Am abordat alături de Alex Gheorghe, specialist in protecția datelor cu caracter personal in cadrul companiei Inperspective Business, modul în care ședințele de psihoterapie sunt desfășurate și cum ar trebui să fie desfășurate din punct de vedere al legislației privind prelucrarea datelor, de la încheierea contractului de prestări servicii psihologice până la retenția datelor prelucrate și comunicarea obligației de confidențialitate către pacient la nivelul contractului.
Cât de importante sunt datele personale și informațiile cu care lucrează psihoterapeutul din punct de vedere al Regulamentului General privind Protecția Datelor (GDPR)?
Încă de la bun început, ne exprimăm cu privire la tipul informațiilor și a datelor dobândite de psihoterapeut în cadrul ședințelor de psihoterapie ca intrând în categoria datelor cu caracter personal speciale prevăzute de art. 9 din GDPR.
Astfel, baza legală a prelucrării datelor personale ale pacientului de către psihoterapeut, în toate cazurile este consimțământul pacientului, în acest sens Colegiul Psihologilor înștiințând pe pagina web a organizației în cadrul unui „Sumar ghid GDPR” despre obligația de modifica semnificativ formularul de informare și consimțire dat clientului – persoana fizică în conformitate cu GDPR, ceea ce impune modificări în contractul de prestări servicii psihologice.
Suntem de acord că formularul trebuie modificat sau actualizat iar Colegiul Psihologilor ar trebui să pună la dispoziția psihoterapeuților un formular standard adaptat cerințelor GDPR.
Psihoterapeuții ar trebui să consulte un Data Protection Officer?
Având în vedere categoria datelor personale „speciale” prelucrate de cabinetele de psihoterapie, nu suntem de acord cu opinia Colegiului Psihologilor conform căreia „psihologul analizează situația cabinetului său și decide dacă are nevoie să desemneze un responsabil cu protecția datelor personale (angajat sau ca serviciu externalizat)”.
Psihologul nu are competența de a-și analiza singur practica de prelucrare a datelor nefiind specialist în domeniul prelucrării datelor personale; astfel, psihoterapeutul NU poate decide în raport cu tipul de date personale prelucrate și cu scopul acestei prelucrări, dacă are sau nu nevoie de un DPO.
În opinia noastră, toți psihologii care prestează servicii sub forma de PFA, SRL sau alte forme de organizare profesională în legătură directă cu beneficiari persoane fizice au nevoie să consulte un DPO și să încheie cel mai basic contract de colaborare cu un astfel de specialist.
Este obligatoriu un contract de prestări servicii între psiholog și pacient? Ce aspecte ar trebui să includă un astfel de act?
Contractele de prestare servicii psihologice sunt rareori încheiate de psihoterapeuți cu pacienții preluați în terapie, conținutul contractului este mai degrabă general decât specific, formularul de consimțământ al prelucrării datelor prevăzut de kitul informativ publicat pe website-ul Colegiului Psihologilor este inexistent ca anexă la contract iar prelucrarea datelor cu caracter personal este tratată lacunar.
Încheierea contractelor de prestare servicii între psihoterapeut și pacientul beneficiar nu reprezintă “o practică” unitară la nivel național, deși Legea nr. 213/2004 privind exercitarea profesiei de psiholog cu drept de liberă practică, înființarea, organizarea și funcționarea Colegiului Psihologilor prevede că “Raporturile contractuale se stabilesc între psihologul cu drept de liberă practică şi beneficiarul serviciilor oferite de acesta art. 14 alin (1).”
Contractul de prestare servicii psihologice este obligatoriu și în cazul în care beneficiarul relaționează cu o societate civilă profesională (mai mulți psihologi cu drept de liberă practică care se asociază) și pacientul beneficiar, așadar nu numai în cazul în care acesta din urmă relaționează direct cu psihoterapeutul ales (art. 15 alin 2 din Lege).
O clauză deosebit de importantă în cadrul acestor contracte o reprezintă confidențialitatea informaților primite de terapeut cu atât mai mult cu cât, în cadrul ședințelor de psihoterapie, terapeuții notează idei, schematizează povestea pacientului sau transferă informații considerate importante pentru obiectivul terapeutic stabilit și extrase din discuțiile libere purtate în cadrul întrevederilor.
Un contract de prestare servicii psihologie care nu tratează confidențialitatea interacțiunii psihoterapeutice este în opinia noastră un contract ratat...
Confidențialitatea actului psihologic este “o obligație a fiecărui psiholog” (art. 4 alin. 2) iar prin Normele Metodologice din 14 iulie 2005 au fost detaliate obligațiile psihologului din punct de vedere al păstrării confidențialității, în sensul în care informațiile dobândite de la pacient nu pot fi utilizate în interes personal sau în beneficiul unui terț.
