SlideShare uma empresa Scribd logo

GDPR: guida pratica per psicologi

Ada Moscarella
Ada Moscarella

La guida pratica all'adeguamento GDPR per gli psicologi italiani

Negócios
1 de 60
Baixar para ler offline
V E R S I O N E 1 . 0 GDPR G U I D A P R A T I C A P E R G L I P S I C O L O G I : A C U R A D I L U C A P E Z Z U L L O
P R E S E N T A N O LA GUIDA PRATICA E SEMPLICE PER ESSERE FELICE NONOSTANTE IL GDPR, E PROTEGGERE TE ED I TUOI CLIENTI (E CI SONO ANCHE FOTO DI GATTINI PUCCIOSI!). VERSIONE 1.1 – 23/5/2018 (AGGIORNAMENTI IN PROGRESS)
I L G D P R È A R R I V A T O ! Hai già la mailbox piena di incomprensibili spiegazioni burocratiche, così come di meravigliose offerte di "consulenti" privati che – per cifre consistenti – ti offrono di "metterti a norma".... Non capisci la burocrazia, e quando la "Premiata Ditta Gatto e Volpe" ti chiede 1000 euro per "metterti a norma" riempiendoti di sigle esotiche, ti spaventi.... Temi la "Death by Bureaucracy", e sei convinto che il GDPR ha il solo scopo di toglierti anche la residua felicità che hai dopo aver pagato la quota dell'Ordine. Fermati. Rilassati. NO PANIC. C'è AltraPsicologia! "SEI NON FAI IL BRAVO, VIENE IL GDPR E TI PORTA VIA!" (Cit., Nonna di psicologo, 2018)
Un "fantasma" si aggira in queste settimane per l'Europa, anche se è ancora sconosciuto ai più: si chiama GDPR, ed è il nuovo Regolamento generale per la protezione dei Dati Personali della UE, approvato da due anni e che entrerà in vigore in tutto il continente dal 25 maggio 2018. E' definito dalla Commissione Europea come "il più grande cambiamento nella protezione dei dati degli ultimi due decenni", e impatterà in tutte le attività - online ed offline - che rilevano per la privacy e il trattamento dei dati.  In Italia abbiamo già una normativa rigorosa per la privacy, e quindi l'adattamento sarà più semplice rispetto ad altri paesi; ma avremo lo stesso da cambiare alcune cose nella nostra pratica quotidiana! GDPR Cos'è e cosa cambia davvero per gli psicologi
Per gli Psicologi, ci saranno importanti implicazioni: in primo luogo, ci occupiamo spesso di cosiddetti "dati sensibili" (quelli relativi a salute, orientamento sessuale, dati relativi a minori, etc.), che godono di particolare protezione e richiedono particolari procedure per essere trattati; ma anche solo per fare un "banale" marketing via email saranno necessari adattamenti. La normativa è lunga, complessa e "impegnativa", anche in termini di sanzioni (molto alte) che accompagneranno la sua applicazione: non pensiamo di "far finta di niente"! Il Garante per la Privacy è il primo riferimento ufficiale in merito, e siamo tutti tenuti a dare un'occhiata al suo sito. GDPR Cos'è e cosa cambia davvero per gli psicologi
I N T R O D U C T I O N Il GDPR non è burocrazia (non solo, almeno). Il GDPR significa PROTEGGERE LE STORIE  PIU' DELICATE E DOLOROSE DELLE PERSONE CHE CE LE AFFIDANO CON FIDUCIA. Come tale, leggi questa guida come un "invito a proteggere e prenderti cura", immaginando come vorresti che qualcuno protegga i segreti più intimi e drammatici della tua vita…  E' una responsabilità etica e deontologica, oltre che legale! UN APPELLO  (SERIO)
Quanto segue è un’introduzione informale, pratica e semplice al tema del GDPR. Come esposizione introduttiva non ha pretese di esaustività, ufficialità né implica alcuna garanzia di correttezza dei contenuti o rispetto alle conseguenze della loro applicazione.  AP, DP e l'autore non si assumono alcuna responsabilità diretta o indiretta in merito alle informazioni,al loro uso ed alle relative conseguenze. Zero proprio, è tutto a tuo totale, tragico, esclusivo rischio e pericolo (come tutto, nella vita. Che tanto poi finisce presto, quindi stai comunque sereno). Essendovi nelle operazioni legate al GDPR rilevanti implicazioni legali, si invita a fare diretto riferimento alla normativa originale, al sito del Garante per la Privacy e, in base alle proprie necessità, a consulenti tecnici e legali esperti di settore.  Tieni inoltre conto che alcuni aspetti deliberativi sono ancora "in progress" o sono soggetti a possibile interpretazione.  Lo stile espositivo che si è scelto è volutamente semplice, leggero e molto informale: non è la trattazione burocratica e tecnica della normativa – cui, come anche al Garante per la Privacy, rinviamo per ogni approfondimento ufficiale. Il target dell'esposizione è il singolo Psicologo Libero Professionista "ordinario". In caso di società, aziende, cooperative, attività professionali organizzate che trattano grandi quantità di dati, è necessaria una consulenza specifica. DISCLAIMER Noioso e in caratteri piccoli, ma ti tocca!
ECCO DAVVERO IL GDPR Dai, ti fa paura?
Il GDPR investe di grande RESPONSABILITA' chi tratta dati di terzi. Tutti i dati devono essere gestiti in maniera congrua, massimizzando già alla base privacy e sicurezza degli stessi ("privacy by design and by default"). Inoltre, dobbiamo garantire TRASPARENZA  e DOCUMENTABILITA' al processo. Il modo in cui li trattiamo parte da un'analisi dei rischi e dei motivi/modi per cui li trattiamo, da misure informative e tecniche, e da documentazione chiara di quello che facciamo. E' necessario avere consensi o base legale per trattare i dati, che devono essere usati solo per lo scopo per cui si sono ottenuti; il soggetto cui si riferiscono deve essere informato chiaramente, e ha una serie di diritti importanti. GDPR Concetti chiave
A differenza di altre normative tecniche, la GDPR riconosce molta responsabilità ed autonomia a chi gestisce i dati nell'analizzare, definire e attuare gli interventi più appropriati (pur all’interno di alcuni principi generali).  Non è quindi un «ricettario» tecnico dettagliato, ma un insieme di prassi da adattare alla propria specifica situazione! ACCOUNTABILITY Concetti chiave
Titolare: E' quello che decide come gestire i dati a lui affidati, ed ha la responsabilità di tutto quello che succede. Sei un libero professionista? In pratica, sei tu! Responsabile: E' la figura cui si delega la gestione dei dati sul piano pratico. In caso di libero professionista individuale senza personale di supporto, di solito non serve - nel senso che le funzioni sono quelle Titolare (sei sempre tu). DPO - Data Protection Officer: una figura professionale che deve essere nominata in caso di trattamento dati su larga scala. Per la gran parte dei liberi professionisti individuali o in studio associato NON SERVE. ALCUNE DEFINIZIONI La facciamo semplice, rinviando alla normativa per gli approfondimenti
Dati personal i : " Qual si asi i nf or mazi one r i guar dante una per sona f i si ca i denti f i cata o i denti f i cabi l e ( «i nteressato») ( …) . " Dal nome al l ' i ndi r i zzo, dal l a mai l al l a data di nasci ta. Dati sensi bi l i : Le i nf ormazi oni rel ati ve al l a Sal ute sono un esempi o f ondamental e; e basta questo per evi denzi are come l a gr an par te del l e i nf or mazi oni che tratti amo da psi col ogi vi r i entr ano. Godono i nol tre di parti col are tutel a l e i nf ormazi oni rel ati ve ai Mi nori . Trattamento dei dati: " Qual si asi oper azi one ( …) , come l a r accol ta, l a r egi str azi one, l ' or gani zzazi one, l a strutturazi one, l a conser vazi one, l ' adattamento o l a modi f i ca ( . . . ) l ' uso, l a comuni cazi one ( . . . ) , l a cancel l azi one o l a di struzi one" – i n prati ca, TUTTO quel l o che f ai con dati personal i di terzi ! ALCUNE DEFINIZIONI La facciamo semplice, rinviando alla normativa per gli approfondimenti
Il GDPR prevede i concetti di "Privacy by Design" e "Privacy by Default": è un modo di incorporare fin dall'inizio la "logica e mentalità della privacy" nel modo in cui chiediamo e gestiamo i dati. By Design: L'impostazione di software, registri, procedure deve essere fatta sulla base della massimizzazione della privacy. Non è un "di più", deve essere proprio la logica di base. By Default: nell'attività ordinaria (gestione dati, archivi, etc.), "chiedi meno dati possibile". Il dato che stai chiedendo serve veramente?  Privacy by design / by default
Il trattamento deve sempre essere "legittimato". Per noi è legittimo se si basa su consenso esplicito (non vale il silenzio-assenso) e specifico (per uno scopo chiaro). Sono possibili altre basi legali, ma rilevano meno per l'attività libero professionale di psicologo (obblighi di legge, interesse pubblico, interessi vitali, etc.). LEGITTIMITA' DEL TRATTAMENTO
Importante Novità! ll GDPR prevede che sia definito per quanto tempo tratteremo i dati! Normalmente, per i dati ad uso professionale psicologico (relazioni diagnostiche, cartelle cliniche, etc.) si può considerare una legittimità dei tempi di trattamento conservativo come previsto dal CD (art.17), ovvero 5 anni dopo il termine della prestazione.  E' possibile conservare più a lungo i dati (ad es. a scopo legale, peritale, etc.) - e sempre in maniera sicura - informandone però nell'Informativa/Consenso i soggetti! DURATA DEL TRATTAMENTO
C - Confidentiality: i dati che gestisco sono "protetti da occhi indiscreti"? Può accedervi solo chi ne ha diritto? Come li proteggo da accessi impropri? E' chiaro che per uno psicologo questo è il rischio principale. I - Integrity: i dati che gestisco sono protetti da modifiche improprie? Sono protetti da cambiamenti non autorizzati fatti da terzi? A- Availability: i dati che gestisco, sono sempre accessibili in caso di necessità? Sono recuperabili in caso di danno, cancellazione accidentale, smarrimento di penne USB? I PRINCIPI DELLA SICUREZZA: C-I-A
...Sei logorroico. Vorremmo semplicemente un elenco di cose pratiche che dobbiamo fare. Possibilmente semplice. Possibilmente veloce. Possibilmente chiaro. E senza gatti, che non ci piacciono. … Tutto bello ma....
Ok...
