1. V E R S I O N E 1 . 0
GDPR
G U I D A
P R A T I C A
P E R G L I
P S I C O L O G I :
A C U R A D I L U C A P E Z Z U L L O
2. P R E S E N T A N O
LA GUIDA PRATICA E SEMPLICE PER ESSERE FELICE
NONOSTANTE IL GDPR, E PROTEGGERE TE ED I TUOI CLIENTI
(E CI SONO ANCHE FOTO DI GATTINI PUCCIOSI!).
VERSIONE 1.1 – 23/5/2018
(AGGIORNAMENTI IN PROGRESS)
3.
4. I L G D P R È
A R R I V A T O !
Hai già la mailbox piena di incomprensibili
spiegazioni burocratiche, così come di
meravigliose offerte di "consulenti" privati
che – per cifre consistenti – ti offrono di
"metterti a norma"....
Non capisci la burocrazia, e quando la
"Premiata Ditta Gatto e Volpe" ti chiede 1000
euro per "metterti a norma" riempiendoti di
sigle esotiche, ti spaventi....
Temi la "Death by Bureaucracy", e sei convinto
che il GDPR ha il solo scopo di toglierti anche
la residua felicità che hai dopo aver pagato la
quota dell'Ordine.
Fermati. Rilassati. NO PANIC.
C'è AltraPsicologia!
"SEI NON FAI IL BRAVO, VIENE
IL GDPR E TI PORTA VIA!"
(Cit., Nonna di psicologo, 2018)
5. Un "fantasma" si aggira in queste settimane per l'Europa, anche
se è ancora sconosciuto ai più: si chiama GDPR, ed è il nuovo
Regolamento generale per la protezione dei Dati Personali della
UE, approvato da due anni e che entrerà in vigore in tutto il
continente dal 25 maggio 2018.
E' definito dalla Commissione Europea come "il più grande
cambiamento nella protezione dei dati degli ultimi due decenni",
e impatterà in tutte le attività - online ed offline - che rilevano
per la privacy e il trattamento dei dati.
In Italia abbiamo già una normativa rigorosa per la privacy, e
quindi l'adattamento sarà più semplice rispetto ad altri paesi;
ma avremo lo stesso da cambiare alcune cose nella nostra
pratica quotidiana!
GDPR
Cos'è e cosa cambia davvero per gli
psicologi
6. Per gli Psicologi, ci saranno importanti implicazioni: in primo
luogo, ci occupiamo spesso di cosiddetti "dati sensibili" (quelli
relativi a salute, orientamento sessuale, dati relativi a minori,
etc.), che godono di particolare protezione e richiedono
particolari procedure per essere trattati; ma anche solo per fare
un "banale" marketing via email saranno necessari adattamenti.
La normativa è lunga, complessa e "impegnativa", anche in
termini di sanzioni (molto alte) che accompagneranno la sua
applicazione: non pensiamo di "far finta di niente"!
Il Garante per la Privacy è il primo riferimento ufficiale in
merito, e siamo tutti tenuti a dare un'occhiata al suo sito.
GDPR
Cos'è e cosa cambia davvero per gli
psicologi
7. I N T R O D U C T I O N
Il GDPR non è burocrazia (non solo, almeno).
Il GDPR significa PROTEGGERE LE STORIE PIU'
DELICATE E DOLOROSE DELLE PERSONE CHE CE
LE AFFIDANO CON FIDUCIA.
Come tale, leggi questa guida come un "invito a
proteggere e prenderti cura", immaginando
come vorresti che qualcuno protegga i segreti
più intimi e drammatici della tua vita…
E' una responsabilità etica e deontologica, oltre
che legale!
UN APPELLO
(SERIO)
8. Quanto segue è un’introduzione informale, pratica e semplice al tema del GDPR. Come
esposizione introduttiva non ha pretese di esaustività, ufficialità né implica alcuna
garanzia di correttezza dei contenuti o rispetto alle conseguenze della loro
applicazione.
AP, DP e l'autore non si assumono alcuna responsabilità diretta o indiretta in merito
alle informazioni,al loro uso ed alle relative conseguenze. Zero proprio, è tutto a tuo
totale, tragico, esclusivo rischio e pericolo (come tutto, nella vita. Che tanto poi finisce
presto, quindi stai comunque sereno).
Essendovi nelle operazioni legate al GDPR rilevanti implicazioni legali, si invita a fare
diretto riferimento alla normativa originale, al sito del Garante per la Privacy e, in base
alle proprie necessità, a consulenti tecnici e legali esperti di settore.
Tieni inoltre conto che alcuni aspetti deliberativi sono ancora "in progress" o sono
soggetti a possibile interpretazione.
Lo stile espositivo che si è scelto è volutamente semplice, leggero e molto informale:
non è la trattazione burocratica e tecnica della normativa – cui, come anche al Garante
per la Privacy, rinviamo per ogni approfondimento ufficiale.
Il target dell'esposizione è il singolo Psicologo Libero Professionista "ordinario". In
caso di società, aziende, cooperative, attività professionali organizzate che trattano
grandi quantità di dati, è necessaria una consulenza specifica.
DISCLAIMER
Noioso e in caratteri piccoli, ma ti
tocca!
10. Il GDPR investe di grande RESPONSABILITA' chi tratta dati di
terzi. Tutti i dati devono essere gestiti in maniera congrua,
massimizzando già alla base privacy e sicurezza degli stessi
("privacy by design and by default"). Inoltre, dobbiamo garantire
TRASPARENZA e DOCUMENTABILITA' al processo.
Il modo in cui li trattiamo parte da un'analisi dei rischi e dei
motivi/modi per cui li trattiamo, da misure informative e
tecniche, e da documentazione chiara di quello che facciamo.
E' necessario avere consensi o base legale per trattare i dati, che
devono essere usati solo per lo scopo per cui si sono ottenuti; il
soggetto cui si riferiscono deve essere informato chiaramente, e
ha una serie di diritti importanti.
GDPR
Concetti chiave
11. A differenza di altre normative tecniche,
la GDPR riconosce molta responsabilità ed
autonomia a chi gestisce i dati
nell'analizzare, definire e attuare gli
interventi più appropriati (pur all’interno
di alcuni principi generali).
Non è quindi un «ricettario» tecnico
dettagliato, ma un insieme di prassi da
adattare alla propria specifica situazione!
ACCOUNTABILITY
Concetti chiave
12. Titolare: E' quello che decide come gestire i dati a lui
affidati, ed ha la responsabilità di tutto quello che
succede. Sei un libero professionista? In pratica, sei tu!
Responsabile: E' la figura cui si delega la gestione dei dati
sul piano pratico. In caso di libero professionista
individuale senza personale di supporto, di solito non
serve - nel senso che le funzioni sono quelle Titolare (sei
sempre tu).
DPO - Data Protection Officer: una figura professionale
che deve essere nominata in caso di trattamento dati su
larga scala. Per la gran parte dei liberi professionisti
individuali o in studio associato NON SERVE.
ALCUNE DEFINIZIONI
La facciamo semplice, rinviando alla
normativa per gli approfondimenti
13. Dati personal i : " Qual si asi i nf or mazi one r i guar dante una
per sona f i si ca i denti f i cata o i denti f i cabi l e ( «i nteressato») ( …) . "
Dal nome al l ' i ndi r i zzo, dal l a mai l al l a data di nasci ta.
Dati sensi bi l i : Le i nf ormazi oni rel ati ve al l a Sal ute sono un
esempi o f ondamental e; e basta questo per evi denzi are come
l a gr an par te del l e i nf or mazi oni che tratti amo da psi col ogi vi
r i entr ano. Godono i nol tre di parti col are tutel a l e
i nf ormazi oni rel ati ve ai Mi nori .
Trattamento dei dati: " Qual si asi oper azi one ( …) , come l a
r accol ta, l a r egi str azi one, l ' or gani zzazi one, l a strutturazi one,
l a conser vazi one, l ' adattamento o l a modi f i ca ( . . . ) l ' uso, l a
comuni cazi one ( . . . ) , l a cancel l azi one o l a di struzi one" – i n
prati ca, TUTTO quel l o che f ai con dati personal i di terzi !
