Tutti i professionisti sanitari a partire dal 2018 hanno dovuto uniformarsi al nuovo regolamento europeo relativo il trattamento dei dati personali chiamato GDPR (General Data Protection Regulation) che obbliga i professionisti (sia sanitari che non) che gestiscono i dati dei loro clienti/pazienti a soddisfare i requisiti richiesti dalla nuova normativa.
Va da sé che gli operatori sanitari come gli psicologi, oltre a rispettare il GDPR (tecnicamente chiamato Regolamento Europeo 2016/679), hanno anche l’obbligo di rispettare il proprio codice deontologico di riferimento a tutela dei loro assistiti (codice deontologico degli psicologi per la categoria degli psicologi, codice deontologico dei medici per la categoria dei medici, etc.).
Il GDPR è una normativa che, diversamente da molte altre normative del passato, richiede di sostanziare, in termini di documenti e procedure, una serie di criteri astratti al fine di essere aderenti (tecnicamente si usa il termine ‘compliant’) ad essa.
Il regolamento europeo sulla privacy non fornisce una serie di documenti precompilati da declinare all’interno del proprio contesto professionale bensì indica la tipologia di documenti che devono essere prodotti da parte del titolare del trattamento dei dati (per gli psicologi liberi professionisti si tratta del professionista stesso) per rispondere adeguatamente ai principi promossi dalla normativa.
Il GDPR quindi fornisce una specifica serie di principi volutamente generali ed astratti per indurre nei professionisti titolari del trattamento dei dati dei loro clienti/pazienti un atteggiamento proattivo che non potrebbe essere promosso nel caso la direttiva europea fornisse invece dei semplici modelli precompilati semplicemente da declinare nel proprio contesto lavorativo.
La filosofia della privacy promossa dalla nuova normativa europea prevede un cambiamento di prospettiva da burocratica/amministrativa a valoriale/concettuale e, per quanto riguarda il ruolo del titolare del trattamento dei dati, da passiva e statica a proattiva e dinamica.
Queste differenze rappresentano delle piccole grandi rivoluzioni che il GDPR ha voluto promuovere dalle quali deriva tutta una serie complessa di conseguenze sia concettuali che comportamentali oltre che, come vedremo tra poco, legali.
Sia per armonizzare il diritto europeo in materia di privacy che per le note vicende negative relative l’utilizzo improprio di dati personali soprattutto da parte di importanti corporation del web, si è sentita la necessità di codificare un regolamento dove fosse maggiormente facilitata, rispetto il passato, l’identificazione della responsabilità di coloro che trattano i dati personali e i dati sensibili, ecco perché il GDPR ha come primo principio cardine l’’accountability’ (traducibile con il temine italiano di ‘responsabilizzazione’).
La responsabilizzazione del titolare del trattamento dati richiesta dal GDPR non è più quindi, come in passato, limitata alla piuttosto passiva sottoscrizione di una serie di documenti standard generalmente ampiamente condivisi all’interno della comunità di appartenenza ma obbliga ad assumere un ruolo attivo e dinamico (che si aggiorna quindi nel tempo) rispetto le misure operative ritenute soggettivamente opportune, efficaci e dunque adeguate per salvaguardare i dati trattati.
Nello specifico della professione dello psicologo ne consegue quindi che ogni titolare del trattamento dei dati, per essere considerato adeguato al regolamento GDPR, deve essere in grado di documentare tali processi decisionali indicando anche quando questi processi decisionali sono stati effettuati.
È chiaro che la dinamica del trattamento dei dati informatici ed in particolare quelli che transitano nel web è profondamente più complessa rispetto il contesto tradizionale non digitale quindi il concetto di ‘accountability’ del GDPR applicato al mondo digitale implica una formazione ed una competenza specifica assolutamente non banale da parte dei professionisti.
Va fatto notare che attualmente in Italia, in particolar modo in seguito alla diffusione del supporto psicologico fornito in modalità online, promosso indirettamente dalla diffusione della pandemia, vi è il paradosso di una scarsissima formazione professionale in merito gli strumenti tecnici/tecnologici (e le loro implicazioni etiche, deontologiche e legali) malgrado si tratti di una modalità ormai largamente diffusa ed utilizzata dalla stessa comunità di professionisti.
A conferma di quanto appena esposto, attualmente nessun corso universitario in Italia tratta approfonditamente queste specifiche tematiche pur essendo ormai da decenni che la maggior parte di psicologi presenti nel mercato del lavoro (CNOP, 2017) sono soprattutto liberi professionisti e che, all’interno di questa categoria, le nuove tecnologie comunicative sono già ampiamente utilizzate da diversi anni (e lo saranno sempre di più).
Purtroppo questo scenario poco coerente riflette quanto la velocità dell’evoluzione tecnologica non sia abbinata ad una altrettanto veloce evoluzione culturale e formativa della professione dello psicologo.
I contesti digitali implicano dinamiche, e quindi anche potenziali rischi, relative la privacy degli utenti che sono diverse rispetto a quelle tradizionali, per questo motivo, per essere gestite correttamente richiedono una specifica formazione relativa alle implicazioni legali e deontologiche degli scenari informatici coinvolti.