Devi iniziare a capire "che dati tratti", e "perché". Devi chiarire "come lo fai", e con che strumenti. Devi decidere che "misure di protezione ci metti intorno"- e mettergliele. Devi capire cosa fare se "qualcosa va storto". Devi informare chiaramente i soggetti coinvolti, ed ottenere il loro consenso. Devi documentare il tutto. In pratica:
Il ciclo operativo (si parte da Discovery)
Che dati tratto? Di chi? A che scopo? (legittimità e basi legali).   Quali sono i rischi potenziali?  Che conseguenze negative possono avere per le persone in questione? Quale è il ciclo di trattamento?  Che fasi prevede, e che strumenti uso per farlo? Insomma, devi "mappare" i dati. Puoi farlo con o senza la DPIA (che spieghiamo fra poche slides); farlo con è più lungo, ma più completo e strutturato. VALUTAZIONE
Su un foglio, rappresentati il flusso dei dati personali e sensibili che gestisci A -Da dove provengono? Appunti? Relazioni e referti diagnostici? Colloqui? Risultati di test online? B - Cosa te ne fai? Chi vi accede? E dove li metti alla fine? Li trascrivi solo a mano? Al computer? Li inoltri su un Cloud? Li metti in relazioni che vedono altri professionisti? Ogni step deve essere tracciato! Lo so, sembra una noia. Ma se provate a pensarci, in pochi minuti avrete una "mappa" che sarà utilissima, perché vi farà pensare a tutti i punti critici di passaggi che magari date per scontati o banali! Ma come li mappo?
Che strumenti tecnici usi per gestire i dati? Solo carta e penna? Software di scoring dei risultati? Usi un computer con Office per la scrittura o la raccolta dati? Poi usi Servizi Cloud per conservazione dati, o per la somministrazione/raccolta di questionari online? Ecco, sono tutti i passaggi da mettere nero su bianco; vanno segnati tutti, rappresentandosi "come i dati fluiscono attraverso questi passaggi", e quali sono i rischi relativi.  LA DPIA, anche se non obbligatoria, è comoda per farlo! Mappatura degli strumenti
Devi ora valutare "probabilità e gravità" dei vari rischi: Rischi di Confidenzialità, ovvero accesso improprio (terzi che accedono alle tue email con i pazienti, agli archivi di cartelle cliniche, perizie o relazioni diagnostiche, ai files sul computer relativi a pazienti o sedute, etc.). Inutile dire che questi sono i rischi principali quando si tratta materiali clinici! Rischi di Integrità / Accessibilità sono presenti in misura di solito minore (ad es., terzi che accedono ai nostri files per modificarli, o perdita di tutti gli archivi clinici senza backup); è però necessario considerarli. Quali rischi per i dati?
Le conseguenze di tali rischi quali sono? Dobbiamo considerarle  attentamente nella DPIA e/o Registro dei Trattamenti (vedi dopo). Dobbiamo ad esempio considerare l'impatto che la divulgazione impropria (dolosa, o accidentale) di determinate informazioni può avere per la persona. Ad esempio, nel caso di attività clinica l'accesso improprio o diffusione dei contenuti di cartelle cliniche, con diagnosi o dettagli su dinamiche famigliari, etc., può rappresentare un "rischio grave" per la persona: come Titolari di trattamento siamo  tenuti a mettere in atto tutte le misure di sicurezza possibili! Rischi e conseguenze
Il Registro dei Trattamenti riassume il modo in cui gestisci i vari tipi di dati, con relative finalità e modalità.  E' da compilare e conservare, aggiornandolo ad ogni cambio di procedure! Regola generale: conservare sempre tutte le documentazioni di informativa, consensi firmati, registri dei trattamenti, eventuale DPIA. In caso di controllo devono essere sempre pronti e aggiornati! Compila il form in fondo all'articolo e i template di consenso informato e registro dei trattamenti! Il Registro dei Trattamenti
Devo fare anche la DPIA?
LA DPIA è una valutazione articolata delle procedure in atto e dell'impatto potenziale di rischi e relative misure di sicurezza. E' un documento un po' lungo. Se è vero che il singolo libero professionista che non tratta grandi quantità di dati non è tenuto alla DPIA, gli psicologi trattano comunque di solito «dati sensibili» (e questo invece implica un'indicazione alla DPIA). Preparare una sintetica DPIA è comunque una prassi utilissima, sia per analizzare bene il tipo di elaborazioni che facciamo, sia come «check-list» che ti aiuti a mettere in atto adeguati comportamenti di protezione dei dati! DPIA Valutazione d'impatto
Il Garante Francese (CNIL) ha messo a disposizione una versione multilingue di un comodissimo software per la predisposizione della DPIA, che accompagna passo passo nella sua compilazione! Lo trovate qui: https://github.com/LINCnil/pia- app/releases/download/1.6.0/PIA-Setup-1.6.0.exe Abbiamo predisposto un documento apposito, che comprende già dei «testi-pilota» per le esigenze medie degli psicologi (in particolare di ambito clinico). La bozza "per psicologi" la trovate qui: (link). TEMPLATE DPIA by CNIL
I N T R O D U C T I O N Cosa è? Qualunque violazione dei dati secondo i principi CIA! Ho un "data breach" se perdo la penna USB con sopra le cartelle cliniche; e se non erano crittografate, è un breach grave. Ho un data breach se non ho antivirus, e il mio pc con le cartelle cliniche viene violato da uno spyware. Ho un data breach se mi entrano i ladri in casa, e mi trovo l'armadio con i dati dei pazienti spalancato. Come la prevengo? Con le misure di sicurezza per CIA, e prestando la massima attenzione alla sicurezza e privacy dei dati, gestendo in maniera responsabile agende, penne USB, archivi cartacei, computer, smartphone… DATA-BREACH 
I N T R O D U C T I O N Cosa si fa? In caso di violazione grave, che può compromettere i loro interessi, devi informarne subito gli interessati (i tuoi clienti) e l'Autorità - Garante della Privacy (entro 72 ore). Attenzione: NON devi informare se hai posto rimedio /risolto con la certezza che non vi siano conseguenze (ad es. era tutto crittografato), o in casi di chiara sproprorzione. Esempio 1: perdo la penna USB con il file "Segretisegretissimideimieipazienti.txt"; la cerco ovunque; mi dispero; poi la trovo dietro la scrivania dell'ufficio in cui entro solo io, dove era scivolata - in questo caso non devo avvisare nessuno (ma devo cifrare il file). Esempio 2: Il mio PC senza antivirus e senza firewall rimane infettato da un malware che riversa i miei dati sul Dark Web, dove vengono commercializzati in nero dall'Associazione Nemici degli Psicologi. Non avevo neanche cifrato la directory "Cartelle Cliniche e Perizie Delicate". Devo avvisare i pazienti, e l'Autorità. E prepararmi alle conseguenze (se non li avviso, sia chiaro, è molto peggio). DATA-BREACH  2
I N T R O D U C T I O N Vediamo ora cosa fare, tecnicamente, per mettere in sicurezza i dati sensibili su supporto informatico (computer, smartphone, cloud…). Non ti preoccupare se sembrano cose complicate: in realtà non lo sono, e la loro applicazione permette di costruire il profilo di sicurezza necessario! MISURE DI SICUREZZA
I N T R O D U C T I O NIl concetto è questo...
I N T R O D U C T I O N E' fondamentale usare una buona "password policy", in particolare per le password "critiche" (cifratura cartelle cliniche e con dati sensibili, password manager, accesso alla posta elettronica). Questo significa, in sintesi: A - "La lunghezza conta, sempre": è il punto più importante in assoluto. NON usare mai password sotto gli 8-10 caratteri (possono essere forzate facilmente con appositi programmi a "forza bruta"). B - "La password è come un fazzoletto usato: non si scambia con altri": NON usare la stessa password per due o più servizi critici (ad es., posta e crittografia). E NON scriverla mai in chiaro sul computer, o in una mail nella tua mailbox! PASSWORD/1
I N T R O D U C T I O N C - "La password è come un abbordaggio: non deve mai essere banale": nome.cognome, 12345, psicologia, password, la propria data di nascita, il nome della moglie o del gatto: NO (possono essere violate per tentativi o con attacchi "a dizionario"). Usa invece combinazioni semicasuali di lettere, numeri e simboli. Lunghe combinazioni, the longer the better! Puoi anche usare un Password Manager, che ti semplifica molto la gestione; mantiene in maniera crittografata tutte le password che usi tra diversi programmi. Tra i più diffusi e sicuri, LastPass e KeePass. Ovviamente li dovrai proteggere con una password molto forte! PASSWORD/2
I N T R O D U C T I O N Senza antivirus, rischi di avere il tuo sistema violato da virus e malware, che mettono in grave pericolo i dati.  Usa un antivirus di qualità (ve ne sono di buoni anche freeware per le funzioni di base, come AVG o AVAST). Nota: Windows Defender antivirus è preinstallato in Win10! REGOLE:  Aggiornare le definizioni dell'antivirus almeno ogni 24 ore. Tenere sempre attiva la scansione real-time. Impostare le "euristiche" (=regole di riconoscimento files sospetti) su alta/massima sensibilità. CONTROLLARE ogni singolo file ricevuto come allegato via posta o scaricato da internet, prima di aprirlo! Idem per le penne USB: "niente chiavette dagli sconosciuti" è una regola sempre valida. ANTIVIRUS ANTIMALWARE
I N T R O D U C T I O N Il Firewall è il software che impedisce "flussi di dati" non autorizzati tra il vostro computer e le reti esterne, filtrandoli in entrata ed uscita. Ogni programma / app deve essere quindi "autorizzato" per poter comunicare con l'esterno. E' fondamentale per evitare attacchi, e limitare perdite di dati dovuti a malware e intrusioni. Esistono diverse offerte professionali, ma tutti i computer Windows recenti dispongono di Windows Defender pre-installato, che va bene come funzione di base. Se non sapete cosa/come fare, lasciatelo semplicemente sempre attivo, e sciagura a voi se provate a disattivarlo / disinstallarlo o a ridurre la rigorosità delle regole di default. FIREWALL
