degli psicologi, Enpap, ecc.);
  • Ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati (almeno 5 anni);
  • Ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzati (art. 32, paragrafo 1 – es: armadi con chiave, password, antivirus, ecc);

 

2) La redazione dell’informativa e il consenso esplicito secondo il nuovo GDPR;

– Per i dati “sensibili” (si veda art. 9 regolamento) il consenso DEVE essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (per chi utilizza siti web è necessario introdurre una casella da cliccare nel caso di consenso al trattamento dei dati).

Per chi offre prestazioni online, il consenso NON deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili);

– Il consenso dei minori è valido a partire dai 16 anni (il limite di età può essere abbassato fino a 13 anni dalla normativa nazionale); prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

L’informativa redatta alla luce del Regolamento europeo 2016/679 (GDPR – General Data Protection Regulation) e del D.Lgs 196 del 2003 (cd. “Codice Privacy”) è un documento esplicativo che il Titolare del trattamento predispone in forma libera, che deve contenere necessariamente:

– Oggetto del Trattamento

– Finalità del trattamento

– Modalità di trattamento

– Criteri di accessibilità dei dati

– Eventuali comunicazioni/diffusioni dei dati

– Diritti dell’interessato e modalità di esercizio degli stessi

– Dati e contatti di Titolare, responsabile e incaricati

 

3) Il consenso esplicito secondo il nuovo GDPR

Dopo aver spiegato al cliente/paziente i termini del servizio e il trattamento dei dati personali lo psicologo deve richiedere esplicitamente e in modo chiaro e dimostrabile o l’opposizione o le firme:

  • Firma 1: accettazione del consenso informato (art.24 o art.31 C.D.) e accettazione del preventivo (L. n.124/2017)
  • Firma 2: consenso al trattamento dei dati personali (D.Lgs 196 del 2003 / GDPR 679/16)

in caso di prestazioni sanitarie

  • Firma 3: consenso alla trasmissione telematica delle spese sanitarie (ex art.24 o art.31 C.D.)

Si consiglia la compilazione di un unico documento in cui siano contenute tutte le precedenti informazioni. Una copia verrà custodita dal Titolare del trattamento dei dati e l’altra verrà fornita al cliente/paziente.

L’Ordine Nazionale degli Psicologi ha redatto un documento d’esempio (Modello Psy18) che si può usare come modello

 

Per maggiori informazioni rispetto agli obblighi per lo svolgimento della libera professione richiedi l’iscrizione al corso

Basi fiscali per la professione di psicologo

Gratis per tutti gli iscritti all’Associazione Pianeta Psicologia

 

per ricevere altri articoli sulle novità e le opportunità per la professione di psicologo iscriviti alla nostra newsletter cliccando sul bottone sottostante: