Paziente riconosce il proprio viso in un video postato sui social: Garante della Privacy sanziona centro di medicina estetica

in Chirurgia estetica Data privacy Estetica Medicina estetica Organizzazione aziendale responsabilità on Share

È necessario prestare particolare attenzione nel diffondere immagini e informazioni riferite a casi clinici per scopi divulgativi o scientifici. Prima di farlo, occorre sempre accertarsi che il paziente sia stato preventivamente informato, abbia dato il proprio specifico consenso o che i suoi dati siano stati resi anonimi. Senza il consenso dell’interessato, è vietata la diffusione video di qualsiasi informazione sul suo stato di salute.

Oggi vi segnalo un recente provvedimento del Garante Privacy (n. 10 dell’11 gennaio 2024) che ha sanzionato un centro di medicina estetica per le modalità utilizzata in una campagna divulgativa delle sue attività pubblicata sui social media.

Il provvedimento è interessante per le indicazioni che offre in merito alle caratteristiche che devono avere l’informativa ed il consenso del paziente in relazione a questo genere di trattamento dei suoi dati.

Il caso

Un paziente riconosce il proprio viso in un video postato sul profilo social Instagram appartenente al centro di medicina estetica dove si era sottoposto ad una procedura di cd. “rinoplastica non chirurgica”. Il video, postato dal centro medico per scopi divulgativi, riprende il volto riconoscibile del paziente per più di 30 secondi, e rimane pubblicato per 45 giorni prima della relativa rimozione su richiesta dello stesso paziente.

Il paziente si rivolge dunque al Garante per la protezione dei dati personali lamentando che tale diffusione sarebbe avvenuta in assenza dei necessari presupposti e, in particolare, senza un valido consenso.

Vediamo qual è l’esito dell’istruttoria.

La difesa del centro: il paziente era stato informato del trattamento dei dati

In sede di istruttoria preliminare, il centro medico ha inviato al Garante una propria nota a difesa, sostenendo che:

  • prima del trattamento estetico, il paziente aveva sottoscritto un documento con cui aveva espresso il proprio “libero ed incondizionato consenso al trattamento dei suoi dati”
  • in particolare, l’informativa ed il consenso sottoscritti dal paziente contenevano l’espresso riferimento al fatto che i dati e le immagini acquisite nel corso dei trattamenti sarebbero state utilizzate anche per la pubblicazione sui social network a scopi divulgativi/scientifici/pubblicitari
  • inoltre, anche nel corso delle videoriprese, veniva espressamente fatto presente al paziente che il trattamento sarebbe stato filmato in presa diretta e inviato in c.d. “live story” su Instagram, circostanza che sembrava addirittura gradita al paziente, che salutava apertamente gli spettatori collegati.

Secondo la struttura, il paziente era dunque perfettamente consapevole dell’utilizzo delle sue immagini e, posto che non aveva sollevato alcuna obiezione, induceva il medico a ritenere di essere “consapevole e consenziente alla ripresa a diffusione su Instagram del trattamento” medico-estetico che lo riguardava.

Cosa deve intendersi per dato relativo alla salute?

Nel suo provvedimento il Garante ci ricorda innanzitutto che, con la piena applicazione del GDPR (ovverosia del Regolamento UE n. 679/2016) e diversamente dal passato, il professionista sanitario non deve più richiedere il consenso del paziente per i trattamenti dei dati necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che il medico stesso operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata.

Il quadro però cambia quando il trattamento del dato del paziente non è strettamente correlato a finalità di cura (da intendersi come “finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali” effettuati da un professionista sanitario, soggetto all’obbligo di segretezza), bensì a finalità diverse (e sia, per esempio, connesso ad attività di fidelizzazione della clientela, o a promozioni collegate a programmi di screening).

In tal caso, il consenso del paziente

 “deve essere prestato attraverso un atto positivo con il quale l’interessato manifesta una volontà libera, specifica, informata e inequivocabile relativa al trattamento dei dati personali che lo riguardano… Tale consenso, tenuto conto della natura di tali dati, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, infatti, non può essere tacito, bensì deve essere esplicito”.

Sul punto vedi anche il mio postGDPR e trattamento dei dati in ambito sanitario: i chiarimenti del Garante”.

I dati relativi a trattamenti con finalità estetiche rientrano nella categoria dei dati afferenti alla salute?