I N T R O D U C T I O N Questo è un punto fondamentale per gli Psicologi! Crittografare un file o directory significa renderlo di fatto illeggibile a chi non conosce la password. NON è sufficiente usare la password di lettura di Word o Excel! E' fondamentale crittografare i dati sensibili (cartelle cliniche, perizie, relazioni diagnostiche, appunti di sedute) che conservi sul computer, laptop e smartphone o che carichi in cloud (Dropbox, Gdrive).  In questo modo, anche in caso di smarrimento o accesso improprio, sarà impossibile leggere il documento, ed accedere ai dati dei pazienti/clienti. CRITTOGRAFIA
I N T R O D U C T I O N Una buona crittografia richiede un algoritmo sicuro ben implementato e una password forte (=lunga e non facilmente individuabile).  Esistono diversi algoritmi sicuri: il più usato attualmente è l'AES-128 o 256, implementato in molti programmi.  Per crittografare documenti, usa sempre password diverse da quelle che usi per l'accesso alla posta/cloud: in questo modo, anche se vi è un accesso improprio al servizio online, i dati rimangono illeggibili. CRITTOGRAFIA
I N T R O D U C T I O N Via impegnativa: scarica VeraCrypt (https://www.veracrypt.fr/en/Home.html) e segui le istruzioni per crittografare una directory o disco virtuale "sicuro" sul tuo computer. Serve un minimo di confidenza informatica. Via easy: scarica il compressore 7zip (https://www.7-zip.org/), e comprimi in formato crittografato i files sensibili (lo si seleziona dalla finestra delle opzioni di compressione, sulla destra). Puoi così crittografare e decrittare anche intere directories, spostare facilmente i files cifrati su supporti di backup (penne USB, HD esterni) e inviarli cifrati come allegati alle email (usando però un canale diverso per comunicare la password relativa!). Alternativa: un altro ottimo programma free per cifrare files con semplicità è AxCrypt (https://www.axcrypt.net/it/). Come crittografare
I N T R O D U C T I O N E' necessario (ed è pratica intelligente, e noi da psicologi siamo intelligenti - vero?) fare delle copie (backup) regolari dei propri files di lavoro, in caso di perdita, cancellazione accidentale, gatto rivendicativo che usa come lettiera il vostro portatile. I backup relativi ai dati personali/sensibili di pazienti e clienti devono essere fatti in modalità *crittografata* e messi su HD esterno/USB sticks che vengono poi conservati in maniera sicura (armadio chiuso a chiave, etc.).  NON fare ovviamente copie in chiaro su HD esterni o penne USB che poi lasci in giro! BACKUP REGOLARI
I N T R O D U C T I O NSmartphone: l'hai dimenticato?
I N T R O D U C T I O N Quasi sicuramente avrai sullo smartphone una rubrica telefonica con i numeri e nomi dei pazienti. Quasi sicuramente scambierete email o WA con i pazienti, accedendovi in automatico (gmail, etc.). DEVI quindi fare 3 cose: Attivare il PIN di accesso, e che non sia banale (non 1234)! Attivare la Crittografia dello smartphone (di default su alcuni modelli, o attivando l'opzione nelle Impostazioni di sicurezza) Usa una App Antivirus (Avast e AVG sono gratuite). Valuta se mascherare i contatti in rubrica dei pazienti (solo il nome, solo le iniziali, etc.) o se mescolarli in maniera non riconoscibile a quelli di amici e colleghi. Ricorda che smarrire uno smartphone non protetto significa lasciare in giro tutta la tua vita digitale, con i dati accessibili direttamente dallo stesso (account posta, rubrica, messaggi, contatti WA e Skype, etc.)! Smartphone
I N T R O D U C T I O N Ricordi quel discorso per cui è opportuno avere le cartelle cliniche e i dati dei pazienti sempre sotto chiave? Ecco, ricordiamocelo, e smettiamola di lasciare in giro agendine e cartelle sulle scrivanie! Soprattutto in caso di studi condivisi, le cartelle cliniche sono da conservare con grande attenzione ed in maniera non accessibile a terzi (armadio o cassettiera di sicurezza, ufficio chiuso a chiave, etc.). Nell'armadio chiuso a chiave vanno anche agende, rubriche e copie dei consensi: tutta la documentazione che riporta dati sensibili (il solo fatto che una persona vada dallo psicologo è già potenzialmente dato sensibile). SICUREZZA FISICA
I N T R O D U C T I O N Pseudonimizzare significa rendere scisso il dato dal soggetto a cui fa riferimento: ad esempio, un protocollo Rorschach che viene compilato senza nomi, ma solo un codice numerico o una sigla. Conserverai a parte la corrispondenza tra codici e nominativi; ovviamente quel file dovrà essere crittografato e custodito con cura (evitando magari di metterlo sul desktop come: "Tuttiinomideipazienticonilorocodicisegretissimi.txt", o di portarselo nell'Agendina dell'Ordine con tutti i numeri dei pazienti e il loro codice accanto). Dobbiamo sempre più prendere l'abitudine di mascherare/pseudonimizzare le nostre cartelle cliniche, i nomi dei files più delicati, gli esiti diagnostici, i files con appunti relativi a sedute, i files delle perizie, etc. Pseudonominizzare
I N T R O D U C T I O NINFORMATIVE E CONSENSI
I N T R O D U C T I O N Consenso con informativa privacy aggiornata Il Consenso deve essere espresso in maniera esplicita e per iscritto per il trattamento dei dati, ed accompagnato da una informativa privacy aggiornata al GDPR. Ricorda che il Consenso deve essere esplicito (non lo si può mai considerare implicito), e la sua mancanza fa venire meno la base giuridica con cui trattate i dati della persona (tranne casi speciali)! ADEMPIMENTI INFORMATIVI
I N T R O D U C T I O N Tutta la parte di Informativa sulla Privacy deve essere aggiornata al GDPR, e fornita al cliente al primo incontro. L'Informativa deve essere CHIARA, SINTETICA E COMPRENSIBILE! Il cliente deve sapere come esercitare facilmente i suoi diritti (accesso ai dati, modifica/cancellazione, diritto di opposizione…). Il Consenso conseguente deve tassativamente essere firmato dal cliente (o da entrambi i genitori in caso di minorenne). NON fare niente con nessuno senza Consenso validamente firmato. NIENTE. Sennò rimpiangerai Voldemort! Informativa e consensi
I N T R O D U C T I O NSei ancora lì? Ultime cose...
I N T R O D U C T I O N Per inviare newsletter o proposte informative massive, dovete avere il consenso esplicito dei riceventi all'uso della loro email a tale scopo. Questo può essere confermato, per gli indirizzari già esistenti, alla prima email utile che invii. Ogni email - anche se abbiamo avuto il consenso -dovrà comunque riportare email/contatti per l'Opt-Out (possibilità di eliminarsi dal nostro indirizzario), cui si deve dare seguito immediato. NON si possono raccogliere email in maniera "generica" o automatica senza autorizzazione, per poi usarle per scopi di marketing senza consenso esplicito dell'interessato. MARKETING
I N T R O D U C T I O N I dati relativi a minori sono considerati sensibili, e godono di tutela speciale. Il consenso al trattamento è previsto dal GDPR dai 16 anni - ma attenzione, questo vale solo per l'aspetto "trattamento dei dati": noi psicologi dobbiamo comunque chiedere il Consenso a entrambi i genitori per l'intervento psicologico per tutti i minori di 18 anni. SEMPRE. MINORENNI
I N T R O D U C T I O N Il conferimento di dati e fatture al commercialista, o altro professionista, per loro successiva elaborazione (ad es. legale o fiscale) richiederebbe la nomina a Responsabile, che è un atto formale ed esplicito. Loro ne risponderanno per la loro parte di responsabilità tecnico-gestionale, ma sempre nei termini dell'incarico che gli avete affidato. Conferimento dati a terzi
I N T R O D U C T I O N È il professionista esterno, specializzato in protezione dei dati e conformità dei trattamenti, cui ci si deve rivolgere obbligatoriamente in alcuni casi previsti dal GDPR. Il singolo libero professionista (anche se lavora in studio associato, o è convenzionato con il SSN/SSR) NON necessita di DPO! Se invece avete un centro clinico/cooperativa/società che tratta regolarmente dati sensibili, può essere opportuno o necessario averlo, in base al tipo di dati e trattamenti svolti. Data protection officer (DPO)
I N T R O D U C T I O NHai detto sanzioni?
I N T R O D U C T I O N Il GDPR prevede SANZIONI MOLTO PESANTI per chi non rispetta le misure di sicurezza o gestisce in maniera inadeguata i dati. E non si scherza! Per le grandi aziende si parla di sanzioni fino al 4% del fatturato, o molti milioni di euro. Il Garante ha già comunicato che le verifiche ci saranno, ed inizieranno già nel primo periodo di applicazione del GDPR, anche se non sono ancora definiti i criteri di determinazione delle sanzioni in Italia. I professionisti sanitari, trattando dati sensibili, dovranno considerarsi a forte probabilità di controlli e verifiche! Sanzioni
I N T R O D U C T I O N Con il GDPR si inizia ad essere consapevoli di che dati gestiamo, del perché e del come lo facciamo, e di come li proteggiamo dai rischi. La miniguida sarà aggiornata  e ampliata regolarmente, perché diversi aspetti sono ancora "in interpretazione", e il primo periodo applicativo sarà essenziale per "prenderne le misure". Se hai segnalazioni, domande, ambiti che vorreste veder affrontati, vieni sul gruppo FB Diventare Psicologo! Per finire... o per iniziare...
I N T R O D U C T I O N In primo luogo, questa presentazione! Compilando il modulo in fondo all'articolo trovi:  Bozza di Modulo di Consenso con Informativa Trattamento Dati aggiornata al GDPR Bozza di Registro di Trattamento in xls Nei prossimi giorni aggiungeremo: Template della DPIA in Italiano, con testi - traccia per psicologi Tool per la verifica di conformità del proprio sito/blog (link) Risorse dell'InfoPack GDPR (by DP/AP)
I N T R O D U C T I O N Sito del Garante: www.garanteprivacy.it Garante Francese: www.cnil.fr Tabella di riassunto degli obblighi: http://www.altalex.com/documents/news/20 17/03/10/privacy-e-regolamento-ue-la- tabella-degli-obblighi-e-degli-adempimenti- del-titolare Altre Risorse
I N T R O D U C T I O N www.altrapsicologia.it

Recomendados

IL RISCHIO PRIVACY E I PRESIDI AZIENDALI DI CONTROLLO
IL RISCHIO PRIVACY E I PRESIDI AZIENDALI DI CONTROLLOIL RISCHIO PRIVACY E I PRESIDI AZIENDALI DI CONTROLLO
IL RISCHIO PRIVACY E I PRESIDI AZIENDALI DI CONTROLLOSalomone & Travaglia Studio Legale
 
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...Digital Building Blocks
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitaleFabio Vezzoli
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoAdriano Bertolino
 
Newsletter 05.2018
Newsletter 05.2018Newsletter 05.2018
Newsletter 05.2018Stefano Versace
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleGDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleStiip Srl
 
Smau Padova 2018 - Nicolò Ghibellini e Silvano Mazzantini
Smau Padova 2018 - Nicolò Ghibellini e Silvano MazzantiniSmau Padova 2018 - Nicolò Ghibellini e Silvano Mazzantini
Smau Padova 2018 - Nicolò Ghibellini e Silvano MazzantiniSMAU
 

Recomendados

IL RISCHIO PRIVACY E I PRESIDI AZIENDALI DI CONTROLLO
IL RISCHIO PRIVACY E I PRESIDI AZIENDALI DI CONTROLLOIL RISCHIO PRIVACY E I PRESIDI AZIENDALI DI CONTROLLO
IL RISCHIO PRIVACY E I PRESIDI AZIENDALI DI CONTROLLOSalomone & Travaglia Studio Legale
 
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...Digital Building Blocks
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitaleFabio Vezzoli
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoAdriano Bertolino
 
Newsletter 05.2018
Newsletter 05.2018Newsletter 05.2018
Newsletter 05.2018Stefano Versace
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleGDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleStiip Srl
 
Smau Padova 2018 - Nicolò Ghibellini e Silvano Mazzantini
Smau Padova 2018 - Nicolò Ghibellini e Silvano MazzantiniSmau Padova 2018 - Nicolò Ghibellini e Silvano Mazzantini
Smau Padova 2018 - Nicolò Ghibellini e Silvano MazzantiniSMAU
 
GDPR & eIDAS.pdf
GDPR & eIDAS.pdfGDPR & eIDAS.pdf
GDPR & eIDAS.pdfEdoardo Ferraro
 
GDPR per psicologi, l'importanza della gestione dei dati
GDPR per psicologi, l'importanza della gestione dei datiGDPR per psicologi, l'importanza della gestione dei dati
GDPR per psicologi, l'importanza della gestione dei datiEdoardo Ferraro
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Purple Network
 
Il ruolo strategico del DPO - avv.Carola Caputo
Il ruolo strategico del DPO - avv.Carola CaputoIl ruolo strategico del DPO - avv.Carola Caputo
Il ruolo strategico del DPO - avv.Carola CaputoANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco PuglisiThinkOpen
 
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di GiacomoFreelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di GiacomoToolbox Coworking
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018Lodovico Mabini
 
Sei pronto per il GDPR?
Sei pronto per il GDPR?Sei pronto per il GDPR?
Sei pronto per il GDPR?ITLgroup_hu
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPRMaurilio Savoldi
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...Giuseppe Ricci
 
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleVademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleEdoardo Ferraro
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Maurizio Taglioretti
 
Di Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdfDi Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdfUNI - Ente Italiano di Normazione
 
La Privacy & al gestione dell'Antiriciclaggio nello Studio Legale
La Privacy & al gestione dell'Antiriciclaggio nello Studio LegaleLa Privacy & al gestione dell'Antiriciclaggio nello Studio Legale
La Privacy & al gestione dell'Antiriciclaggio nello Studio LegaleEdoardo Ferraro
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 
GDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & LinksGDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & LinksRoberto Stefanetti
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)SMAU
 
R. Villano - Concetti di privacy
R. Villano - Concetti di privacyR. Villano - Concetti di privacy
R. Villano - Concetti di privacyRaimondo Villano
 
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017 Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017 Andrea Cortellazzo
 
WHATSAPPO QUINDI SONO: il setting liquido al tempo dello smartphone
WHATSAPPO QUINDI SONO: il setting liquido al tempo dello smartphoneWHATSAPPO QUINDI SONO: il setting liquido al tempo dello smartphone
WHATSAPPO QUINDI SONO: il setting liquido al tempo dello smartphoneAda Moscarella
 
TERAPIA ONLINE: Questioni pratiche del terapeuta moderno
TERAPIA ONLINE: Questioni pratiche del terapeuta modernoTERAPIA ONLINE: Questioni pratiche del terapeuta moderno
TERAPIA ONLINE: Questioni pratiche del terapeuta modernoAda Moscarella
 

Mais conteúdo relacionado

Semelhante a GDPR: guida pratica per psicologi

GDPR per psicologi, l'importanza della gestione dei dati
GDPR per psicologi, l'importanza della gestione dei datiGDPR per psicologi, l'importanza della gestione dei dati
GDPR per psicologi, l'importanza della gestione dei datiEdoardo Ferraro
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Purple Network
 
"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco PuglisiThinkOpen
 
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di GiacomoFreelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di GiacomoToolbox Coworking
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018Lodovico Mabini
 
Sei pronto per il GDPR?
Sei pronto per il GDPR?Sei pronto per il GDPR?
Sei pronto per il GDPR?ITLgroup_hu
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...Giuseppe Ricci
 
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleVademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleEdoardo Ferraro
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Maurizio Taglioretti
 
La Privacy & al gestione dell'Antiriciclaggio nello Studio Legale
La Privacy & al gestione dell'Antiriciclaggio nello Studio LegaleLa Privacy & al gestione dell'Antiriciclaggio nello Studio Legale
La Privacy & al gestione dell'Antiriciclaggio nello Studio LegaleEdoardo Ferraro
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 
GDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & LinksGDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & LinksRoberto Stefanetti
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)SMAU
 
R. Villano - Concetti di privacy
R. Villano - Concetti di privacyR. Villano - Concetti di privacy
R. Villano - Concetti di privacyRaimondo Villano
 
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017 Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017 Andrea Cortellazzo
 

Semelhante a GDPR: guida pratica per psicologi (20)

GDPR & eIDAS.pdf
GDPR & eIDAS.pdfGDPR & eIDAS.pdf
GDPR & eIDAS.pdf
 
GDPR per psicologi, l'importanza della gestione dei dati
GDPR per psicologi, l'importanza della gestione dei datiGDPR per psicologi, l'importanza della gestione dei dati
GDPR per psicologi, l'importanza della gestione dei dati
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.
 
Il ruolo strategico del DPO - avv.Carola Caputo
Il ruolo strategico del DPO - avv.Carola CaputoIl ruolo strategico del DPO - avv.Carola Caputo
Il ruolo strategico del DPO - avv.Carola Caputo
 
"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi
 
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di GiacomoFreelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018
 
Sei pronto per il GDPR?
Sei pronto per il GDPR?Sei pronto per il GDPR?
Sei pronto per il GDPR?
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPR
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
 
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleVademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
 
Di Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdfDi Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdf
 
La Privacy & al gestione dell'Antiriciclaggio nello Studio Legale
La Privacy & al gestione dell'Antiriciclaggio nello Studio LegaleLa Privacy & al gestione dell'Antiriciclaggio nello Studio Legale
La Privacy & al gestione dell'Antiriciclaggio nello Studio Legale
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapere
 
GDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & LinksGDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & Links
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
 
R. Villano - Concetti di privacy
R. Villano - Concetti di privacyR. Villano - Concetti di privacy
R. Villano - Concetti di privacy
 
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017 Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
 

Mais de Ada Moscarella

WHATSAPPO QUINDI SONO: il setting liquido al tempo dello smartphone
WHATSAPPO QUINDI SONO: il setting liquido al tempo dello smartphoneWHATSAPPO QUINDI SONO: il setting liquido al tempo dello smartphone
WHATSAPPO QUINDI SONO: il setting liquido al tempo dello smartphoneAda Moscarella
 
TERAPIA ONLINE: Questioni pratiche del terapeuta moderno
TERAPIA ONLINE: Questioni pratiche del terapeuta modernoTERAPIA ONLINE: Questioni pratiche del terapeuta moderno
TERAPIA ONLINE: Questioni pratiche del terapeuta modernoAda Moscarella
 
Nuove dipendenze : informazione e prevenzione
Nuove dipendenze : informazione e prevenzioneNuove dipendenze : informazione e prevenzione
Nuove dipendenze : informazione e prevenzioneAda Moscarella
 