ALCUNE DEFINIZIONI
La facciamo semplice, rinviando alla
normativa per gli approfondimenti
14. Il GDPR prevede i concetti di "Privacy by Design" e
"Privacy by Default": è un modo di incorporare fin
dall'inizio la "logica e mentalità della privacy" nel modo in
cui chiediamo e gestiamo i dati.
By Design: L'impostazione di software, registri, procedure
deve essere fatta sulla base della massimizzazione della
privacy. Non è un "di più", deve essere proprio la logica di
base.
By Default: nell'attività ordinaria (gestione dati, archivi,
etc.), "chiedi meno dati possibile". Il dato che stai
chiedendo serve veramente?
Privacy by design / by
default
15. Il trattamento deve sempre essere
"legittimato".
Per noi è legittimo se si basa su consenso
esplicito (non vale il silenzio-assenso) e
specifico (per uno scopo chiaro).
Sono possibili altre basi legali, ma rilevano
meno per l'attività libero professionale di
psicologo (obblighi di legge, interesse
pubblico, interessi vitali, etc.).
LEGITTIMITA' DEL
TRATTAMENTO
16. Importante Novità!
ll GDPR prevede che sia definito per quanto tempo
tratteremo i dati!
Normalmente, per i dati ad uso professionale psicologico
(relazioni diagnostiche, cartelle cliniche, etc.) si può
considerare una legittimità dei tempi di trattamento
conservativo come previsto dal CD (art.17), ovvero 5 anni
dopo il termine della prestazione.
E' possibile conservare più a lungo i dati (ad es. a scopo
legale, peritale, etc.) - e sempre in maniera sicura -
informandone però nell'Informativa/Consenso i soggetti!
DURATA DEL
TRATTAMENTO
17. C - Confidentiality: i dati che gestisco sono "protetti da
occhi indiscreti"? Può accedervi solo chi ne ha diritto?
Come li proteggo da accessi impropri? E' chiaro che per
uno psicologo questo è il rischio principale.
I - Integrity: i dati che gestisco sono protetti da modifiche
improprie? Sono protetti da cambiamenti non autorizzati
fatti da terzi?
A- Availability: i dati che gestisco, sono sempre
accessibili in caso di necessità? Sono recuperabili in caso
di danno, cancellazione accidentale, smarrimento di
penne USB?
I PRINCIPI DELLA
SICUREZZA:
C-I-A
18. ...Sei logorroico. Vorremmo
semplicemente un elenco di cose
pratiche che dobbiamo fare.
Possibilmente semplice.
Possibilmente veloce.
Possibilmente chiaro.
E senza gatti, che non ci piacciono.
…
Tutto bello ma....
20. Devi iniziare a capire "che dati tratti", e
"perché".
Devi chiarire "come lo fai", e con che strumenti.
Devi decidere che "misure di protezione ci
metti intorno"- e mettergliele.
Devi capire cosa fare se "qualcosa va storto".
Devi informare chiaramente i soggetti
coinvolti, ed ottenere il loro consenso.
Devi documentare il tutto.
In pratica:
22. Che dati tratto? Di chi? A che scopo? (legittimità e
basi legali).
Quali sono i rischi potenziali?
Che conseguenze negative possono avere per le
persone in questione?
Quale è il ciclo di trattamento?
Che fasi prevede, e che strumenti uso per farlo?
Insomma, devi "mappare" i dati. Puoi farlo con o
senza la DPIA (che spieghiamo fra poche slides);
farlo con è più lungo, ma più completo e strutturato.
VALUTAZIONE
23. Su un foglio, rappresentati il flusso dei dati personali e
sensibili che gestisci
A -Da dove provengono? Appunti? Relazioni e referti
diagnostici? Colloqui? Risultati di test online?
B - Cosa te ne fai? Chi vi accede? E dove li metti alla fine?
Li trascrivi solo a mano? Al computer? Li inoltri su un
Cloud? Li metti in relazioni che vedono altri professionisti?
Ogni step deve essere tracciato!