De asemenea, dacă actul psihologic presupune realizarea unor teste sau a unor evaluări psihologice în funcție de anumite criterii profesionale, rezultatele acestor teste și respectiv evaluări pot fi prezentate unei terțe persoane numai cu acordul persoanei testate sau evaluate în raport cu relevanta informaților, cu scopul urmărit și fără motivarea concluziilor profesionale ale psihoterapeutului.
Bineînțeles, psihologul trebuie să dezvăluie aspecte cuprinse în confidențialitatea actului psihologic în situații prevăzute de lege, iar aceste situații trebuie în opinia noastră să fie clar specificate în cadrul contractului de presari servicii psihologice.
Un alt aspect important privind actul psihologic și forma contractuală a acestuia, îl reprezintă în opinia noastră principiul limitării legate de stocarea în timp a datelor personale ale pacientului, prevăzut de Regulamentul General privind Protecția Datelor (GDPR) în cadrul art. 5 punctul 1 lit. (e).
Revenim astfel la notițele preluate de psihoterapeut în cadrul ședințelor de psihoterapie sau post-ședința având în vedere că aceasta este o practică necesară continuității actului psihologic, fără însă ca pacientul să cunoască pentru cât timp sunt stocate informațiile preluate de terapeut după finalizarea relației terapeutice (încetarea contractului) și în ce condiții sunt aceste informații stocate de terapeut.
Cabinetele de psihoterapie, fiind operatori economici în relație directă cu persoane fizice (persoana vizată) au obligația de a asigura integritatea, securitatea și disponibilitatea datelor prin implementarea unor masuri tehnice și organizatorice (art. 32 din GDPR – Securitatea prelucrării) privind modul în care aceste date sunt prelucrate, incluzând retenția în timp a acestor date stocate în format fizic (note scrise pe hârtie) sau în format electronic (note scrise în format electronic și stocate pe laptop sau tabletă).
Pacienții au drept de acces la datele prelucrate de psihoterapeut?
Ridicăm un semn de întrebare privind dreptul de acces al pacientului la datele personale stocate de psihoterapeut. Astfel, dreptul de acces al persoanei vizate este (conform art. 15 din GDPR) un drept absolut al pacientului, care poate solicita o copie de pe datele astfel prelucrate de terapeut – în măsura în care această copie nu aduce atingere drepturilor și libertăților altor persoane menționate în cadrul actului psihologic.
Așadar, în ce măsură poate psihoterapeutul să ofere „acces” pacientului la date și cum ar trebui să fie materializat acest „acces”, sunt aspecte care trebuie să fie prevăzute de în cadrul contractului de prestare servicii psihologice.
În opinia noastră, accesul, fiind așa cum spuneam un drept absolut al pacientului, poate fi realizat de către psihoterapeut exclusiv în prezența acestuia fără a înmâna pacientului copii de pe notele preluate de psihoterapeut în cadrul ședințelor de terapie, fără a transmite pacientului copii electronice sau fizice de pe aceste documente, cu excepția cazului în care copiile sunt solicitate de autoritățile de stat (ex. poliție, instanța de judecată în cadrul procedurilor judiciare, etc.).
Ce aspecte trebuie să fie avute în vedere de psihoterapeutul care prelucrează date cu caracter personal ale minorilor?
Limita minimă prevăzută de GDPR pentru prelucrarea datelor copiilor minori este 16 ani. Sub acest prag de vârstă, consimțământul titularului răspunderii părintești este obligatoriu prealabil realizării oricărei activități de prelucrare a datelor cu caracter personal aparținând unui minor.
Totuși, la nivel național, vârsta majoratului este 18 ani, așadar pentru a nu rătăci prin nuanțe și interpretări ale articolelor din Regulament, considerăm că formalitatea consimțământului informat în formă scrisă este obligatoriu de obținut de către psiholog prealabil stabilirii unui plan de tratament (care implică prelucrarea datelor pacientului minor aflat sub pragul vârstei de 18 ani).
Integrarea principiului stocării datelor cu caracter personal în timp rămâne un aspect deosebit de important pe care psihologul trebuie să-l ia în considerare la finalul ședințelor de terapie cu un minor, în sensul de a înmâna părinților sau titularului autorității părintești materialele primite în cadrul ședințelor de terapie (desene realizate de copilul aflat în terapie, înscrisuri, etc.) analizate în cadrul ședințelor.
Retenția în timp a datelor prelucrate în cadrul terapiei minorilor trebuie să fie stabilită pentru un termen restrâns si din nou, suntem de părare că formalizarea unitară a termenelor de stocare a datelor de către psihologii practicanți ar trebui să fie un demers organizat de Colegiul Psihologilor iar rezultatul acestuia integrat în Codul Deontologic al profesiei.