Un gioco da ragazzi: tra gioco e gioco d'azzardo
Un gioco da ragazzi: tra gioco e gioco d'azzardoUn gioco da ragazzi: tra gioco e gioco d'azzardo
Un gioco da ragazzi: tra gioco e gioco d'azzardoAda Moscarella
 
AltraPsicologia in Campania - Programma 2014
AltraPsicologia in Campania - Programma 2014AltraPsicologia in Campania - Programma 2014
AltraPsicologia in Campania - Programma 2014Ada Moscarella
 
Settimana del Benessere Psicologico 2013 - Caserta
Settimana del Benessere Psicologico 2013 - CasertaSettimana del Benessere Psicologico 2013 - Caserta
Settimana del Benessere Psicologico 2013 - CasertaAda Moscarella
 
Il mio cuore fa crack - Aiutare i bambini a superare il lutto
Il mio cuore fa crack - Aiutare i bambini a superare il luttoIl mio cuore fa crack - Aiutare i bambini a superare il lutto
Il mio cuore fa crack - Aiutare i bambini a superare il luttoAda Moscarella
 
L’INTEGRAZIONE SOCIO-SANITARIA: Tutto ciò che serve sapere per vincere un con...
L’INTEGRAZIONE SOCIO-SANITARIA: Tutto ciò che serve sapere per vincere un con...L’INTEGRAZIONE SOCIO-SANITARIA: Tutto ciò che serve sapere per vincere un con...
L’INTEGRAZIONE SOCIO-SANITARIA: Tutto ciò che serve sapere per vincere un con...Ada Moscarella
 
Avviarsi alla libera professione
Avviarsi alla libera professioneAvviarsi alla libera professione
Avviarsi alla libera professioneAda Moscarella
 
IDENTIFICAZIONE PRECOCE DEI DSA: lo screening nella scuola primaria
IDENTIFICAZIONE PRECOCE DEI DSA: lo screening nella scuola primariaIDENTIFICAZIONE PRECOCE DEI DSA: lo screening nella scuola primaria
IDENTIFICAZIONE PRECOCE DEI DSA: lo screening nella scuola primariaAda Moscarella
 
I Corsi dell'Associazione Psicologi Campani
I Corsi dell'Associazione Psicologi CampaniI Corsi dell'Associazione Psicologi Campani
I Corsi dell'Associazione Psicologi CampaniAda Moscarella
 
I Disturbi dell'apprendimento
I Disturbi dell'apprendimentoI Disturbi dell'apprendimento
I Disturbi dell'apprendimentoAda Moscarella
 
Preparazione all'Esame di Stato per Psicologi - A Caserta
Preparazione all'Esame di Stato per Psicologi - A CasertaPreparazione all'Esame di Stato per Psicologi - A Caserta
Preparazione all'Esame di Stato per Psicologi - A CasertaAda Moscarella
 
Abbandono o rinuncia nell'adozione - Presentazione
Abbandono o rinuncia nell'adozione - PresentazioneAbbandono o rinuncia nell'adozione - Presentazione
Abbandono o rinuncia nell'adozione - PresentazioneAda Moscarella
 
L'abbandono e la rinuncia nell'adozione
L'abbandono e la rinuncia nell'adozioneL'abbandono e la rinuncia nell'adozione
L'abbandono e la rinuncia nell'adozioneAda Moscarella
 
L'omosessualità nelle scienze della salute mentale
L'omosessualità nelle scienze della salute mentaleL'omosessualità nelle scienze della salute mentale
L'omosessualità nelle scienze della salute mentaleAda Moscarella
 
Cause biologiche omosessualità
Cause biologiche omosessualitàCause biologiche omosessualità
Cause biologiche omosessualitàAda Moscarella
 

Mais de Ada Moscarella (20)

WHATSAPPO QUINDI SONO: il setting liquido al tempo dello smartphone
WHATSAPPO QUINDI SONO: il setting liquido al tempo dello smartphoneWHATSAPPO QUINDI SONO: il setting liquido al tempo dello smartphone
WHATSAPPO QUINDI SONO: il setting liquido al tempo dello smartphone
 
TERAPIA ONLINE: Questioni pratiche del terapeuta moderno
TERAPIA ONLINE: Questioni pratiche del terapeuta modernoTERAPIA ONLINE: Questioni pratiche del terapeuta moderno
TERAPIA ONLINE: Questioni pratiche del terapeuta moderno
 
Nuove dipendenze : informazione e prevenzione
Nuove dipendenze : informazione e prevenzioneNuove dipendenze : informazione e prevenzione
Nuove dipendenze : informazione e prevenzione
 
STOP ALLO STRESS!
STOP ALLO STRESS!STOP ALLO STRESS!
STOP ALLO STRESS!
 
Un gioco da ragazzi: tra gioco e gioco d'azzardo
Un gioco da ragazzi: tra gioco e gioco d'azzardoUn gioco da ragazzi: tra gioco e gioco d'azzardo
Un gioco da ragazzi: tra gioco e gioco d'azzardo
 
AltraPsicologia in Campania - Programma 2014
AltraPsicologia in Campania - Programma 2014AltraPsicologia in Campania - Programma 2014
AltraPsicologia in Campania - Programma 2014
 
Settimana del Benessere Psicologico 2013 - Caserta
Settimana del Benessere Psicologico 2013 - CasertaSettimana del Benessere Psicologico 2013 - Caserta
Settimana del Benessere Psicologico 2013 - Caserta
 
Il Cerchio della Vita
Il Cerchio della VitaIl Cerchio della Vita
Il Cerchio della Vita
 
Il mio cuore fa crack - Aiutare i bambini a superare il lutto
Il mio cuore fa crack - Aiutare i bambini a superare il luttoIl mio cuore fa crack - Aiutare i bambini a superare il lutto
Il mio cuore fa crack - Aiutare i bambini a superare il lutto
 
L’INTEGRAZIONE SOCIO-SANITARIA: Tutto ciò che serve sapere per vincere un con...
L’INTEGRAZIONE SOCIO-SANITARIA: Tutto ciò che serve sapere per vincere un con...L’INTEGRAZIONE SOCIO-SANITARIA: Tutto ciò che serve sapere per vincere un con...
L’INTEGRAZIONE SOCIO-SANITARIA: Tutto ciò che serve sapere per vincere un con...
 
Avviarsi alla libera professione
Avviarsi alla libera professioneAvviarsi alla libera professione
Avviarsi alla libera professione
 
IDENTIFICAZIONE PRECOCE DEI DSA: lo screening nella scuola primaria
IDENTIFICAZIONE PRECOCE DEI DSA: lo screening nella scuola primariaIDENTIFICAZIONE PRECOCE DEI DSA: lo screening nella scuola primaria
IDENTIFICAZIONE PRECOCE DEI DSA: lo screening nella scuola primaria
 
I Corsi dell'Associazione Psicologi Campani
I Corsi dell'Associazione Psicologi CampaniI Corsi dell'Associazione Psicologi Campani
I Corsi dell'Associazione Psicologi Campani
 
I Disturbi dell'apprendimento
I Disturbi dell'apprendimentoI Disturbi dell'apprendimento
I Disturbi dell'apprendimento
 
Preparazione all'Esame di Stato per Psicologi - A Caserta
Preparazione all'Esame di Stato per Psicologi - A CasertaPreparazione all'Esame di Stato per Psicologi - A Caserta
Preparazione all'Esame di Stato per Psicologi - A Caserta
 
Abbandono o rinuncia nell'adozione - Presentazione
Abbandono o rinuncia nell'adozione - PresentazioneAbbandono o rinuncia nell'adozione - Presentazione
Abbandono o rinuncia nell'adozione - Presentazione
 
L'abbandono e la rinuncia nell'adozione
L'abbandono e la rinuncia nell'adozioneL'abbandono e la rinuncia nell'adozione
L'abbandono e la rinuncia nell'adozione
 
L'omosessualità nelle scienze della salute mentale
L'omosessualità nelle scienze della salute mentaleL'omosessualità nelle scienze della salute mentale
L'omosessualità nelle scienze della salute mentale
 
La comunicazione
La comunicazioneLa comunicazione
La comunicazione
 
Cause biologiche omosessualità
Cause biologiche omosessualitàCause biologiche omosessualità
Cause biologiche omosessualità
 