Lo so, sembra una noia. Ma se provate a pensarci, in pochi
minuti avrete una "mappa" che sarà utilissima, perché vi
farà pensare a tutti i punti critici di passaggi che magari
date per scontati o banali!
Ma come li mappo?
24. Che strumenti tecnici usi per gestire i dati?
Solo carta e penna? Software di scoring dei risultati? Usi
un computer con Office per la scrittura o la raccolta dati?
Poi usi Servizi Cloud per conservazione dati, o per la
somministrazione/raccolta di questionari online?
Ecco, sono tutti i passaggi da mettere nero su bianco;
vanno segnati tutti, rappresentandosi "come i dati
fluiscono attraverso questi passaggi", e quali sono i rischi
relativi.
LA DPIA, anche se non obbligatoria, è comoda per farlo!
Mappatura degli
strumenti
25. Devi ora valutare "probabilità e gravità" dei vari rischi:
Rischi di Confidenzialità, ovvero accesso improprio
(terzi che accedono alle tue email con i pazienti, agli
archivi di cartelle cliniche, perizie o relazioni
diagnostiche, ai files sul computer relativi a pazienti o
sedute, etc.).
Inutile dire che questi sono i rischi principali quando si
tratta materiali clinici!
Rischi di Integrità / Accessibilità sono presenti in
misura di solito minore (ad es., terzi che accedono ai
nostri files per modificarli, o perdita di tutti gli archivi
clinici senza backup); è però necessario considerarli.
Quali rischi per i
dati?
26. Le conseguenze di tali rischi quali sono? Dobbiamo
considerarle attentamente nella DPIA e/o Registro dei
Trattamenti (vedi dopo).
Dobbiamo ad esempio considerare l'impatto che la
divulgazione impropria (dolosa, o accidentale) di
determinate informazioni può avere per la persona.
Ad esempio, nel caso di attività clinica l'accesso improprio
o diffusione dei contenuti di cartelle cliniche, con
diagnosi o dettagli su dinamiche famigliari, etc., può
rappresentare un "rischio grave" per la persona: come
Titolari di trattamento siamo tenuti a mettere in atto
tutte le misure di sicurezza possibili!
Rischi e
conseguenze
27. Il Registro dei Trattamenti riassume il modo in cui
gestisci i vari tipi di dati, con relative finalità e
modalità.
E' da compilare e conservare, aggiornandolo ad ogni
cambio di procedure!
Regola generale: conservare sempre tutte le
documentazioni di informativa, consensi firmati,
registri dei trattamenti, eventuale DPIA. In caso di
controllo devono essere sempre pronti e aggiornati!
Compila il form in fondo all'articolo e i template di
consenso informato e registro dei trattamenti!
Il Registro dei
Trattamenti
29. LA DPIA è una valutazione articolata delle procedure in
atto e dell'impatto potenziale di rischi e relative misure di
sicurezza. E' un documento un po' lungo.
Se è vero che il singolo libero professionista che non
tratta grandi quantità di dati non è tenuto alla DPIA, gli
psicologi trattano comunque di solito «dati sensibili» (e
questo invece implica un'indicazione alla DPIA).
Preparare una sintetica DPIA è comunque una prassi
utilissima, sia per analizzare bene il tipo di elaborazioni
che facciamo, sia come «check-list» che ti aiuti a mettere
in atto adeguati comportamenti di protezione dei dati!
DPIA
Valutazione d'impatto
30. Il Garante Francese (CNIL) ha messo a disposizione una
versione multilingue di un comodissimo software per la
predisposizione della DPIA, che accompagna passo passo
nella sua compilazione!
Lo trovate qui:
https://github.com/LINCnil/pia-
app/releases/download/1.6.0/PIA-Setup-1.6.0.exe
Abbiamo predisposto un documento apposito, che
comprende già dei «testi-pilota» per le esigenze medie
degli psicologi (in particolare di ambito clinico).
La bozza "per psicologi" la trovate qui: (link).
TEMPLATE DPIA by
CNIL
31. I N T R O D U C T I O N
Cosa è?
Qualunque violazione dei dati secondo i principi CIA!
