Datele pe care le colectezi ca terapeut — nume, vârstă, problematică, notițe din sesiuni, istoric — nu sunt date obișnuite. Intră în categoria date speciale de sănătate, protejate explicit de GDPR prin Articolul 9.

Asta înseamnă că regulile obișnuite nu sunt suficiente. Și că multe din soluțiile pe care le folosesc terapeuții independent acum — un caiet, Notes pe telefon, un Google Doc — nu îndeplinesc cerințele minime.

Important: Acest articol e informativ, nu consultanță juridică. Dacă gestionezi date sensibile ale pacienților, consultă un avocat specializat în protecția datelor pentru situația ta specifică.

Ce date colectezi, de fapt

Probabil mai multe decât crezi:

Toate acestea sunt date personale. Cele care privesc sănătatea sunt date speciale — categoria cu cel mai înalt nivel de protecție din GDPR.

De ce contează asta pentru terapeutul independent

Multe cabinete mari au un DPO (Data Protection Officer) și proceduri interne. Ca terapeut independent, tu ești și operatorul de date, și responsabilul cu securitatea lor.

Asta nu înseamnă că ai nevoie de un departament juridic. Înseamnă că ai nevoie de câteva practici clare și de instrumente care le susțin.

"Notes pe telefon nu e o soluție GDPR. Dacă îți pierzi telefonul, datele pacienților tăi sunt expuse. Dacă cineva îți ia accesul la cont, la fel."

Ce nu e GDPR-conform (dar mulți folosesc)

Notes sau Keep pe telefon. Nesincronizate cu backup criptat, fără control al accesului, vulnerabile la pierderea dispozitivului.

Google Docs sau foi Excel. Datele ajung pe servere Google în SUA, sub jurisdicție americană. Există acorduri de transfer, dar configurarea corectă necesită atenție. Și accesul la fișier e greu de controlat.

Email-ul personal. Dacă trimiți sau primești informații despre un pacient pe Gmail sau Yahoo, datele sunt procesate de terți. Fără criptare end-to-end, fără control real.

WhatsApp. Meta prelucrează metadatele conversațiilor, inclusiv cine vorbești, când și cât. Chiar dacă conținutul mesajelor e criptat end-to-end, nu e o soluție potrivită pentru date medicale.

Ce e obligatoriu (minimul rezonabil)

Checklist conformitate de bază

  • Consimțământ explicit al pacientului pentru prelucrarea datelor — în scris, înainte de prima ședință
  • Politică de confidențialitate clară, comunicată pacienților
  • Date stocate în UE sau în jurisdicții cu protecție echivalentă
  • Acces la date restricționat — doar tu sau persoanele autorizate explicit
  • Criptare — datele să nu fie lizibile în caz de acces neautorizat
  • Procedură clară pentru ce faci dacă datele sunt compromise
  • Posibilitatea pacientului de a-și solicita datele sau ștergerea lor

De ce serverul contează (și de ce Frankfurt)

GDPR impune că datele cetățenilor europeni trebuie stocate în UE sau în țări cu protecție echivalentă (SUA, prin Privacy Shield, are o situație complicată din punct de vedere legal).

Frankfurt este unul din principalele hub-uri de date europene. Stocat acolo, datele pacienților tăi rămân sub jurisdicție europeană — cu toate garanțiile care vin cu asta.

Dacă folosești un instrument care stochează date pe servere americane fără un acord de transfer explicit și valid, ai deja o problemă de conformitate — indiferent cât de „securizat" pare produsul.

Ce e de bun-simț (dincolo de obligatoriu)

GDPR e minimul legal. Bun-simțul e mai mult.

Pacienții tăi îți împărtășesc lucruri pe care nu le spun nimănui altcuiva. Stocarea acestor date cu aceeași grijă cu care le asculți e o parte din contract — chiar dacă nu e scrisă explicit.

Un caiet pierdut în metrou, un telefon furat, un Google Doc accesat din contul personal — nu sunt scenarii paranoide. Se întâmplă. Iar consecința nu e doar o amendă GDPR. E pierderea încrederii unui pacient. E posibil un dosar la ANSPDCP. E o situație în care ai fi vrut să fi avut un sistem mai bun.

Nu ai nevoie de o infrastructură complicată. Ai nevoie de un instrument construit pentru asta — cu criptare, cu date în UE, cu acces controlat — care să facă conformitatea automată, nu o grijă în plus.