Provvedimento dell’11 gennaio 2024 [9983210] – Garante Privacy

Nel mese di marzo 2023 è pervenuto al Garante della privacy un reclamo con il quale è stata lamentata l’avvenuta diffusione sul social media Instagram, nel profilo pubblico della società che gestisce un centro estetico, di un video in cui il reclamante è stato ripreso durante una procedura di medicina estetica.

Il reclamante ha sostenuto che tale diffusione fosse avvenuta in assenza di un valido presupposto giuridico, in quanto l’informativa resa e la manifestazione di consenso sottoscritta dall’interessato non sarebbero conformi alla disciplina in materia di protezione dei dati personali.

1.    L’istruttoria ed i rilievi del reclamante e della Società.

Preso atto di ciò, l’Autorità ha avviato l’istruttoria chiedendo informazioni alla Società, la quale ha riscontrato che, fra le altre cose, il consenso rilasciato dal reclamante conteneva l’espresso avvertimento e chiara previsione che i dati e le immagini acquisite nel corso dei trattamenti sarebbero state utilizzate anche per la pubblicazione sui social network a scopi divulgativi/scientifici/pubblicitari, come da art. 1 dell’informativa sottoscritta dall’interessato.

Il trattamento, inoltre, sarebbe stato relativo a video di pochi secondi pubblicati tramite “live story” su Instagram e di un “post”, sarebbe stato quindi coerente con le informazioni date e con il consenso prestato. In aggiunta, il video sarebbe stato prontamente rimosso, dietro richiesta semplice dell’interessato.

La società ha evidenziato anche l’importanza divulgativa dei social network, come riportato da un rapporto della Commissione europea, il c.d. Eurobarometer 2021, ove si indica come nei Paesi europei il 29% della popolazione si tiene informata su scienza e tecnologia attraverso i nuovi media digitali, tra cui i social network.

Infine, la Società ha anche posto in essere le seguenti azioni per la verifica della conformità dei trattamenti svolti alla disciplina in materia di protezione dei dati personali:

• organizzato specifici corsi di formazione cui hanno partecipato i dipendenti e collaboratori coinvolti nel trattamento dei dati e di aver avviato un processo di revisione di tutte le procedure interne, il cui completamento verrà anticipato rispetto alla data precedentemente indicata nella fine del corrente anno;
• organizzato specifici corsi di formazione sulla privacy per i dipendenti, e avviato un processo di revisione di tutte le procedure interne;
• nominato, a decorrere dal 1° maggio 2023, un DPO esterno ed esperto in materia;
• già prima della ricezione della comunicazione circa l’avvio del presente procedimento, modificato i documenti con i quali viene richiesto il consenso al trattamento dei dati ai pazienti, adottando specifiche disposizioni sull’utilizzo dei dati sanitari ai fini di presentazioni, pubblicazioni o divulgazioni scientifiche, anche sui social media;
• previsto l’ulteriore verifica da parte di società specializzata in materia;
• programmato, con l’ausilio del nominato DPO, l’ulteriore rielaborazione della modulistica per esprimere il consenso informato e quello al trattamento dei dati;
• in corso di valutazione l’adozione di specifici strumenti di verifica e modifica e/o che rendono automaticamente non identificabili i soggetti che si sottopongono ai trattamenti (anonimlzzazione/pseudonomizzazione) previa, in ogni caso, verifica che siano state fornite dagli interessati tutte le autorizzazioni richieste dalla disciplina di settore.

Va aggiunto anche che la Società, mediante scritti difensivi, ha riportato che la procedura di medicina estetica non sarebbe qualificabile come relativa a “dati sanitari”.

2.    Le valutazioni dell’Autorità.

L’Autorità ha osservato quanto segue:

• In primo luogo, ha rilevato che per “dato personale” deve intendersi ““qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, ha riportato l’art. 4 del GDPR, secondo il quale “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” e si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del GDPR). Il considerando n. 35 del GDPR precisa poi che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”;
• Il Garante ha precisato che, con riferimento ai dati trattati dal professionista sanitario, nei casi in cui il trattamento non sia strettamente necessario per finalità di cura e la base giuridica sia rappresentata dal consenso dell’interessato, tenuto conto della natura di tali dati, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, tale consenso deve essere prestato attraverso un atto positivo con il quale l’interessato manifesta una volontà libera, specifica, informata e inequivocabile relativa al trattamento dei dati personali che lo riguardano (art. 9, par. 2 lett. a) del GDPR e par. 4 delle Linee guida 5/2020 sul consenso ai sensi del GDPR (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali il 4 maggio 2020).

Dalla documentazione prodotta in atti, si rileva che:

• la Società, sulla base delle disposizioni sopra richiamate, nell’effettuare un video di 34 secondi in cui è riconoscibile il volto del ricorrente durante una procedura di medicina estetica, volta a rimuovere delle imperfezioni fisiologiche dell’interessato, definita nello stesso video come una “rinoplastica non chirurgica”, ha effettuato un trattamento di dati sulla salute dell’interessato. Il Garante in numerosi provvedimenti ha chiarito che la natura “sensibile” (ora “particolare” ex art. 9 del GDPR) di un’informazione deve essere valutata anche in relazione al contesto di riferimento.
• ha diffuso informazioni sullo stato di salute del reclamante in modo non conforme alla disciplina in materia di protezione dei dati personali che ne dispone un esplicito divieto.