Ho un "data breach" se perdo la penna USB con sopra le cartelle
cliniche; e se non erano crittografate, è un breach grave.
Ho un data breach se non ho antivirus, e il mio pc con le cartelle
cliniche viene violato da uno spyware.
Ho un data breach se mi entrano i ladri in casa, e mi trovo l'armadio
con i dati dei pazienti spalancato.
Come la prevengo?
Con le misure di sicurezza per CIA, e prestando la massima
attenzione alla sicurezza e privacy dei dati, gestendo in maniera
responsabile agende, penne USB, archivi cartacei, computer,
smartphone…
DATA-BREACH
32. I N T R O D U C T I O N
Cosa si fa? In caso di violazione grave, che può compromettere i loro
interessi, devi informarne subito gli interessati (i tuoi clienti) e l'Autorità -
Garante della Privacy (entro 72 ore).
Attenzione: NON devi informare se hai posto rimedio /risolto con la certezza
che non vi siano conseguenze (ad es. era tutto crittografato), o in casi di
chiara sproprorzione.
Esempio 1: perdo la penna USB con il file
"Segretisegretissimideimieipazienti.txt"; la cerco ovunque; mi dispero; poi la
trovo dietro la scrivania dell'ufficio in cui entro solo io, dove era scivolata - in
questo caso non devo avvisare nessuno (ma devo cifrare il file).
Esempio 2: Il mio PC senza antivirus e senza firewall rimane infettato da un
malware che riversa i miei dati sul Dark Web, dove vengono commercializzati
in nero dall'Associazione Nemici degli Psicologi. Non avevo neanche cifrato la
directory "Cartelle Cliniche e Perizie Delicate". Devo avvisare i pazienti, e
l'Autorità. E prepararmi alle conseguenze (se non li avviso, sia chiaro, è molto
peggio).
DATA-BREACH 2
33. I N T R O D U C T I O N
Vediamo ora cosa fare, tecnicamente, per
mettere in sicurezza i dati sensibili su
supporto informatico (computer,
smartphone, cloud…).
Non ti preoccupare se sembrano cose
complicate: in realtà non lo sono, e la loro
applicazione permette di costruire il profilo
di sicurezza necessario!
MISURE DI
SICUREZZA
34. I N T R O D U C T I O NIl concetto è
questo...
35. I N T R O D U C T I O N
E' fondamentale usare una buona "password policy", in particolare
per le password "critiche" (cifratura cartelle cliniche e con dati
sensibili, password manager, accesso alla posta elettronica).
Questo significa, in sintesi:
A - "La lunghezza conta, sempre": è il punto più importante in
assoluto. NON usare mai password sotto gli 8-10 caratteri (possono
essere forzate facilmente con appositi programmi a "forza bruta").
B - "La password è come un fazzoletto usato: non si scambia con
altri": NON usare la stessa password per due o più servizi critici (ad
es., posta e crittografia). E NON scriverla mai in chiaro sul
computer, o in una mail nella tua mailbox!
PASSWORD/1
36. I N T R O D U C T I O N
C - "La password è come un abbordaggio: non deve mai essere
banale": nome.cognome, 12345, psicologia, password, la propria
data di nascita, il nome della moglie o del gatto: NO (possono
essere violate per tentativi o con attacchi "a dizionario").
Usa invece combinazioni semicasuali di lettere, numeri e simboli.
Lunghe combinazioni, the longer the better!
Puoi anche usare un Password Manager, che ti semplifica molto la
gestione; mantiene in maniera crittografata tutte le password che
usi tra diversi programmi.
Tra i più diffusi e sicuri, LastPass e KeePass.
Ovviamente li dovrai proteggere con una password molto forte!
PASSWORD/2
37. I N T R O D U C T I O N
Senza antivirus, rischi di avere il tuo sistema violato da virus e
malware, che mettono in grave pericolo i dati.
Usa un antivirus di qualità (ve ne sono di buoni anche freeware per
le funzioni di base, come AVG o AVAST).
Nota: Windows Defender antivirus è preinstallato in Win10!
REGOLE:
Aggiornare le definizioni dell'antivirus almeno ogni 24 ore.
