Postare sui social i risultati di un trattamento medico-estetico può costare caro se l’informativa privacy non è adeguata

Un trattamento di medicina estetica, anche se finalizzato a rimuovere delle imperfezioni puramente estetiche, implica il trattamento di dati personali relativi alla salute di una persona. Ricordiamo, infatti, che la nozione di dati relativi alla salute concepita dal GDPR e confermata in più occasioni dalla Corte di Cassazione è estremamente ampia (v. Cass. 8 agosto 2013, n. 18980; Cass. 26 giugno 2018, n. 16816; Cass. 31 gennaio 2018, n. 2367; Cass. SS.UU. 27 dicembre 2017, n. 30981).

In linea generale, la diffusione di video o immagini che rivelino informazioni sullo stato di salute di una persona è vietata ai sensi dell’articolo 2-septies del Codice privacy.

È dunque possibile pubblicare lecitamente un’immagine o un video che racconti i risultati ottenuti grazie ad un trattamento medico-estetico per finalità divulgative e scientifiche?

Quali accorgimenti bisogna necessariamente adottare prima di esporre informazioni relative alla salute (in senso lato di una persona) nel rispetto della sua dignità e della sua riservatezza?

Risponde il Garante per la protezione dei dati personali che nel provvedimento n. 9983210 dell’11 gennaio 2024 ha ripercorso i passaggi fondamentali dei quesiti posti sopra, sanzionando un centro medico estetico per trattamento illecito di dati personali.

I fatti emersi nel corso dell’istruttoria

Un centro di medicina estetica sottoponeva un paziente ad un trattamento di “rinoplastica non chirurgica” e, nel corso della procedura medica, girava un video riprendendo il volto del cliente, il quale risultava riconoscibile per 34 secondi.

 Il video veniva pubblicato su Instagram, all’interno del profilo pubblico del centro medico, ed il cliente presentava reclamo all’Autorità lamentando la non conformità dell’informativa ricevuta e della richiesta di consenso rispetto alla normativa applicabile in materia di protezione dei dati personali.

Il centro medico si difendeva affermando di aver ottenuto un valido consenso scritto e di aver agito nella piena convinzione che il cliente fosse consapevole e consenziente (oltre che compiaciuto) alla ripresa e alla diffusione sui social del relativo video che lo vedeva protagonista.

Sottolineava anche la circostanza per cui il cliente risultava riconoscibile per un tempo molto limitato e che, su richiesta del ricorrente, aveva provveduto immediatamente alla rimozione del video, il quale era stato accessibile su Instagram solo 45 giorni, con pochissime visualizzazioni.

Tuttavia, i suddetti elementi indicati dal centro di medicina estetica nelle memorie difensive non hanno consentito di superare i rilievi notificati dal Garante con l’atto di avvio del procedimento.

E l’Autorità ha ordinato al centro di pagare la somma di euro 8.000 a titolo di sanzione amministrativa.

Vediamo perché.

Entro quali margini muoversi

Posto il divieto generale di diffusione di dati relativi alla salute, il Garante nel 2021 (con l’adozione di un Codice di condotta) si è espresso circa l’utilizzo di tali dati a fini didattici e di pubblicazione scientifica prevedendo espressamente che nell’eventualità in cui non sia possibile procedere all’anonimizzazione, il titolare del trattamento dovrà acquisire uno specifico consenso, raccolto il quale, i dati devono essere comunque sottoposti a pseudonimizzazione.

Anche il codice di deontologia medica prevede che il medico è tenuto ad assicurare la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici (articolo 11).

Di conseguenza, se il centro medico estetico con la pubblicazione del video perseguiva finalità divulgative-scientifiche, avrebbe dovuto procedere all’anonimizzazione dei dati (Opinion 05/2014 del WP29); solo qualora non fosse stato possibile anonimizzare i dati, per le peculiarità del caso clinico rappresentato, si sarebbe dovuto acquisire uno specifico e informato consenso del paziente, raccolto il quale, i dati avrebbero dovuto comunque essere sottoposti a pseudonimizzazione.

In ogni caso, bisognerà prestare molta attenzione a:

1. Trasparenza: l’informativa privacy dovrà essere particolarmente chiara e dettagliata nel descrivere la specifica finalità perseguita.
   Nel caso in esame il centro estetico, aveva indicato genericamente “la pubblicazione di articoli sui social e riviste” senza spiegare che sarebbero stati diffusi dati sulla salute dell’interessato sul profilo della società di Instagram, senza alcuna pseudonimizzazione degli stessi. 
2. Assenza di contraddizioni: ciascuna finalità di trattamento deve trovare la sua giustificazione in una base giuridica (articoli 6 e 9 del GDPR) e deve essere elencata con coerenza rispetto alle altre.
   Il centro estetico nella medesima informativa in cui preveda la pubblicazione su social e riviste, dichiarava anche che tutti i trattamenti effettuati erano esclusivamente finalizzati all’erogazione delle prestazioni medico-estetiche.
3. Consenso esplicito: il consenso, in considerazione della sensibilità dei dati personali coinvolti, deve essere espresso con un atto positivo; un consenso tacito non può ritenersi validamente acquisto.
   La circostanza per cui l’interessato sia a conoscenza della registrazione, come nel caso in esame, non equivale ad aver acquisito un consenso esplicito circa anche le modalità con cui i dati oggetto della ripresa sarebbero stati trattati.
4. Revoca del consenso: per i trattamenti che si fondano su tale condizione di liceità, è sempre necessario indicare il diritto di revoca da parte dell’interessato in qualsiasi momento, senza che ciò pregiudichi il trattamento effettuato prima della revoca. Il consenso è libero ed il suo conferimento facoltativo.

Rubrica "Privacy in Sanità: imparare dalle sanzioni"

Leggi gli altri articoli e accedi agli ulteriori contenuti presenti nella nostra rubrica dedicata.

VAI ALLA RUBRICA