Foto del lifting “in chiaro” su Instagram: il Garante Privacy sanziona chirurgo estetico

in Chirurgia estetica Data privacy Organizzazione aziendale on

Instagram e le altre piattaforme social possono essere un mezzo potente per la divulgazione scientifica e la promozione del lavoro professionale.

Va però prestata particolare attenzione alla privacy dei pazienti per evitare di incorrere in violazioni della normativa in materia.

Oggi vi segnalo un provvedimento con cui il Garante Privacy (n. 10095836 del dicembre scorso) ha comminato una sanzione di 20mila euro ad un chirurgo per aver pubblicato sul proprio profilo social le foto di una paziente prima e dopo un intervento di lifting del volto, senza averne previamente acquisito il consenso alla diffusione delle immagini.

Il caso

Una signora si sottopone ad intervento di “lifting cervico medio-facciale con blefaroplastica superiore e inferiore”. In tale occasione, alla paziente vengono scattate dal chirurgo alcune fotografie “per uso interno”; nessun consenso viene richiesto alla paziente in relazione alla possibile comunicazione o divulgazione delle immagini.

Alcuni mesi dopo, la paziente viene avvisata da un’amica del fatto che le immagini del suo volto assolutamente riconoscibile, prima (con cuffia operatoria) e dopo l’intervento, erano pubblicate sul profilo Instagram del chirurgo; sotto ciascuna immagine era inserito il logo del medico.

La paziente contatta dunque lo studio del medico chiedendo la tempestiva rimozione delle immagini dai social, che viene accordata; la stessa paziente, tramite il suo legale, chiede però anche il risarcimento del danno al chirurgo e presenta reclamo al Garante Privacy, lamentando l’avvenuta diffusione delle sue fotografie in assenza di consenso alla pubblicazione.

Vediamo qual è l’esito dell’istruttoria del Garante.

La difesa del chirurgo

Nel corso dell’istruttoria, il medico si difende affermando che le immagini erano state scattate per uso meramente interno e che la pubblicazione sui suoi social era dovuta ad un equivoco legato alla gestione dei consensi tra i diversi professionisti coinvolti nell’intervento.

La paziente si era infatti originariamente rivolta ad altra professionista – collega del chirurgo che aveva poi operato, operante presso la stessa struttura sanitaria – la quale aveva fatto firmare alla paziente i suoi moduli di consenso al trattamento dei dati, mancanti del consenso alla pubblicazione delle foto.

L’incaricato alla gestione delle piattaforme social del chirurgo, per parte sua, aveva pubblicato le foto dell’intervento senza verificare il corretto rilascio dei consensi da parte della paziente.

Anche un’immagine può costituire un “dato personale”

Il Garante, considerate le difese del medico, ricorda innanzitutto che:

  1. per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)“;


  2. si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria che rivelano informazioni relative al suo stato di salute;


  3. per diffusione di dati personali si intende “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”.

Con specifico riferimento alle particolari categorie di dati, tra cui rientrano i dati sulla salute, l’art. 9, par. 1, del GDPR (ovverosia del Regolamento UE n. 679/2016) sancisce un generale divieto al trattamento di tali dati, a meno che non ricorra una delle specifiche esenzioni previste nel par. 2 del medesimo articolo. Inoltre, la disciplina in materia di protezione dei dati personali ne vieta espressamente la diffusione (art. 9, par. 4 GDPR).

Sin dal 2014, il Garante ha rappresentato che

“è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici.

A tale scopo, fin dalla fase di redazione degli atti e dei documenti oggetto di pubblicazione, nel rispetto del principio di adeguata motivazione, non dovrebbero essere inseriti dati personali “eccedenti”, “non pertinenti”, “non indispensabili” (e, tantomeno, “vietati”). In caso contrario, occorre provvedere, comunque, al relativo oscuramento”.

Con specifico riferimento alla pubblicazione di casi clinici, il Codice di deontologia medica (così come modificato) prevede che

il medico assicur(i) la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici”

(art. 11 – riservatezza dei dati personali).

In tutta evidenza, aggiungeremo noi, le norme ed indicazioni sopra riportate si applicano anche a dati e trattamenti sanitari che abbiano finalità prettamente estetiche.

… e la decisione del Garante

Alla luce di quanto sopra, il Garante ha ritenuto la difesa offerta dal medico insoddisfacente, e dunque la sua condotta illecita:

“Dall’esame delle informazioni e degli elementi acquisiti nonché della documentazione fornita il trattamento di dati personali della reclamante effettuato (…) risulta illecito, in quanto posto in essere al di fuori delle finalità di cura per le quali il medesimo medico era legittimato al trattamento e in violazione dei principi di base” del Regolamento.

Questo perché il medico

“ha diffuso, attraverso la pubblicazione sul suo profilo Instagram immagini che rilevavano dati sulla salute della reclamante, rispetto ai quali la legittima aspettativa di confidenzialità e riservatezza era elevata, anche in considerazione del rapporto professionale e fiduciario con il medico.

Considerato che:

– la violazione ha riguardato una categoria di dati personali particolarmente sensibile (dati afferenti alla salute);

– la potenziale offensività della tipologia di operazione di trattamento (diffusione);

– la circostanza che il Garante ha preso conoscenza dell’evento solo a seguito della ricezione di un reclamo da parte della paziente,

il Garante ha giudicato il livello di gravità della violazione commessa “alto” e conseguentemente ha ingiunto al medico il pagamento una sanzione di Euro 20.000,00.

Per approfondire

Per un caso analogo, dove si evidenzia l’importanza del consenso esplicito del paziente a trattamenti potenzialmente invasivi dei suoi dati, vedi il mio precedente post “Paziente riconosce il proprio viso in un video postato sui social: Garante della Privacy sanziona centro di medicina estetica”.

In merito al diverso caso del trattamento dei dati dei pazienti in occasione di congressi e pubblicazioni scientifiche, vedi “Informazione scientifica e convegni medici: attenzione alla privacy dei pazienti”.

In agosto anche il blog va in vacanza. Ci aggiorniamo all’inizio di settembre con un nuovo, interessante argomento!

Nel frattempo, resta collegato ed iscriviti alla newsletter per non perdere i prossimi aggiornamenti e novità.

A presto!

LEGGI IL DOCUMENTO

Garante Privacy, n. 10095836 del 12 dicembre 2024