Tenere sempre attiva la scansione real-time.
Impostare le "euristiche" (=regole di riconoscimento files sospetti)
su alta/massima sensibilità.
CONTROLLARE ogni singolo file ricevuto come allegato via posta o
scaricato da internet, prima di aprirlo! Idem per le penne USB:
"niente chiavette dagli sconosciuti" è una regola sempre valida.
ANTIVIRUS
ANTIMALWARE
38. I N T R O D U C T I O N
Il Firewall è il software che impedisce "flussi di dati" non
autorizzati tra il vostro computer e le reti esterne, filtrandoli in
entrata ed uscita. Ogni programma / app deve essere quindi
"autorizzato" per poter comunicare con l'esterno.
E' fondamentale per evitare attacchi, e limitare perdite di dati
dovuti a malware e intrusioni.
Esistono diverse offerte professionali, ma tutti i computer Windows
recenti dispongono di Windows Defender pre-installato, che va
bene come funzione di base.
Se non sapete cosa/come fare, lasciatelo semplicemente sempre
attivo, e sciagura a voi se provate a disattivarlo / disinstallarlo o a
ridurre la rigorosità delle regole di default.
FIREWALL
39. I N T R O D U C T I O N
Questo è un punto fondamentale per gli Psicologi!
Crittografare un file o directory significa renderlo di fatto illeggibile
a chi non conosce la password. NON è sufficiente usare la password di
lettura di Word o Excel!
E' fondamentale crittografare i dati sensibili (cartelle cliniche,
perizie, relazioni diagnostiche, appunti di sedute) che conservi sul
computer, laptop e smartphone o che carichi in cloud (Dropbox,
Gdrive).
In questo modo, anche in caso di smarrimento o accesso improprio,
sarà impossibile leggere il documento, ed accedere ai dati dei
pazienti/clienti.
CRITTOGRAFIA
40. I N T R O D U C T I O N
Una buona crittografia richiede un algoritmo
sicuro ben implementato e una password forte
(=lunga e non facilmente individuabile).
Esistono diversi algoritmi sicuri: il più usato
attualmente è l'AES-128 o 256, implementato in
molti programmi.
Per crittografare documenti, usa sempre password
diverse da quelle che usi per l'accesso alla
posta/cloud: in questo modo, anche se vi è un
accesso improprio al servizio online, i dati
rimangono illeggibili.
CRITTOGRAFIA
41. I N T R O D U C T I O N
Via impegnativa: scarica VeraCrypt
(https://www.veracrypt.fr/en/Home.html) e segui le istruzioni per
crittografare una directory o disco virtuale "sicuro" sul tuo
computer. Serve un minimo di confidenza informatica.
Via easy: scarica il compressore 7zip (https://www.7-zip.org/), e
comprimi in formato crittografato i files sensibili (lo si seleziona
dalla finestra delle opzioni di compressione, sulla destra). Puoi così
crittografare e decrittare anche intere directories, spostare
facilmente i files cifrati su supporti di backup (penne USB, HD
esterni) e inviarli cifrati come allegati alle email (usando però un
canale diverso per comunicare la password relativa!).
Alternativa: un altro ottimo programma free per cifrare files con
semplicità è AxCrypt (https://www.axcrypt.net/it/).
Come
crittografare
42. I N T R O D U C T I O N
E' necessario (ed è pratica intelligente, e noi da psicologi
siamo intelligenti - vero?) fare delle copie (backup) regolari
dei propri files di lavoro, in caso di perdita, cancellazione
accidentale, gatto rivendicativo che usa come lettiera il
vostro portatile.
I backup relativi ai dati personali/sensibili di pazienti e
clienti devono essere fatti in modalità *crittografata* e
messi su HD esterno/USB sticks che vengono poi conservati
in maniera sicura (armadio chiuso a chiave, etc.).
NON fare ovviamente copie in chiaro su HD esterni o penne
USB che poi lasci in giro!
BACKUP
REGOLARI
43. I N T R O D U C T I O NSmartphone: l'hai
dimenticato?