È importante a questo punto comprendere che la logica descrittiva dei principi astratti introdotti dal GDPR rappresenta, dal punto di vista legale, un rovesciamento dell’ ‘onere della prova’ rispetto al passato per la tipologia di documentazione che il titolare del trattamento dei dati deve presentare al fine di dimostrare di essere aderente con il regolamento stesso.
Prima del GDPR in materia di privacy le istituzioni fornivano delle procedure formalizzate in modelli specifici da compilare e sottoscrivere (come riferimento si pensi ad esempio all’attuale documento del consenso informato), quindi la responsabilità legale e deontologica era limitata formalmente quasi unicamente all’atto piuttosto passivo relativo alla sottoscrizione del documento stesso.
Dopo l’introduzione del GDPR è invece lo psicologo stesso che deve creare i documenti dove vengono riportati i personali e soggettivi processi decisionali in merito al trattamento dei dati, fornendo quindi prova di aver effettuato queste azioni sia conoscitive/formative che applicative.
Ribadisco che documentare il proprio processo decisionale implica necessariamente l’acquisizione di una specifica formazione dedicata a questo argomento finalizzata alla concreta realizzazione delle specifiche procedure e comportamenti che soddisfano il codice deontologico e la regolamentazione europea sulla privacy.
Nei processi decisionali che lo psicologo prende in considerazione comunemente per gestire le informazioni dei propri clienti/pazienti esiste naturalmente la possibilità (presente soprattutto quando si gestiscono le dinamiche del mondo del web) di affrontare scenari molto complessi ed incerti.
Qui riporto alcuni esempi più frequenti:
Skype o Zoom sono piattaforme GDPR compliant o no?
Whatsapp è uno strumento idoneo per tutelare adeguatamente la privacy dei miei clienti?
Cosa succede se durante una videochiamata con il nostro paziente ci accorgiamo della presenza di una terza persona non prevista all’interno del servizio psicologico stabilito?
Rispondere a queste domande non è affatto banale e richiede di dedicare molto tempo ed energie finalizzate all’acquisizione degli aspetti sia tecnici sia legali purtroppo notoriamente lontani dal patrimonio formativo generalmente caratterizzante lo psicologo.
Sarebbe molto utile delegare queste competenze specifiche a professionisti esperti del settore legale ed informatico ma nella pratica professionale dello psicologo verosimilmente risulta essere una soluzione adottata molto raramente soprattutto per la combinazione di ragioni economiche (in modo particolare nel settore libero professionale) e di bassa consapevolezza generale relativa alle dinamiche ed i rischi di questi contesti professionali.
Dalla valutazione dei contesti incerti descritti poco sopra derivano scelte e comportamenti aderenti o meno il vigente regolamento europeo sulla privacy ed il codice deontologico di appartenenza.
In termini pratici ad esempio è corretto, dal punto di vista deontologico e del regolamento GDPR, utilizzare una piattaforma di videochiamata o una app di cui non conosciamo con presumibile sicurezza e chiarezza il trattamento dei dati?
Visti i recenti scandali che hanno coinvolto molte delle principali piattaforme di videochiamata e app, quanto è professionalmente accettabile per uno psicologo italiano continuare ad utilizzare con i propri clienti/pazienti queste tecnologie informatiche?
È corretto scegliere una piattaforma di videochiamata, o una app, sapendo che la privacy dei loro utenti è già stata largamente violata in passato?
In questo caso sappiamo dimostrare legalmente che non siamo co-responsabili di queste violazioni?
Da psicologi possiamo scegliere una piattaforma di videochiamata, o una app, quasi esclusivamente perché è già largamente utilizzata dagli utenti (anche perché generalmente presente gratuitamente) oltre che da molti colleghi psicologi (e magari anche promossa da diverse istituzioni psicologiche italiane…) senza sapere con sicurezza se è aderente al codice deontologico degli psicologi ed al GDPR tutelando quindi esaurientemente la privacy dei nostri clienti/pazienti?
Per scegliere la app o la piattaforma di videochiamate da utilizzare, è sufficiente affidarsi al fatto che venga promossa (più o meno direttamente attraverso video e documenti ufficiali dedicati a questo argomento) da istituzioni psicologiche (il CNOP, l’ordine regionale di appartenenza, etc…)?
Se sì, di chi è la responsabilità del promuovere aziende (private) che non soddisfano chiaramente i criteri richiesti dal GDPR e dal codice deontologico?
Se no, occorre registrare che il criterio di ‘accountability’ richiesto esplicitamente dal GDPR al titolare del trattamento dati dovrebbe essere di per sé sufficiente a contrastare le comunicazioni istituzionali che promuovono questi strumenti tecnologici evitandone quindi consapevolmente l’utilizzo.
Occorre notare che, in caso di incertezza riguardo l’adeguatezza del trattamento dati di qualsiasi strumento tecnologico utilizzato nell’interazione con il cliente/paziente la scelta deontologicamente e legalmente corretta è sempre quella che prevede di evitarne l’utilizzo per il principio di prudenza, di precauzione e di tutela nei confronti degli assistiti.
Di fronte alla valutazione incerta dei possibili rischi relativi al trattamento dei dati ai quali potenzialmente viene esposto lo psicologo stesso (titolare dei dati) e soprattutto il suo assistito, occorre quindi sempre evitare di utilizzare tale mezzo o strumento.
Solo se possiamo infatti documentare effettivamente il processo decisionale che ci ha condotti ad esempio ad utilizzare una piattaforma (GDPR ‘compliant’) piuttosto che un’altra (di cui non conosciamo con chiarezza la sua aderenza al GDPR o della quale siamo a conoscenza di criticità già emerse in passato nella gestione della privacy degli utenti) abbiamo la sicurezza di rispondere adeguatamente al principio di ìaccountability’.
Nel caso opposto, cioè se il processo decisionale prevede la scelta d’utilizzo di uno strumento tecnologico che non rispetta il regolamento europeo (magari perché il professionista non ha verificato questo aspetto), lo psicologo non sta rispettando in pieno il principio di ‘accountability’ richiesto dal GDPR né i principi espressi dal proprio codice deontologico perché sta esponendo sé stesso ed i suoi assistiti a rischi relativi alla privacy.
Tali rischi sono quindi anche potenzialmente legalmente perseguibili per il fatto di essere prevedibili, e quindi evitabili, attraverso un’adeguata formazione (prevista e data per scontata peraltro sia dal GDPR che dal codice deontologico degli psicologi).
È infatti notoriamente scorretto professionalmente utilizzare uno strumento di cui non si conoscono le specificità in merito al trattamento dei dati.
Sia deontologicamente che legalmente lo psicologo è tenuto sempre a tutelare al meglio la privacy dei propri clienti/pazienti quindi, in mancanza di informazioni che confermano l’aderenza al codice deontologico o al GDPR, non dovrebbe mai utilizzare strumenti che espongono ad un qualsiasi potenziale rischio i dati dei suoi assistiti.
Dove infatti non sono chiare o sono poco prevedibili da parte dello psicologo le implicazioni ed i rischi nell’utilizzo di uno specifico mezzo/strumento viene applicato il principio legale secondo il quale l’ignoranza non viene ammessa (in latino ‘ignorantia legis non excusat’) codificato sia all’interno del codice deontologico stesso degli psicologi (si veda ad esempio l’articolo 1, 4 e 5) che nel GDPR attraverso il principio di ‘accountability’ che prevede infatti il ruolo pro-attivo e dinamico del titolare del trattamento dei dati.
Quanto appena affermato risulta confermato anche dal parere legale di avvocati che ho personalmente interpellato specificamente su questi particolari aspetti relativi la professione dello psicologo.
Così come in auto, se non indossiamo la cintura di sicurezza guidando l’automobile (o non la facciamo allacciare ai passeggeri dell’auto) non stiamo rispettando il codice stradale, da psicologi se non utilizziamo uno strumento tecnologico idoneo per comunicare con i nostri clienti/pazienti non stiamo rispettando pienamente il nostro codice deontologico né il regolamento europeo sulla privacy.
La metafora è particolarmente calzante perché, come nel contesto automobilistico non ci sono evidenti problemi o palesi difficoltà durante la guida anche se non si indossano le cinture fino a quando non intervengono controlli da parte delle autorità o avvengono incidenti, nel contesto pratico dello psicologo vi può essere una pericolosa sottostima di alcuni rischi professionali legati al trattamento dei dati fino a che avvengono controlli o ‘incidenti’, rappresentati da eventuali cause legali risarcitorie promosse dai clienti/pazienti a scapito del professionista.
Per esperienza professionale personale sia lavorando all’interno di un’azienda di risarcimento danni sia grazie alla collaborazione con la collega americana Marlene Maheu, presidentessa della task force dedicata alla telepsicologia dell’APA (American Psychological Association), che già da diversi anni ha affrontato aspetti analoghi nel contesto della regolamentazione privacy americana (HIPPA), posso affermare che purtroppo talvolta questo tipo di controlli ed ‘incidenti’ avvengono e proprio per questo motivo occorre essere maggiormente consapevoli delle corrette pratiche professionali da adottare.
Soprattutto in questo periodo dove la pandemia ha accelerato notevolmente, anche se forzatamente, il processo d’utilizzo delle modalità digitali all’interno della pratica dello psicologo, esistono delle dinamiche psicosociali che hanno indotto probabilmente una diffusa e forte sottostima dei rischi nel trattamento dei dati di molti psicologi italiani (Agnoletti, 2020).
È dunque assolutamente prioritario, al fine di tutelare maggiormente sia gli psicologi che soprattutto i loro clienti/pazienti, colmare il più velocemente possibile il gap culturale e formativo relativo alle dinamiche legali/deontologiche implicate nell’uso delle recenti tecnologie comunicative che prevedibilmente si diffonderanno sempre più largamente all’interno della nostra comunità professionale.
Chiaramente questo compito deve essere promosso principalmente dalle istituzioni psicologiche italiane.
