Data protection

L’utilizzo delle foto di prestazioni mediche per fini diversi dalla prestazione di  cura.

Il Garante per la protezione dei dati personali, di seguito “Garante” ha sanzionato un chirurgo per avere pubblicato su una piattaforma social le foto di una propria paziente  effettuate durante un intervento chirurgico.[1]

Nel caso in esame si è verificata la fattispecie riconducibile alla diffusione di dati personali, che consiste nel “dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (art. 2-ter, comma 4, del Codice);

il caso

L’istruttoria è stata avviata dal Garante a seguito di un reclamo da parte di una sig.ra, con il quale la stessa lamentava l’avvenuta diffusione sul social media Instagram di fotografie nelle quali la stessa è ripresa durante un intervento di medicina estetica effettuato dal dott. …

La reclamante, attraverso il proprio legale, ha rappresentato che “in data XX, (…) subiva (..), intervento di “lifting cervico medio-facciale con blefaroplastica superiore e inferiore” eseguito dal dott…. In tale occasione, alla paziente venivano scattate alcune fotografie per uso interno. Nessun consenso veniva prestato, (anche perché non richiesto), alla divulgazione delle immagini.

Successivamente la sig.ra è stata avvisata da un’amica che circolavano, su Instagram, le immagini del suo volto assolutamente riconoscibile, prima (con cuffia operatoria) e dopo l’intervento, e sotto ciascuna immagine era presente il logo del dott. …, sulla cui pagina personale le fotografie facevano bella mostra”.

Nell’ambito dell’attività istruttoria si è reso necessario richiedere al dott. Rubino elementi di informazione utili alla valutazione del caso (note del XX, prot. n. XX, XX, prot. n. XX, del XX, prot. n. XX).

La istruttoria condotta dal Garante.

In relazione ai fatti descritti nel reclamo, l’Ufficio, ha notificato al dott. …, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento.

In particolare, l’Ufficio, nel predetto atto, ha ritenuto che il dott. …, diffondendo sul suo profilo del social media Instagram fotografie della reclamante, nelle quali la stessa è ritratta prima e dopo un intervento di medicina estetica, ha effettuato un trattamento di dati sulla salute in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento nonché dell’art. 2-septies, comma 8, del Codice.

Esito dell’attività istruttoria

Preso atto di quanto rappresentato dal dott. … nella documentazione in atti, si osserva che:

  • per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, punto n. 1 del Regolamento);
  • si considerano “dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento);
  • con specifico riferimento alle particolari categorie di dati, tra cui rientrano i dati sulla salute, l’art. 9, par. 1, del Regolamento sancisce un generale divieto al trattamento di tali dati, a meno che non ricorra una delle specifiche esenzioni previste nel par. 2 del medesimo articolo;
  • i dati relativi alla salute meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51); la disciplina in materia di protezione dei dati personali ne vieta espressamente la diffusione (art. 9, par. 4 del Regolamento e art. 2-septies, comma 8);
  • con specifico riferimento alla pubblicazione di casi clinici, il Codice di deontologia medica approvato dalla Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri nel 2014 (così come modificato nel 2016 e nel 2017) prevede che “il medico assicur(i) la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici” (art. 11 – riservatezza dei dati personali).

La decisione del Garante.

Alla luce delle valutazioni sopra esposte, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria, si rileva che gli elementi forniti dal titolare del trattamento non sono idonei ad accogliere le richieste di archiviazione, non consentendo di superare i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019[2]

Da tutto quanto sopra esposto deriva che il dott. … ha diffuso, attraverso la pubblicazione sul suo profilo Instagram immagini che rilevavano dati sulla salute della reclamante, rispetto ai quali la legittima aspettativa di confidenzialità e riservatezza era elevata, anche in considerazione del rapporto professionale e fiduciario con il medico.

Dall’esame delle informazioni e degli elementi acquisiti nonché della documentazione fornita il trattamento di dati personali della reclamante effettuato dal dott. … risulta illecito, in quanto posto in essere al di fuori delle finalità di cura per le quali il medesimo medico era legittimato al trattamento e in violazione dei principi di base di cui agli artt. 5 e 9 del Regolamento nonché dell’art. 2-septies, comma 8 del Codice.

In tale quadro, considerato che sono state eliminate le fotografie ritraenti la reclamante, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

La sanzione.