44. I N T R O D U C T I O N
Quasi sicuramente avrai sullo smartphone una rubrica telefonica con i
numeri e nomi dei pazienti. Quasi sicuramente scambierete email o WA
con i pazienti, accedendovi in automatico (gmail, etc.).
DEVI quindi fare 3 cose:
Attivare il PIN di accesso, e che non sia banale (non 1234)!
Attivare la Crittografia dello smartphone (di default su alcuni modelli,
o attivando l'opzione nelle Impostazioni di sicurezza)
Usa una App Antivirus (Avast e AVG sono gratuite).
Valuta se mascherare i contatti in rubrica dei pazienti (solo il nome,
solo le iniziali, etc.) o se mescolarli in maniera non riconoscibile a quelli
di amici e colleghi.
Ricorda che smarrire uno smartphone non protetto significa lasciare in
giro tutta la tua vita digitale, con i dati accessibili direttamente dallo
stesso (account posta, rubrica, messaggi, contatti WA e Skype, etc.)!
Smartphone
45. I N T R O D U C T I O N
Ricordi quel discorso per cui è opportuno avere le cartelle
cliniche e i dati dei pazienti sempre sotto chiave? Ecco,
ricordiamocelo, e smettiamola di lasciare in giro agendine e
cartelle sulle scrivanie!
Soprattutto in caso di studi condivisi, le cartelle cliniche
sono da conservare con grande attenzione ed in maniera
non accessibile a terzi (armadio o cassettiera di sicurezza,
ufficio chiuso a chiave, etc.).
Nell'armadio chiuso a chiave vanno anche agende, rubriche
e copie dei consensi: tutta la documentazione che riporta
dati sensibili (il solo fatto che una persona vada dallo
psicologo è già potenzialmente dato sensibile).
SICUREZZA
FISICA
46. I N T R O D U C T I O N
Pseudonimizzare significa rendere scisso il dato dal soggetto a cui
fa riferimento: ad esempio, un protocollo Rorschach che viene
compilato senza nomi, ma solo un codice numerico o una sigla.
Conserverai a parte la corrispondenza tra codici e nominativi;
ovviamente quel file dovrà essere crittografato e custodito con cura
(evitando magari di metterlo sul desktop come:
"Tuttiinomideipazienticonilorocodicisegretissimi.txt", o di
portarselo nell'Agendina dell'Ordine con tutti i numeri dei pazienti
e il loro codice accanto).
Dobbiamo sempre più prendere l'abitudine di
mascherare/pseudonimizzare le nostre cartelle cliniche, i nomi dei
files più delicati, gli esiti diagnostici, i files con appunti relativi a
sedute, i files delle perizie, etc.
Pseudonominizzare
48. I N T R O D U C T I O N
Consenso con informativa privacy aggiornata
Il Consenso deve essere espresso in maniera
esplicita e per iscritto per il trattamento dei dati,
ed accompagnato da una informativa privacy
aggiornata al GDPR.
Ricorda che il Consenso deve essere esplicito (non
lo si può mai considerare implicito), e la sua
mancanza fa venire meno la base giuridica con cui
trattate i dati della persona (tranne casi speciali)!
ADEMPIMENTI
INFORMATIVI
49. I N T R O D U C T I O N
Tutta la parte di Informativa sulla Privacy deve essere
aggiornata al GDPR, e fornita al cliente al primo incontro.
L'Informativa deve essere CHIARA, SINTETICA E
COMPRENSIBILE!
Il cliente deve sapere come esercitare facilmente i suoi
diritti (accesso ai dati, modifica/cancellazione, diritto di
opposizione…).
Il Consenso conseguente deve tassativamente essere
firmato dal cliente (o da entrambi i genitori in caso di
minorenne).
NON fare niente con nessuno senza Consenso validamente
firmato. NIENTE. Sennò rimpiangerai Voldemort!
Informativa e
consensi
50. I N T R O D U C T I O NSei ancora lì?
Ultime cose...
51. I N T R O D U C T I O N
Per inviare newsletter o proposte informative massive,
dovete avere il consenso esplicito dei riceventi all'uso della
loro email a tale scopo.
Questo può essere confermato, per gli indirizzari già
esistenti, alla prima email utile che invii.