è di rilievo sottolineare che, secondo il Garante, citando il Codice di condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica approvato con il provvedimento del Garante n. 7 del 14 gennaio 2021, per le richiamate e asserite finalità divulgative-scientifiche perseguite dalla Società mediante la pubblicazione del predetto video avrebbero dovuto, se del caso, essere perseguite attraverso il trattamento di dati anonimizzati alla luce dell’Opinion 05/2014 del WP29; qualora non fosse stato possibile procedere all’anonimizzatine dei dati (es. per le peculiarità del caso clinico rappresentato), si sarebbe dovuto acquisire uno specifico e informato consenso dell’interessato, raccolto il quale i dati avrebbero dovuto comunque essere sottoposti a pseudonimizzazione.

In ogni caso, non può ritenersi valido il consenso acquisito dal reclamante in occasione dei trattamenti di medicina estetica cui l’interessato si è sottoposto, in quanto non esplicito, specifico e non informato in ordine alla finalità in questione (cfr. Il citato codice di condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica). Infatti, l’informativa utilizzata dal titolare, nella sezione rubricata “finalità del trattamento”, reca un generico riferimento “alla pubblicazione di articoli su social media e magazine” non specificando che sarebbero stati diffusi dati sulla salute dell’interessato sul profilo pubblico social della società, senza alcuna pseudonimizzazione degli stessi.

Infine, l’Autorità ha rilevato che l’informativa non prevedesse gli elementi essenziali dell’art. 13 del GDPR:

• essendo erroneamente indicato quale titolare del trattamento la legale rappresentante e non la società (art. 13, par. 1, lett. a) del GDPR);
• essendo indicate le finalità del trattamento in modo contraddittorio, in quanto – in via preliminare – viene rappresentato agli interessati che “tutti i dati personali e le immagini raccolte durante gli interventi del centro medico […] verranno usate per l’organizzazione e la gestione degli eventi e dei convegni per pubblicità degli strumenti medici e per la pubblicazioni di articoli su social media, magazine” e -a seguire – che “tutti i trattamenti effettuati dal centro medico […] in qualità di titolare sono finalizzati unicamente al corretto svolgimento delle attività necessarie per l’erogazione dei trattamenti di medicina estetica o per altre prestazioni mediche da voi richieste”;
• non essendo indicate tutte le finalità del trattamento, in particolare quella oggetto di contestazione e consistente nella diffusione del citato video sul social media Instagram, che in ogni caso non risulta ammessa se non nei limiti sopra evidenziati (art. 13, par. 1, lett. c) del GDPR);
• non essendo indicate le diverse basi giuridiche dei trattamenti effettuati, (art. 13, par. 1, lett. c) del GDPR);
• essendo erroneamente prevista, quale base giuridica per il trattamento dei dati per finalità di cura, il consenso dell’interessato, non più previsto dall’art. 9 par. 2 lett. h) del GDPR;
• non essendo indicato il diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca, per i trattamenti che si fondano su tale condizione di liceità (art. 13, par. 2, lett. c)) del GDPR);
• non essendo indicati tra i destinatari tutti i soggetti terzi che potrebbero riceverli coerentemente con le finalità indicate (quali ad es. i proprietari delle piattaforme di social media) (art. 13, par. 1, lett. e del GDPR).

3.    Considerazioni conclusive

In sintesi, l’Autorità ha accertato che effettivamente il video, postato dal centro medico per scopi divulgativi, riprendeva il volto riconoscibile del paziente per più di 30 secondi, senza che l’interessato avesse rilasciato uno specifico consenso alle riprese e alla relativa diffusione. Inoltre, il filmato era rimasto online accessibile a chiunque per 45 giorni, prima di venire rimosso dal centro medico a seguito della richiesta di cancellazione del paziente.

Con il provvedimento sanzionatorio, l’Autorità ha ribadito che è necessario prestare particolare attenzione nel diffondere immagini e informazioni riferite a casi clinici per scopi divulgativi o scientifici. Prima di farlo, occorre sempre accertarsi che il paziente sia stato preventivamente informato, abbia dato il proprio specifico consenso o che i suoi dati siano stati resi anonimi.

Il Garante, nel ricordare che in tale contesto, senza il consenso dell’interessato, è vietata la diffusione video di qualsiasi informazione sullo stato di salute, ha pertanto irrogato al centro medico una sanzione di 8mila euro per trattamento illecito di dati sanitari.  

L’Autorità ha inoltre ingiunto alla struttura sanitaria l’adozione di misure correttive per conformare l’informativa alla normativa privacy.

Avv. Adamo Brunetti