Il Garante ha chiarito in numerosi provvedimenti che la natura “sensibile” (ora “particolare” ex art. 9 del Regolamento) di un’informazione deve essere valutata anche in relazione al contesto di riferimento e, pertanto, un dato si può considerare relativo allo stato di salute dell’interessato anche se non si fa esplicito riferimento ad una patologia eventualmente sofferta, ma solo ad informazioni ad essa correlate (come, nel caso in commento, alle imperfezioni fisiologiche dell’interessato, definite nello stesso video come una “rinoplastica non chirurgica”).

Come comportarsi quando i dati dei pazienti devono essere utilizzati per scopi di divulgazione scientifica?

Con specifico riferimento alla pubblicazione di casi clinici, il Codice deontologico medico stabilisce che “il medico assicur(a) la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici” (art. 11 – Riservatezza dei dati personali).

Al riguardo, il Codice di condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica (approvato con il provvedimento del Garante n. 7 del 14 gennaio 2021) stabilisce che, nell’eventualità in cui non sia possibile procedere all’anonimizzazione dei dati, il titolare del trattamento dovrà acquisire uno specifico consenso del paziente, raccolto il quale i dati devono comunque essere sottoposti a pseudonimizzazione.

Per approfondire vedi anche il mio postInformazione scientifica e convegni medici: attenzione alla privacy dei pazienti”.

La soluzione nel caso concreto

Nel caso in commento, secondo il Garante:

  • la struttura sanitaria, sulla base delle disposizioni sopra richiamate, nell’effettuare un video di 34 secondi in cui è riconoscibile il volto del paziente durante una procedura di medicina estetica, ha effettuato un trattamento di dati sulla salute dell’interessato;
  • le pretese finalità divulgative-scientifiche perseguite mediante la pubblicazione del video avrebbero dovuto, se del caso, essere perseguite attraverso il trattamento di dati anonimizzati, alla luce dell’Opinion 05/2014 del WP29;
  • qualora ciò non fosse stato possibile (per esempio, per le peculiarità del caso clinico rappresentato), si sarebbe dovuto acquisire uno specifico e informato consenso dell’interessato, raccolto il quale i dati avrebbero dovuto comunque essere sottoposti a pseudonimizzazione;
  • in ogni caso, non può ritenersi valido il consenso acquisito dal paziente in occasione dei trattamenti di medicina estetica cui l’interessato si è sottoposto, in quanto non esplicito, specifico e non informato in ordine alla finalità in questione.

Attenzione perché, secondo il Garante, l’informativa utilizzata dalla struttura sanitaria, contenendo un generico riferimento “alla pubblicazione di articoli su social media e magazine” e non specificando che i dati sulla salute dell’interessato sarebbero stati diffusi sul profilo pubblico Instagram della struttura stessa, senza alcuna pseudonimizzazione, non è idonea a soddisfare i requisiti di legge

  • non può ritenersi validamente prestato il consenso c.d. “tacito” al trattamento, desunto sulla base del fatto che il paziente fosse consapevole della registrazione in corso e non si opponesse alla stessa.

Per concludere

Alla luce di quanto precede, il trattamento dei dati effettuato dalla struttura sanitaria è stato considerato illecito; tuttavia, anche considerato che:

  • la violazione da parte del centro medico è avvenuta in buona fede
  • la struttura sanitaria ha tenuto una condotta collaborativa per rimediare alla violazione, avendo prontamente rimosso il video dai sociale e collaborato pienamente con l’Autorità, adottando varie misure volte a conformare il trattamento dei dati personali al quadro normativo vigente

il Garante ha irrogato al centro medico una sanzione di (soli) 8mila euro.

Ci aggiorniamo presto con un nuovo, interessante argomento!

Nel frattempo, resta collegato ed iscriviti alla newsletter per non perdere i prossimi aggiornamenti.

A presto!

LEGGI IL DOCUMENTO

Provvedimento n. 9983210, 11 gennaio 2024

You May Also Like

on

Costrizione all’esecuzione di un esame in regime intramoenia e delitto di concussione

on

Covid-19: ultime novità per gli operatori sanitari nella legge di conversione del D.L. 44/2021

on

La nuova legge di Regione Lombardia su tatuaggi e piercing: consenso informato dell’utente ed altri obblighi a carico degli operatori