Ogni email - anche se abbiamo avuto il consenso -dovrà
comunque riportare email/contatti per l'Opt-Out
(possibilità di eliminarsi dal nostro indirizzario), cui si deve
dare seguito immediato.
NON si possono raccogliere email in maniera "generica" o
automatica senza autorizzazione, per poi usarle per scopi di
marketing senza consenso esplicito dell'interessato.
MARKETING
52. I N T R O D U C T I O N
I dati relativi a minori sono considerati
sensibili, e godono di tutela speciale.
Il consenso al trattamento è previsto dal
GDPR dai 16 anni - ma attenzione, questo
vale solo per l'aspetto "trattamento dei
dati": noi psicologi dobbiamo comunque
chiedere il Consenso a entrambi i genitori
per l'intervento psicologico per tutti i
minori di 18 anni. SEMPRE.
MINORENNI
53. I N T R O D U C T I O N
Il conferimento di dati e fatture al
commercialista, o altro professionista, per loro
successiva elaborazione (ad es. legale o
fiscale) richiederebbe la nomina a
Responsabile, che è un atto formale ed
esplicito.
Loro ne risponderanno per la loro parte di
responsabilità tecnico-gestionale, ma sempre
nei termini dell'incarico che gli avete affidato.
Conferimento
dati a terzi
54. I N T R O D U C T I O N
È il professionista esterno, specializzato in protezione
dei dati e conformità dei trattamenti, cui ci si deve
rivolgere obbligatoriamente in alcuni casi previsti dal
GDPR.
Il singolo libero professionista (anche se lavora in
studio associato, o è convenzionato con il SSN/SSR)
NON necessita di DPO!
Se invece avete un centro clinico/cooperativa/società
che tratta regolarmente dati sensibili, può essere
opportuno o necessario averlo, in base al tipo di dati
e trattamenti svolti.
Data protection
officer (DPO)
56. I N T R O D U C T I O N
Il GDPR prevede SANZIONI MOLTO PESANTI per chi non
rispetta le misure di sicurezza o gestisce in maniera
inadeguata i dati. E non si scherza!
Per le grandi aziende si parla di sanzioni fino al 4% del
fatturato, o molti milioni di euro.
Il Garante ha già comunicato che le verifiche ci saranno, ed
inizieranno già nel primo periodo di applicazione del GDPR,
anche se non sono ancora definiti i criteri di
determinazione delle sanzioni in Italia.
I professionisti sanitari, trattando dati sensibili, dovranno
considerarsi a forte probabilità di controlli e verifiche!
Sanzioni
57. I N T R O D U C T I O N
Con il GDPR si inizia ad essere consapevoli di che
dati gestiamo, del perché e del come lo facciamo,
e di come li proteggiamo dai rischi.
La miniguida sarà aggiornata e ampliata
regolarmente, perché diversi aspetti sono ancora
"in interpretazione", e il primo periodo applicativo
sarà essenziale per "prenderne le misure".
Se hai segnalazioni, domande, ambiti che vorreste
veder affrontati, vieni sul gruppo FB Diventare
Psicologo!
Per finire... o per
iniziare...
58. I N T R O D U C T I O N
In primo luogo, questa presentazione!
Compilando il modulo in fondo all'articolo trovi:
Bozza di Modulo di Consenso con Informativa
Trattamento Dati aggiornata al GDPR
Bozza di Registro di Trattamento in xls
Nei prossimi giorni aggiungeremo:
Template della DPIA in Italiano, con testi - traccia
per psicologi
Tool per la verifica di conformità del proprio
sito/blog (link)
Risorse dell'InfoPack
GDPR (by DP/AP)
59. I N T R O D U C T I O N
Sito del Garante: www.garanteprivacy.it
Garante Francese: www.cnil.fr
Tabella di riassunto degli obblighi:
http://www.altalex.com/documents/news/20
17/03/10/privacy-e-regolamento-ue-la-
tabella-degli-obblighi-e-degli-adempimenti-
del-titolare
Altre Risorse
60. I N T R O D U C T I O N
www.altrapsicologia.it