La violazione degli artt. 5 e 9 del Regolamento e dell’art. 2-septies, comma 8, del Codice, causata dalla condotta del dott. … comporta l’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5 del Regolamento (v. art. 166, comma 2, del Codice).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle (altre) misure (correttive) di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso”, mediante l’adozione di una ordinanza ingiunzione (art. 18, legge 24 novembre 1981, n. 689), in relazione al trattamento dei dati personali effettuato dal dott. Rubino, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il par. 3 dell’art. 83 del Regolamento, in relazione alla violazione degli artt. 5 e 9 del Regolamento e dell’art. 2-septies del Codice, laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Alla luce di quanto sopra illustrato e, in particolare, della categoria di dati personali interessata dalla violazione, che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali nonché della tipologia di operazione di trattamento (diffusione) si ritiene che il livello di gravità della violazione commessa dal dott. … sia alto[3]. È stato, altresì, valutato che il Garante ha preso conoscenza dell’evento a seguito della ricezione di un reclamo di una paziente del dott. … (art. 83, par. 2, lett. h) del Regolamento).

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di determinare l’ammontare della sanzione pecuniaria nella misura di euro 20.000,00 (ventimila/00) per la violazione degli artt. 5 e 9 del Regolamento, nonché dell’art. 2-septies, comma 8 del Codice, in ragione dei principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi, ai sensi dell’art. 83, par. 1, del Regolamento.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante. Ciò, in considerazione della tipologia di operazione effettuata e dei dati personali oggetto di illecito trattamento.

Indicazioni per i titolari del trattamento.

Il Provvedimento sopra commentato permette di puntualizzare alcuni aspetti che i titolari dei trattamenti di dati sanitari devono avere bene a mente per evitare di correre il rischio di essere sanzionati dal Garante.

Di seguito si elencano gli aspetti più rilevanti:

  1. il titolare del trattamento, prima di avviare il trattamento dei dati personali, è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di «liceità, correttezza e trasparenza», di «limitazione della finalità», di «minimizzazione dei dati» e di «integrità e riservatezza», secondo i quali i dati devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”, “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”, “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” e devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. a), b), c) e f) del Regolamento);
  2. gli obblighi richiamati all’art. 5 del regolamento sono ancora più stringenti nell’ipotesi in cui oggetto di trattamento siano i dati sanitari; rectius, i dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento);
  3. il titolare deve avere bene in mente che “è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici.

Ciò comporta che fin dalla fase di redazione degli atti e dei documenti oggetto di pubblicazione, nel rispetto del principio di adeguata motivazione, non dovrebbero essere inseriti dati personali “eccedenti”, “non pertinenti”, “non indispensabili” (e, tantomeno, “vietati”). In caso contrario, occorre provvedere, comunque, al relativo oscuramento”.

[1] Registro dei provvedimenti n. 769 del 12 dicembre 2024; link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10095836

[2] Art. 11 ‒ Chiusura dell’istruttoria preliminare

1. Al termine dell’istruttoria preliminare, il dipartimento, servizio o altra unità organizzativa competente può concludere l’esame del reclamo archiviandolo, quando:

a) la questione prospettata con il reclamo non risulta riconducibile alla protezione dei dati personali o ai compiti demandati al Garante;

b) non sono ravvisati, allo stato degli atti, gli estremi di una violazione della disciplina rilevante in materia di protezione dei dati personali;

c) si tratta di una richiesta eccessiva, in particolare per il carattere pretestuoso o ripetitivo anche ai sensi dell’articolo 57, paragrafo 4, del RGPD;

d) la questione prospettata con il reclamo è stata già esaminata dall’Autorità, in particolare con un provvedimento collegiale di carattere generale, o può essere esaminata richiamando provvedimenti o questioni già affrontate dal Garante ovvero esprimendo un prudente avviso su questioni che non presentano particolare rilevanza sul piano generale.

[3] Cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

accesso-illegittimo-fse

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

Fascicolo sanitario Elettronico
Fascicolo sanitario Elettronico (FSE 2.0) alla luce del Piano triennale AGID per l’informatica nella Pubblica Amministrazione 2024-2026
20 Marzo 2025
dati biometrici
Il trattamento di dati biometrici dei dipendenti ad opera del datore del lavoro. Il Garante fa il punto.
27 Febbraio 2025
accesso ai dati personali
Accesso ai dati personali della cartella clinica; le FAQ del Garante.
2 Gennaio 2025

Start typing and press Enter to search