Praxio
Toate articolele

Ghid

GDPR pentru cabinetul de psihologie: ghid practic

5 aprilie 2026 7 min de citit

Ce înseamnă GDPR pentru psihologi

GDPR (Regulamentul General privind Protecția Datelor) e legislația europeană care reglementează modul în care organizațiile colectează, stochează și folosesc datele personale. Pentru psihologi, GDPR nu e o formalitate birocratică — e un cadru legal direct aplicabil practicii zilnice.

De ce contează special pentru sănătate mintală? Pentru că datele pe care le colectezi nu sunt doar nume și telefon. Sunt informații despre starea psihică, istoric medical, traume, relații personale. GDPR le categorisește drept date sensibile — cu cel mai înalt nivel de protecție.

Orice cabinet, de la PFA individual la clinici mari, e obligat să respecte GDPR. Nu există „exceptat pentru cabinete mici".

Date sensibile vs date personale

GDPR face o distincție clară:

Date personale — orice informație prin care o persoană poate fi identificată: nume, telefon, email, adresă, CNP. Aceste date au protecție standard.

Date sensibile (art. 9 GDPR) — categorii speciale cu protecție sporită:

  • Date privind sănătatea (inclusiv sănătate mintală)
  • Date genetice sau biometrice
  • Origine etnică, opinii politice, credințe religioase
  • Orientare sexuală
  • Apartenență sindicală

În cabinet de psihologie, aproape toate datele colectate sunt sensibile. Notele de ședință, evaluările, diagnosticurile, problemele personale — toate cad sub art. 9.

Consecința practică: ai nevoie de consimțământ explicit, măsuri de securitate sporite și documentație riguroasă pentru procesare.

Consimțământul informat

Consimțământul sub GDPR trebuie să fie:

  • Liber — fără presiune sau condiționare
  • Specific — pentru un scop clar definit
  • Informat — clientul știe exact ce date se colectează și de ce
  • Explicit — formă scrisă sau digital, nu tacit

Ce trebuie să conțină formularul de consimțământ

Un consimțământ complet include:

  • Datele tale ca operator (nume, cabinet, contact)
  • Scopul procesării (ex: ședințe de psihoterapie, evaluări psihologice)
  • Categoriile de date colectate (identificare, contact, note clinice, evaluări)
  • Durata stocării (ex: 10 ani, conform standardelor profesionale)
  • Drepturile clientului (acces, rectificare, ștergere, portabilitate)
  • Cum poate retrage consimțământul
  • Contact pentru întrebări GDPR

Consimțământul trebuie semnat la începutul relației terapeutice — nu la a 5-a ședință.

Stocare și retenție

Unde stochezi datele contează. GDPR cere măsuri tehnice și organizaționale adecvate.

Ce NU funcționează:

  • Foldere pe desktop-ul laptopului personal
  • Fișiere Word trimise pe email
  • Note scrise pe post-it-uri sau caiete lăsate pe birou
  • Google Drive cu link-uri publice

Ce funcționează:

  • Soft dedicat cu criptare (at-rest și in-transit)
  • Servere situate în UE (sau cu clauze contractuale standard)
  • Acces controlat — doar tu vezi datele clienților tăi
  • Backup-uri automate

Cât timp păstrezi datele

Nu există un timp universal. Depinde de:

  • Standardele profesiei (COPSI recomandă minim 10 ani pentru documentația clinică)
  • Obligații fiscale (facturile se păstrează 10 ani)
  • Cereri explicite ale clientului (ștergere anticipată)

Important: datele nu se păstrează indefinit. GDPR cere să ștergi sau să anonimizezi datele când scopul a fost atins.

Drepturile clienților

Clienții tăi au drepturi explicite pe care ești obligat să le respecti. Dacă un client îți cere oricare dintre ele, ai maxim 30 de zile să răspunzi.

Dreptul la acces

Clientul poate cere o copie a tuturor datelor pe care le deții despre el: fișa, notele, facturile, contractele. Tu ești obligat să furnizezi aceste informații într-un format accesibil.

Dreptul la rectificare

Dacă datele sunt incorecte (ex: nume greșit, telefon vechi), clientul poate cere corectarea. Tu ești obligat să actualizezi fișa.

Dreptul la ștergere („dreptul de a fi uitat")

Clientul poate cere ștergerea datelor sale. Cu câteva excepții: dacă legea sau obligațiile profesionale (COPSI) cer păstrarea documentației, poți refuza ștergerea completă, dar trebuie să explici motivul.

Dreptul la portabilitate

Clientul poate cere datele într-un format structurat, utilizabil automat (ex: JSON, CSV) pentru a le transfera la alt profesionist.

Dreptul la opoziție

Clientul se poate opune procesării (ex: nu vrea să primească newsletter, nu vrea ca datele lui să fie folosite pentru cercetare anonimă).

Sancțiuni și riscuri reale

GDPR nu glumește cu sancțiunile. Amenzile pot ajunge la:

  • 20 milioane euro sau
  • 4% din cifra de afaceri globală anuală

Pentru un cabinet individual, amenzile reale sunt mai mici — dar pot ajunge la zeci de mii de euro chiar și pentru încălcări „minore".

În practică, autoritățile române (ANSPDCP) au amendat deja cabinete medicale pentru:

  • Date stocate nesecurizat
  • Lipsă consimțământ documentat
  • Acces necontrolat la date
  • Scurgeri de date (ex: email trimis la greșit cu atașament clinic)

Riscul cel mai mare nu e amenda — e pierderea încrederii clienților și posibile acțiuni civile.

Checklist GDPR pentru cabinetul tău

Verifică următoarele puncte. Dacă lipsește ceva, e timpul să acționezi:

  • [ ] Ai formular de consimțământ informat, semnat de fiecare client
  • [ ] Consimțământul specifică scopul, durata, drepturile clientului
  • [ ] Datele sunt stocate într-un sistem criptat (nu pe desktop)
  • [ ] Ai politică de retenție clară (cât timp păstrezi datele și când le ștergi)
  • [ ] Accesul la date e controlat — doar tu (și colegii autorizați) poți vedea fișele
  • [ ] Poți răspunde în max 30 zile la o cerere de acces, rectificare sau ștergere
  • [ ] Ai procedură pentru incidente de securitate (ex: laptop furat, email trimis greșit)
  • [ ] Ai un registru de procesare documentat (ce date, pentru ce scop, cât timp)
  • [ ] Dacă folosești servicii externe (email, stocare cloud), ai contracte DPA cu furnizorii

Cum un soft dedicat ajută

Gestionarea GDPR manual e posibilă, dar consumă timp și crește riscul de erori. Un soft construit pentru psihologi simplifică conformitatea:

  • Criptare automată a datelor — stocate în cloud securizat, în UE
  • Consimțământ documentat per client, cu dată și versiune
  • Acces controlat — autentificare, parolă, audit log
  • Export pentru portabilitate cu un click
  • Ștergere controlată când clientul cere
  • Backup automat — nu pierzi date dacă laptopul se strică

Praxio e un soft pentru psihologii din România care respectă GDPR by design. Datele sunt stocate criptat în infrastructură europeană, consimțământul e documentat digital, iar drepturile clienților pot fi gestionate direct din interfață. Astfel, GDPR nu mai e o grijă constantă, ci ceva ce funcționează în fundal — lăsându-te să te concentrezi pe practică.