GDPR: guida pratica per psicologi

  • 1. V E R S I O N E 1 . 0 GDPR G U I D A P R A T I C A P E R G L I P S I C O L O G I : A C U R A D I L U C A P E Z Z U L L O
  • 2. P R E S E N T A N O LA GUIDA PRATICA E SEMPLICE PER ESSERE FELICE NONOSTANTE IL GDPR, E PROTEGGERE TE ED I TUOI CLIENTI (E CI SONO ANCHE FOTO DI GATTINI PUCCIOSI!). VERSIONE 1.1 – 23/5/2018 (AGGIORNAMENTI IN PROGRESS)
  • 3.
  • 4. I L G D P R È A R R I V A T O ! Hai già la mailbox piena di incomprensibili spiegazioni burocratiche, così come di meravigliose offerte di "consulenti" privati che – per cifre consistenti – ti offrono di "metterti a norma".... Non capisci la burocrazia, e quando la "Premiata Ditta Gatto e Volpe" ti chiede 1000 euro per "metterti a norma" riempiendoti di sigle esotiche, ti spaventi.... Temi la "Death by Bureaucracy", e sei convinto che il GDPR ha il solo scopo di toglierti anche la residua felicità che hai dopo aver pagato la quota dell'Ordine. Fermati. Rilassati. NO PANIC. C'è AltraPsicologia! "SEI NON FAI IL BRAVO, VIENE IL GDPR E TI PORTA VIA!" (Cit., Nonna di psicologo, 2018)
  • 5. Un "fantasma" si aggira in queste settimane per l'Europa, anche se è ancora sconosciuto ai più: si chiama GDPR, ed è il nuovo Regolamento generale per la protezione dei Dati Personali della UE, approvato da due anni e che entrerà in vigore in tutto il continente dal 25 maggio 2018. E' definito dalla Commissione Europea come "il più grande cambiamento nella protezione dei dati degli ultimi due decenni", e impatterà in tutte le attività - online ed offline - che rilevano per la privacy e il trattamento dei dati.  In Italia abbiamo già una normativa rigorosa per la privacy, e quindi l'adattamento sarà più semplice rispetto ad altri paesi; ma avremo lo stesso da cambiare alcune cose nella nostra pratica quotidiana! GDPR Cos'è e cosa cambia davvero per gli psicologi
  • 6. Per gli Psicologi, ci saranno importanti implicazioni: in primo luogo, ci occupiamo spesso di cosiddetti "dati sensibili" (quelli relativi a salute, orientamento sessuale, dati relativi a minori, etc.), che godono di particolare protezione e richiedono particolari procedure per essere trattati; ma anche solo per fare un "banale" marketing via email saranno necessari adattamenti. La normativa è lunga, complessa e "impegnativa", anche in termini di sanzioni (molto alte) che accompagneranno la sua applicazione: non pensiamo di "far finta di niente"! Il Garante per la Privacy è il primo riferimento ufficiale in merito, e siamo tutti tenuti a dare un'occhiata al suo sito. GDPR Cos'è e cosa cambia davvero per gli psicologi
  • 7. I N T R O D U C T I O N Il GDPR non è burocrazia (non solo, almeno). Il GDPR significa PROTEGGERE LE STORIE  PIU' DELICATE E DOLOROSE DELLE PERSONE CHE CE LE AFFIDANO CON FIDUCIA. Come tale, leggi questa guida come un "invito a proteggere e prenderti cura", immaginando come vorresti che qualcuno protegga i segreti più intimi e drammatici della tua vita…  E' una responsabilità etica e deontologica, oltre che legale! UN APPELLO  (SERIO)
  • 8. Quanto segue è un’introduzione informale, pratica e semplice al tema del GDPR. Come esposizione introduttiva non ha pretese di esaustività, ufficialità né implica alcuna garanzia di correttezza dei contenuti o rispetto alle conseguenze della loro applicazione.  AP, DP e l'autore non si assumono alcuna responsabilità diretta o indiretta in merito alle informazioni,al loro uso ed alle relative conseguenze. Zero proprio, è tutto a tuo totale, tragico, esclusivo rischio e pericolo (come tutto, nella vita. Che tanto poi finisce presto, quindi stai comunque sereno). Essendovi nelle operazioni legate al GDPR rilevanti implicazioni legali, si invita a fare diretto riferimento alla normativa originale, al sito del Garante per la Privacy e, in base alle proprie necessità, a consulenti tecnici e legali esperti di settore.  Tieni inoltre conto che alcuni aspetti deliberativi sono ancora "in progress" o sono soggetti a possibile interpretazione.  Lo stile espositivo che si è scelto è volutamente semplice, leggero e molto informale: non è la trattazione burocratica e tecnica della normativa – cui, come anche al Garante per la Privacy, rinviamo per ogni approfondimento ufficiale. Il target dell'esposizione è il singolo Psicologo Libero Professionista "ordinario". In caso di società, aziende, cooperative, attività professionali organizzate che trattano grandi quantità di dati, è necessaria una consulenza specifica. DISCLAIMER Noioso e in caratteri piccoli, ma ti tocca!
  • 10. Il GDPR investe di grande RESPONSABILITA' chi tratta dati di terzi. Tutti i dati devono essere gestiti in maniera congrua, massimizzando già alla base privacy e sicurezza degli stessi ("privacy by design and by default"). Inoltre, dobbiamo garantire TRASPARENZA  e DOCUMENTABILITA' al processo. Il modo in cui li trattiamo parte da un'analisi dei rischi e dei motivi/modi per cui li trattiamo, da misure informative e tecniche, e da documentazione chiara di quello che facciamo. E' necessario avere consensi o base legale per trattare i dati, che devono essere usati solo per lo scopo per cui si sono ottenuti; il soggetto cui si riferiscono deve essere informato chiaramente, e ha una serie di diritti importanti. GDPR Concetti chiave
  • 11. A differenza di altre normative tecniche, la GDPR riconosce molta responsabilità ed autonomia a chi gestisce i dati nell'analizzare, definire e attuare gli interventi più appropriati (pur all’interno di alcuni principi generali).  Non è quindi un «ricettario» tecnico dettagliato, ma un insieme di prassi da adattare alla propria specifica situazione! ACCOUNTABILITY Concetti chiave
  • 12. Titolare: E' quello che decide come gestire i dati a lui affidati, ed ha la responsabilità di tutto quello che succede. Sei un libero professionista? In pratica, sei tu! Responsabile: E' la figura cui si delega la gestione dei dati sul piano pratico. In caso di libero professionista individuale senza personale di supporto, di solito non serve - nel senso che le funzioni sono quelle Titolare (sei sempre tu). DPO - Data Protection Officer: una figura professionale che deve essere nominata in caso di trattamento dati su larga scala. Per la gran parte dei liberi professionisti individuali o in studio associato NON SERVE. ALCUNE DEFINIZIONI La facciamo semplice, rinviando alla normativa per gli approfondimenti
  • 13. Dati personal i : " Qual si asi i nf or mazi one r i guar dante una per sona f i si ca i denti f i cata o i denti f i cabi l e ( «i nteressato») ( …) . " Dal nome al l ' i ndi r i zzo, dal l a mai l al l a data di nasci ta. Dati sensi bi l i : Le i nf ormazi oni rel ati ve al l a Sal ute sono un esempi o f ondamental e; e basta questo per evi denzi are come l a gr an par te del l e i nf or mazi oni che tratti amo da psi col ogi vi r i entr ano. Godono i nol tre di parti col are tutel a l e i nf ormazi oni rel ati ve ai Mi nori . Trattamento dei dati: " Qual si asi oper azi one ( …) , come l a r accol ta, l a r egi str azi one, l ' or gani zzazi one, l a strutturazi one, l a conser vazi one, l ' adattamento o l a modi f i ca ( . . . ) l ' uso, l a comuni cazi one ( . . . ) , l a cancel l azi one o l a di struzi one" – i n prati ca, TUTTO quel l o che f ai con dati personal i di terzi ! ALCUNE DEFINIZIONI La facciamo semplice, rinviando alla normativa per gli approfondimenti
  • 14. Il GDPR prevede i concetti di "Privacy by Design" e "Privacy by Default": è un modo di incorporare fin dall'inizio la "logica e mentalità della privacy" nel modo in cui chiediamo e gestiamo i dati. By Design: L'impostazione di software, registri, procedure deve essere fatta sulla base della massimizzazione della privacy. Non è un "di più", deve essere proprio la logica di base. By Default: nell'attività ordinaria (gestione dati, archivi, etc.), "chiedi meno dati possibile". Il dato che stai chiedendo serve veramente?  Privacy by design / by default
  • 15. Il trattamento deve sempre essere "legittimato". Per noi è legittimo se si basa su consenso esplicito (non vale il silenzio-assenso) e specifico (per uno scopo chiaro). Sono possibili altre basi legali, ma rilevano meno per l'attività libero professionale di psicologo (obblighi di legge, interesse pubblico, interessi vitali, etc.). LEGITTIMITA' DEL TRATTAMENTO
  • 16. Importante Novità! ll GDPR prevede che sia definito per quanto tempo tratteremo i dati! Normalmente, per i dati ad uso professionale psicologico (relazioni diagnostiche, cartelle cliniche, etc.) si può considerare una legittimità dei tempi di trattamento conservativo come previsto dal CD (art.17), ovvero 5 anni dopo il termine della prestazione.  E' possibile conservare più a lungo i dati (ad es. a scopo legale, peritale, etc.) - e sempre in maniera sicura - informandone però nell'Informativa/Consenso i soggetti! DURATA DEL TRATTAMENTO
  • 17. C - Confidentiality: i dati che gestisco sono "protetti da occhi indiscreti"? Può accedervi solo chi ne ha diritto? Come li proteggo da accessi impropri? E' chiaro che per uno psicologo questo è il rischio principale. I - Integrity: i dati che gestisco sono protetti da modifiche improprie? Sono protetti da cambiamenti non autorizzati fatti da terzi? A- Availability: i dati che gestisco, sono sempre accessibili in caso di necessità? Sono recuperabili in caso di danno, cancellazione accidentale, smarrimento di penne USB? I PRINCIPI DELLA SICUREZZA: C-I-A
  • 18. ...Sei logorroico. Vorremmo semplicemente un elenco di cose pratiche che dobbiamo fare. Possibilmente semplice. Possibilmente veloce. Possibilmente chiaro. E senza gatti, che non ci piacciono. … Tutto bello ma....
  • 19. Ok...
  • 20. Devi iniziare a capire "che dati tratti", e "perché". Devi chiarire "come lo fai", e con che strumenti. Devi decidere che "misure di protezione ci metti intorno"- e mettergliele. Devi capire cosa fare se "qualcosa va storto". Devi informare chiaramente i soggetti coinvolti, ed ottenere il loro consenso. Devi documentare il tutto. In pratica:
  • 21. Il ciclo operativo (si parte da Discovery)
  • 22. Che dati tratto? Di chi? A che scopo? (legittimità e basi legali).   Quali sono i rischi potenziali?  Che conseguenze negative possono avere per le persone in questione? Quale è il ciclo di trattamento?  Che fasi prevede, e che strumenti uso per farlo? Insomma, devi "mappare" i dati. Puoi farlo con o senza la DPIA (che spieghiamo fra poche slides); farlo con è più lungo, ma più completo e strutturato. VALUTAZIONE
  • 23. Su un foglio, rappresentati il flusso dei dati personali e sensibili che gestisci A -Da dove provengono? Appunti? Relazioni e referti diagnostici? Colloqui? Risultati di test online? B - Cosa te ne fai? Chi vi accede? E dove li metti alla fine? Li trascrivi solo a mano? Al computer? Li inoltri su un Cloud? Li metti in relazioni che vedono altri professionisti? Ogni step deve essere tracciato! Lo so, sembra una noia. Ma se provate a pensarci, in pochi minuti avrete una "mappa" che sarà utilissima, perché vi farà pensare a tutti i punti critici di passaggi che magari date per scontati o banali! Ma come li mappo?
  • 24. Che strumenti tecnici usi per gestire i dati? Solo carta e penna? Software di scoring dei risultati? Usi un computer con Office per la scrittura o la raccolta dati? Poi usi Servizi Cloud per conservazione dati, o per la somministrazione/raccolta di questionari online? Ecco, sono tutti i passaggi da mettere nero su bianco; vanno segnati tutti, rappresentandosi "come i dati fluiscono attraverso questi passaggi", e quali sono i rischi relativi.  LA DPIA, anche se non obbligatoria, è comoda per farlo! Mappatura degli strumenti
  • 25. Devi ora valutare "probabilità e gravità" dei vari rischi: Rischi di Confidenzialità, ovvero accesso improprio (terzi che accedono alle tue email con i pazienti, agli archivi di cartelle cliniche, perizie o relazioni diagnostiche, ai files sul computer relativi a pazienti o sedute, etc.). Inutile dire che questi sono i rischi principali quando si tratta materiali clinici! Rischi di Integrità / Accessibilità sono presenti in misura di solito minore (ad es., terzi che accedono ai nostri files per modificarli, o perdita di tutti gli archivi clinici senza backup); è però necessario considerarli. Quali rischi per i dati?
  • 26. Le conseguenze di tali rischi quali sono? Dobbiamo considerarle  attentamente nella DPIA e/o Registro dei Trattamenti (vedi dopo). Dobbiamo ad esempio considerare l'impatto che la divulgazione impropria (dolosa, o accidentale) di determinate informazioni può avere per la persona. Ad esempio, nel caso di attività clinica l'accesso improprio o diffusione dei contenuti di cartelle cliniche, con diagnosi o dettagli su dinamiche famigliari, etc., può rappresentare un "rischio grave" per la persona: come Titolari di trattamento siamo  tenuti a mettere in atto tutte le misure di sicurezza possibili! Rischi e conseguenze
  • 27. Il Registro dei Trattamenti riassume il modo in cui gestisci i vari tipi di dati, con relative finalità e modalità.  E' da compilare e conservare, aggiornandolo ad ogni cambio di procedure! Regola generale: conservare sempre tutte le documentazioni di informativa, consensi firmati, registri dei trattamenti, eventuale DPIA. In caso di controllo devono essere sempre pronti e aggiornati! Compila il form in fondo all'articolo e i template di consenso informato e registro dei trattamenti! Il Registro dei Trattamenti
  • 28. Devo fare anche la DPIA?
  • 29. LA DPIA è una valutazione articolata delle procedure in atto e dell'impatto potenziale di rischi e relative misure di sicurezza. E' un documento un po' lungo. Se è vero che il singolo libero professionista che non tratta grandi quantità di dati non è tenuto alla DPIA, gli psicologi trattano comunque di solito «dati sensibili» (e questo invece implica un'indicazione alla DPIA). Preparare una sintetica DPIA è comunque una prassi utilissima, sia per analizzare bene il tipo di elaborazioni che facciamo, sia come «check-list» che ti aiuti a mettere in atto adeguati comportamenti di protezione dei dati! DPIA Valutazione d'impatto
  • 30. Il Garante Francese (CNIL) ha messo a disposizione una versione multilingue di un comodissimo software per la predisposizione della DPIA, che accompagna passo passo nella sua compilazione! Lo trovate qui: https://github.com/LINCnil/pia- app/releases/download/1.6.0/PIA-Setup-1.6.0.exe Abbiamo predisposto un documento apposito, che comprende già dei «testi-pilota» per le esigenze medie degli psicologi (in particolare di ambito clinico). La bozza "per psicologi" la trovate qui: (link). TEMPLATE DPIA by CNIL
  • 31. I N T R O D U C T I O N Cosa è? Qualunque violazione dei dati secondo i principi CIA! Ho un "data breach" se perdo la penna USB con sopra le cartelle cliniche; e se non erano crittografate, è un breach grave. Ho un data breach se non ho antivirus, e il mio pc con le cartelle cliniche viene violato da uno spyware. Ho un data breach se mi entrano i ladri in casa, e mi trovo l'armadio con i dati dei pazienti spalancato. Come la prevengo? Con le misure di sicurezza per CIA, e prestando la massima attenzione alla sicurezza e privacy dei dati, gestendo in maniera responsabile agende, penne USB, archivi cartacei, computer, smartphone… DATA-BREACH 
  • 32. I N T R O D U C T I O N Cosa si fa? In caso di violazione grave, che può compromettere i loro interessi, devi informarne subito gli interessati (i tuoi clienti) e l'Autorità - Garante della Privacy (entro 72 ore). Attenzione: NON devi informare se hai posto rimedio /risolto con la certezza che non vi siano conseguenze (ad es. era tutto crittografato), o in casi di chiara sproprorzione. Esempio 1: perdo la penna USB con il file "Segretisegretissimideimieipazienti.txt"; la cerco ovunque; mi dispero; poi la trovo dietro la scrivania dell'ufficio in cui entro solo io, dove era scivolata - in questo caso non devo avvisare nessuno (ma devo cifrare il file). Esempio 2: Il mio PC senza antivirus e senza firewall rimane infettato da un malware che riversa i miei dati sul Dark Web, dove vengono commercializzati in nero dall'Associazione Nemici degli Psicologi. Non avevo neanche cifrato la directory "Cartelle Cliniche e Perizie Delicate". Devo avvisare i pazienti, e l'Autorità. E prepararmi alle conseguenze (se non li avviso, sia chiaro, è molto peggio). DATA-BREACH  2
  • 33. I N T R O D U C T I O N Vediamo ora cosa fare, tecnicamente, per mettere in sicurezza i dati sensibili su supporto informatico (computer, smartphone, cloud…). Non ti preoccupare se sembrano cose complicate: in realtà non lo sono, e la loro applicazione permette di costruire il profilo di sicurezza necessario! MISURE DI SICUREZZA
  • 34. I N T R O D U C T I O NIl concetto è questo...
  • 35. I N T R O D U C T I O N E' fondamentale usare una buona "password policy", in particolare per le password "critiche" (cifratura cartelle cliniche e con dati sensibili, password manager, accesso alla posta elettronica). Questo significa, in sintesi: A - "La lunghezza conta, sempre": è il punto più importante in assoluto. NON usare mai password sotto gli 8-10 caratteri (possono essere forzate facilmente con appositi programmi a "forza bruta"). B - "La password è come un fazzoletto usato: non si scambia con altri": NON usare la stessa password per due o più servizi critici (ad es., posta e crittografia). E NON scriverla mai in chiaro sul computer, o in una mail nella tua mailbox! PASSWORD/1
  • 36. I N T R O D U C T I O N C - "La password è come un abbordaggio: non deve mai essere banale": nome.cognome, 12345, psicologia, password, la propria data di nascita, il nome della moglie o del gatto: NO (possono essere violate per tentativi o con attacchi "a dizionario"). Usa invece combinazioni semicasuali di lettere, numeri e simboli. Lunghe combinazioni, the longer the better! Puoi anche usare un Password Manager, che ti semplifica molto la gestione; mantiene in maniera crittografata tutte le password che usi tra diversi programmi. Tra i più diffusi e sicuri, LastPass e KeePass. Ovviamente li dovrai proteggere con una password molto forte! PASSWORD/2
  • 37. I N T R O D U C T I O N Senza antivirus, rischi di avere il tuo sistema violato da virus e malware, che mettono in grave pericolo i dati.  Usa un antivirus di qualità (ve ne sono di buoni anche freeware per le funzioni di base, come AVG o AVAST). Nota: Windows Defender antivirus è preinstallato in Win10! REGOLE:  Aggiornare le definizioni dell'antivirus almeno ogni 24 ore. Tenere sempre attiva la scansione real-time. Impostare le "euristiche" (=regole di riconoscimento files sospetti) su alta/massima sensibilità. CONTROLLARE ogni singolo file ricevuto come allegato via posta o scaricato da internet, prima di aprirlo! Idem per le penne USB: "niente chiavette dagli sconosciuti" è una regola sempre valida. ANTIVIRUS ANTIMALWARE
  • 38. I N T R O D U C T I O N Il Firewall è il software che impedisce "flussi di dati" non autorizzati tra il vostro computer e le reti esterne, filtrandoli in entrata ed uscita. Ogni programma / app deve essere quindi "autorizzato" per poter comunicare con l'esterno. E' fondamentale per evitare attacchi, e limitare perdite di dati dovuti a malware e intrusioni. Esistono diverse offerte professionali, ma tutti i computer Windows recenti dispongono di Windows Defender pre-installato, che va bene come funzione di base. Se non sapete cosa/come fare, lasciatelo semplicemente sempre attivo, e sciagura a voi se provate a disattivarlo / disinstallarlo o a ridurre la rigorosità delle regole di default. FIREWALL
