Il Garante per la Protezione dei Dati Personali sanziona un centro di medicina estetica per trattamento illecito di dati personali

Nel marzo 2023, un paziente, dopo essersi sottoposto ad un trattamento di rinoplastica non chirurgica, presentava un reclamo al Garante per la protezione dei dati personali, lamentando la riconoscibilità del  suo volto pubblicato, tramite un post,  sulla pagina Instagram di un centro di medicina estetica (di seguito Società) presso cui aveva eseguito il suddetto trattamento; tale diffusione, secondo il reclamante, sarebbe avvenuta in assenza di un valido presupposto giuridico, dal momento che l’informativa resa e la manifestazione di consenso sottoscritta dall’interessato risultavano non conformi alla disciplina in materia di protezione dei dati personali.

La Società si è difesa affermando che il paziente aveva prestato il proprio consenso al trattamento dei  dati personali, il quale includeva anche l’uso delle immagini per scopi divulgativi e scientifici. Tuttavia, l’Autorità rilevava che l'informativa fornita dalla Società presentava delle lacune normative e non specificava chiaramente che i dati sanitari del paziente sarebbero stati diffusi sui social media.

Inoltre, il Garante ha ricordato che, secondo il Regolamento Europeo 2016/679 (GDPR), qualsiasi informazione che permetta di identificare direttamente o indirettamente una persona fisica costituisce un dato personale, specificando che i dati sanitari e relativi alla salute richiedono una protezione ancora più rigorosa.

Difatti, l’art. 9 del Regolamento sancisce un generale divieto al trattamento di particolari categorie di dati personali, tra cui rientrano i dati sanitari e relativi alla salute. Divieto derogabile solo a patto che ricorra una delle eccezioni previste dal paragrafo 2 del medesimo art. 9.

Il Garante, in numerosi provvedimenti, ha chiarito che “la natura particolare di un’informazione deve essere valutata anche in relazione al contesto di riferimento e, pertanto, un dato si può considerare relativo allo stato di salute dell’interessato anche se non si fa esplicito riferimento alla patologia eventualmente sofferta, ma solo ad informazioni ad essa correlate" (cfr. ex multis: provv. 11 aprile 2019, doc. web n. 9113830; provv. generale del 9 novembre 2005, doc. web n. 1191411; provv. 27 febbraio 2002, doc. web 1063639; punto 2, "Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati" doc. web n. 3134436).

Sulla base dei presupposti di legge sopra illustrati l’Autorità ha rilevato che la Società, attraverso la ripresa e diffusione sul social media di un contenuto multimediale della durata di 34 secondi nel quale è riconoscibile il volto del paziente, ha svolto un trattamento di dati sanitari e relativi alla salute dell’interessato, effettuando, pertanto,  un trattamento di dati personali non conforme ai principi di “liceità, correttezza e trasparenza”, in violazione degli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento e  in assenza di un idoneo presupposto normativo, in violazione degli artt. 2-septies, comma 8 del Codice, 6 e 9 del Regolamento.

L’informativa fornita dalla Società, inoltre, è stata considerata carente degli elementi essenziali di cui all’art. 13 del Regolamento in quanto:

1. il titolare del trattamento era stato erroneamente indicato;

2. le finalità del trattamento erano generiche e fuorvianti per l’interessato in quanto la società indicava quale unica finalità del trattamento l’erogazione dei trattamenti di medicina estetica tralasciando la finalità oggetto di contestazione (la diffusione di contenuti multimediali ritraenti il paziente tramite social media) non specificando chiaramente che i dati sanitari e relativi alla salute del paziente sarebbero stati divulgati online;

3. non furono individuate le corrette basi giuridiche che legittimano il trattamento dei dati personali;

4. non è stato menzionato il diritto di revocare il consenso con la stessa facilità con cui è stato prestato, per i trattamenti che si fondano su tale condizione di liceità (art. 13, par. 2, lett. c)) del Regolamento);

5. non sono stati indicati tra i destinatari tutti i soggetti terzi che avrebbero potuto ricevere i dati coerentemente con le finalità indicate (quali, ad esempio i proprietari delle piattaforme di social media) (art. 13, par. 1, lett. e del Regolamento).

   
   

A conclusione dell'istruttoria, e a seguito dell’accertamento del trattamento illecito di dati personali, l’Autorità ha ingiunto alla Società di adottare entro novanta giorni dalla notifica del provvedimento, alcune misure correttive e al riguardo la Società si è dimostrata collaborativa adottando le suddette misure.

Inoltre, quest’ultima ha rimosso tempestivamente il video su richiesta del paziente, ha provveduto alla nomina di un Data Protection Officer (DPO) esperto in materia ed esterno all’organizzazione aziendale, inclusa la formazione del personale e la revisione delle procedure interne.

Tuttavia, considerando che il trattamento effettuato ha pur sempre riguardato la diffusione per 45 giorni sul social media di una ripresa video della durata di 34 secondi del volto dell’interessato durante una procedura di medicina estetica, l’Autorità ha ritenuto di determinare l’ammontare della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) e b), del Regolamento, nella misura di 8.000 euro.

Inoltre, il Garante ha sottolineato l'importanza di prestare estrema attenzione quando si diffondono immagini e informazioni relative a casi clinici per scopi divulgativi. L’autorità ha ribadito che, prima di procedere con tali attività, è necessario che il paziente sia stato adeguatamente informato e che abbia espresso un consenso specifico. Alternativamente, i dati devono essere resi anonimi.

Questo caso dovrebbe rappresentare un monito per tutti i professionisti del settore sanitario e della comunicazione, in quanto rende evidente la necessità di rispettare rigorosamente le normative sulla protezione dei dati personali, specialmente quando si tratta di informazioni di carattere “particolare” come i dati sanitari e relativi alla salute.