Novità e obblighi per il professionista introdotti dal GDPR

PRINCIPALI NOVITÀ INTRODOTTE DAL GDPR E GLI OBBLIGHI PER IL PROFESSIONISTA.

Con l’entrata in vigore del Regolamento europeo 2016/679 c.d. GDPR (General Data Protection Regulation) la tutela dei dati personali, sinora affidata principalmente al Codice della Privacy, racchiuso nel D.Lgs 196 del 2003, viene ulteriormente regolamentata mediante una serie di novità illustrate nella nota informativa predisposta dal CNOP, che si allega, e che di seguito vengono elencate:

1) L’Informativa sul trattamento dei dati personali ai sensi dell’Articolo 13 D.lgs 196/03 (Codice Privacy) e dell’articolo 13 del Regolamento UE 2016/679 (GDPR).
In attesa di fornire, a seguito di ulteriore e più approfondito esame della normativa, maggiori specifiche pratiche e operative, riteniamo utile condividere il documento predisposto dal CNOP (Consiglio Nazionale Ordine Psicologi) nel quale vengono inclusi altresì tutte le altre informazioni/consensi previsti dalle norme vigenti (consenso informato/pattuzione compenso/dati polizza assicurativa/trattamento dati). Resta ben inteso che quanto allegato deve considerarsi un format standard che ciascun professionista, sulla base delle proprie esigenze o argomentazioni, può evidentemente modificare, prestando attenzione al rispetto delle norme e dei principi contenuti nel GDPR .

2) L’elaborazione del c.d. Registro delle attività di trattamento.
Trattasi di un documento, che va conservato dal professionista nel luogo in cui esercita l’attività professionale, all’interno del quale dovranno essere indicate principalmente tutte quelle informazioni relative:

• alla tipologia dei dati trattati (dati clinici, dati contabili, etc.);
• alle finalita di trattamento (gestione dell’attività clinica, gestione della fatturazione e della contabilità, etc.);
• alle modalita di trattamento e di conservazione dei dati (database, software archiviazione, piattaforma mail, fascicolo cartaceo e/o elettronico, etc.)
• ai destinatari dei dati (autorità giudiziarie, genitori e tutori in caso di pazienti minori se dati clinici, commercialista o piattaforma sistema tessera sanitaria se dati contabili, etc.);
• ai sistemi di sicurezza adottati nella conservazione dei dati (password, crittografia, firewall per dati in formato elettronico, armadietti e archivi con chiavi, cassettiere di sicurezza per dati in formato cartaceo, etc.);
• al periodo di conservazione dei dati (5 anni dalla cessazione del rapporto ex art 17 codice deontologico, 5 anni per dati contabili come da normativa tributaria di riferimento, o anche altro periodo maggiore o inferiore purché detta decisione venga espressamente motivata dal professionista nel registro.)

Al sol fine di agevolare il professionista nella elaborazione del predetto registro, si allega un format standard predisposto dal CNOP (Consiglio Nazionale Ordine Psicologi). Anche in questo caso, come sostenuto per l’informativa, trattasi di un mero format che ciascun professionista potrà adattare e modificare, sulla base delle proprie esigenze e delle modalità di esercizio dell’attività professionale, prestando ovviamente attenzione ad indicare tutte quelle informazioni sopraelencate.

3) La gestione dell’archivio.
Innanzitutto nella gestione del proprio archivio si richiede al professionista di distinguere l’archiviazione dei dati personali del paziente (dati di contatto, documenti inerenti lo stato di salute, l’orientamento sessuale, rappresentazioni grafiche o scritti personali, etc.) da quella dei dati professionali elaborati nell’esercizio dell’attività professionale (appunti presi nel corso di una seduta o le valutazioni prodotte dalla elaborazione di un test, etc.). Fermo restando che entrambe le categorie di dati sono soggette alla disciplina del GDPR preme precisare che mentre i dati personali sono sempre dovuti in caso di richiesta del paziente, i dati professionali, che sono frutto quindi dell’attività del professionista, non sono necessariamente dovuti al paziente. Altra precisazione importante da fare, di cui il professionista deve necessariamente tener conto nella gestione del proprio archivio, è rappresentata dalla circostanza che tutti i dati inerenti ai pazienti, ed in particolar modo i dati sensibili, devono essere sempre criptati e non riconducibili.

4) Il “Data breach”: obblighi per il professionista.
Con il GDPR vengono introdotti per il professionista nel caso di c.d data breach, ossia di qualsivoglia violazione dei dati personali conseguente ad attacchi informatici, accessi abusivi, o a perdita, diffusione o distruzione accidentale di dati personali trattati, due nuovi obblighi e precisamente:: – l’obbligo di inviare una notifica al Garante entro 72 ore dal momento in cui ne viene a conoscenza. La notifica all’Autorità deve:

• descrivere la tipologia di violazione dei dati personali;
• indicare, se ricavabile, il numero approssimativo dei soggetti interessati;
• comunicare, se a conoscenza, il nominativo di un eventuale soggetto responsabile del data breach;
• descrivere le probabili conseguenze della violazione dei dati personali;
• descrivere le misure adottate o che si intendono adottare per porre rimedio alla violazione o anche per attenuare i possibili effetti negativi.

– l’obbligo di comunicare all’interessato la violazione dei dati personali, laddove il titolare del trattamento ritenga che la violazione possa rappresentare per quest’ultimo un rischio elevato per i suoi diritti e le sue libertà.

Al professionista è comunque lasciata la discrezionalità in ordine agli obblighi di comunicazione suindicati, ma ad ogni modo laddove la violazione viene ritenuta non grave e senza conseguenze, deve ad ogni modo annotare sia l’evento verificatosi che le motivazioni per le quali ha ritenuto non necessario effettuare le suindicate comunicazioni.