  • 39. I N T R O D U C T I O N Questo è un punto fondamentale per gli Psicologi! Crittografare un file o directory significa renderlo di fatto illeggibile a chi non conosce la password. NON è sufficiente usare la password di lettura di Word o Excel! E' fondamentale crittografare i dati sensibili (cartelle cliniche, perizie, relazioni diagnostiche, appunti di sedute) che conservi sul computer, laptop e smartphone o che carichi in cloud (Dropbox, Gdrive).  In questo modo, anche in caso di smarrimento o accesso improprio, sarà impossibile leggere il documento, ed accedere ai dati dei pazienti/clienti. CRITTOGRAFIA
  • 40. I N T R O D U C T I O N Una buona crittografia richiede un algoritmo sicuro ben implementato e una password forte (=lunga e non facilmente individuabile).  Esistono diversi algoritmi sicuri: il più usato attualmente è l'AES-128 o 256, implementato in molti programmi.  Per crittografare documenti, usa sempre password diverse da quelle che usi per l'accesso alla posta/cloud: in questo modo, anche se vi è un accesso improprio al servizio online, i dati rimangono illeggibili. CRITTOGRAFIA
  • 41. I N T R O D U C T I O N Via impegnativa: scarica VeraCrypt (https://www.veracrypt.fr/en/Home.html) e segui le istruzioni per crittografare una directory o disco virtuale "sicuro" sul tuo computer. Serve un minimo di confidenza informatica. Via easy: scarica il compressore 7zip (https://www.7-zip.org/), e comprimi in formato crittografato i files sensibili (lo si seleziona dalla finestra delle opzioni di compressione, sulla destra). Puoi così crittografare e decrittare anche intere directories, spostare facilmente i files cifrati su supporti di backup (penne USB, HD esterni) e inviarli cifrati come allegati alle email (usando però un canale diverso per comunicare la password relativa!). Alternativa: un altro ottimo programma free per cifrare files con semplicità è AxCrypt (https://www.axcrypt.net/it/). Come crittografare
  • 42. I N T R O D U C T I O N E' necessario (ed è pratica intelligente, e noi da psicologi siamo intelligenti - vero?) fare delle copie (backup) regolari dei propri files di lavoro, in caso di perdita, cancellazione accidentale, gatto rivendicativo che usa come lettiera il vostro portatile. I backup relativi ai dati personali/sensibili di pazienti e clienti devono essere fatti in modalità *crittografata* e messi su HD esterno/USB sticks che vengono poi conservati in maniera sicura (armadio chiuso a chiave, etc.).  NON fare ovviamente copie in chiaro su HD esterni o penne USB che poi lasci in giro! BACKUP REGOLARI
  • 43. I N T R O D U C T I O NSmartphone: l'hai dimenticato?
  • 44. I N T R O D U C T I O N Quasi sicuramente avrai sullo smartphone una rubrica telefonica con i numeri e nomi dei pazienti. Quasi sicuramente scambierete email o WA con i pazienti, accedendovi in automatico (gmail, etc.). DEVI quindi fare 3 cose: Attivare il PIN di accesso, e che non sia banale (non 1234)! Attivare la Crittografia dello smartphone (di default su alcuni modelli, o attivando l'opzione nelle Impostazioni di sicurezza) Usa una App Antivirus (Avast e AVG sono gratuite). Valuta se mascherare i contatti in rubrica dei pazienti (solo il nome, solo le iniziali, etc.) o se mescolarli in maniera non riconoscibile a quelli di amici e colleghi. Ricorda che smarrire uno smartphone non protetto significa lasciare in giro tutta la tua vita digitale, con i dati accessibili direttamente dallo stesso (account posta, rubrica, messaggi, contatti WA e Skype, etc.)! Smartphone
  • 45. I N T R O D U C T I O N Ricordi quel discorso per cui è opportuno avere le cartelle cliniche e i dati dei pazienti sempre sotto chiave? Ecco, ricordiamocelo, e smettiamola di lasciare in giro agendine e cartelle sulle scrivanie! Soprattutto in caso di studi condivisi, le cartelle cliniche sono da conservare con grande attenzione ed in maniera non accessibile a terzi (armadio o cassettiera di sicurezza, ufficio chiuso a chiave, etc.). Nell'armadio chiuso a chiave vanno anche agende, rubriche e copie dei consensi: tutta la documentazione che riporta dati sensibili (il solo fatto che una persona vada dallo psicologo è già potenzialmente dato sensibile). SICUREZZA FISICA
  • 46. I N T R O D U C T I O N Pseudonimizzare significa rendere scisso il dato dal soggetto a cui fa riferimento: ad esempio, un protocollo Rorschach che viene compilato senza nomi, ma solo un codice numerico o una sigla. Conserverai a parte la corrispondenza tra codici e nominativi; ovviamente quel file dovrà essere crittografato e custodito con cura (evitando magari di metterlo sul desktop come: "Tuttiinomideipazienticonilorocodicisegretissimi.txt", o di portarselo nell'Agendina dell'Ordine con tutti i numeri dei pazienti e il loro codice accanto). Dobbiamo sempre più prendere l'abitudine di mascherare/pseudonimizzare le nostre cartelle cliniche, i nomi dei files più delicati, gli esiti diagnostici, i files con appunti relativi a sedute, i files delle perizie, etc. Pseudonominizzare
  • 47. I N T R O D U C T I O NINFORMATIVE E CONSENSI
  • 48. I N T R O D U C T I O N Consenso con informativa privacy aggiornata Il Consenso deve essere espresso in maniera esplicita e per iscritto per il trattamento dei dati, ed accompagnato da una informativa privacy aggiornata al GDPR. Ricorda che il Consenso deve essere esplicito (non lo si può mai considerare implicito), e la sua mancanza fa venire meno la base giuridica con cui trattate i dati della persona (tranne casi speciali)! ADEMPIMENTI INFORMATIVI
  • 49. I N T R O D U C T I O N Tutta la parte di Informativa sulla Privacy deve essere aggiornata al GDPR, e fornita al cliente al primo incontro. L'Informativa deve essere CHIARA, SINTETICA E COMPRENSIBILE! Il cliente deve sapere come esercitare facilmente i suoi diritti (accesso ai dati, modifica/cancellazione, diritto di opposizione…). Il Consenso conseguente deve tassativamente essere firmato dal cliente (o da entrambi i genitori in caso di minorenne). NON fare niente con nessuno senza Consenso validamente firmato. NIENTE. Sennò rimpiangerai Voldemort! Informativa e consensi
  • 50. I N T R O D U C T I O NSei ancora lì? Ultime cose...
  • 51. I N T R O D U C T I O N Per inviare newsletter o proposte informative massive, dovete avere il consenso esplicito dei riceventi all'uso della loro email a tale scopo. Questo può essere confermato, per gli indirizzari già esistenti, alla prima email utile che invii. Ogni email - anche se abbiamo avuto il consenso -dovrà comunque riportare email/contatti per l'Opt-Out (possibilità di eliminarsi dal nostro indirizzario), cui si deve dare seguito immediato. NON si possono raccogliere email in maniera "generica" o automatica senza autorizzazione, per poi usarle per scopi di marketing senza consenso esplicito dell'interessato. MARKETING
  • 52. I N T R O D U C T I O N I dati relativi a minori sono considerati sensibili, e godono di tutela speciale. Il consenso al trattamento è previsto dal GDPR dai 16 anni - ma attenzione, questo vale solo per l'aspetto "trattamento dei dati": noi psicologi dobbiamo comunque chiedere il Consenso a entrambi i genitori per l'intervento psicologico per tutti i minori di 18 anni. SEMPRE. MINORENNI
  • 53. I N T R O D U C T I O N Il conferimento di dati e fatture al commercialista, o altro professionista, per loro successiva elaborazione (ad es. legale o fiscale) richiederebbe la nomina a Responsabile, che è un atto formale ed esplicito. Loro ne risponderanno per la loro parte di responsabilità tecnico-gestionale, ma sempre nei termini dell'incarico che gli avete affidato. Conferimento dati a terzi
  • 54. I N T R O D U C T I O N È il professionista esterno, specializzato in protezione dei dati e conformità dei trattamenti, cui ci si deve rivolgere obbligatoriamente in alcuni casi previsti dal GDPR. Il singolo libero professionista (anche se lavora in studio associato, o è convenzionato con il SSN/SSR) NON necessita di DPO! Se invece avete un centro clinico/cooperativa/società che tratta regolarmente dati sensibili, può essere opportuno o necessario averlo, in base al tipo di dati e trattamenti svolti. Data protection officer (DPO)
  • 55. I N T R O D U C T I O NHai detto sanzioni?
  • 56. I N T R O D U C T I O N Il GDPR prevede SANZIONI MOLTO PESANTI per chi non rispetta le misure di sicurezza o gestisce in maniera inadeguata i dati. E non si scherza! Per le grandi aziende si parla di sanzioni fino al 4% del fatturato, o molti milioni di euro. Il Garante ha già comunicato che le verifiche ci saranno, ed inizieranno già nel primo periodo di applicazione del GDPR, anche se non sono ancora definiti i criteri di determinazione delle sanzioni in Italia. I professionisti sanitari, trattando dati sensibili, dovranno considerarsi a forte probabilità di controlli e verifiche! Sanzioni
  • 57. I N T R O D U C T I O N Con il GDPR si inizia ad essere consapevoli di che dati gestiamo, del perché e del come lo facciamo, e di come li proteggiamo dai rischi. La miniguida sarà aggiornata  e ampliata regolarmente, perché diversi aspetti sono ancora "in interpretazione", e il primo periodo applicativo sarà essenziale per "prenderne le misure". Se hai segnalazioni, domande, ambiti che vorreste veder affrontati, vieni sul gruppo FB Diventare Psicologo! Per finire... o per iniziare...
  • 58. I N T R O D U C T I O N In primo luogo, questa presentazione! Compilando il modulo in fondo all'articolo trovi:  Bozza di Modulo di Consenso con Informativa Trattamento Dati aggiornata al GDPR Bozza di Registro di Trattamento in xls Nei prossimi giorni aggiungeremo: Template della DPIA in Italiano, con testi - traccia per psicologi Tool per la verifica di conformità del proprio sito/blog (link) Risorse dell'InfoPack GDPR (by DP/AP)
  • 59. I N T R O D U C T I O N Sito del Garante: www.garanteprivacy.it Garante Francese: www.cnil.fr Tabella di riassunto degli obblighi: http://www.altalex.com/documents/news/20 17/03/10/privacy-e-regolamento-ue-la- tabella-degli-obblighi-e-degli-adempimenti- del-titolare Altre Risorse
  • 60. I N T R O D U C T I O N www.altrapsicologia.it