Articolo
06 marzo 2024

Privacy dei pazienti: centro medico sanzionato per una foto sui social

Se un medico o un centro sanitario vogliono utilizzare i dati dei pazienti, ad esempio per finalità di marketing sui social network, devono rispettare la normativa di settore, rivolgendosi a un consulente esperto, altrimenti rischiano di incorrere in sanzioni pesanti come accaduto al Centro Estetico C.

Norme e Diritto

A. si sottopone a una rinoplastica non chirurgica effettuata dal Dott. B. presso il Centro Estetico C.; l'intero intervento viene ripreso con lo smartphone, per poi essere rielaborato in un video reel di 34 secondi pubblicato sulla pagina Instagram del Centro Estetico C.

Prima di iniziare l'intervento A. ha firmato un consenso scritto all'utilizzo dei suoi dati e delle immagini acquisite nel corso del trattamento estetico, ed è stato avvertito per iscritto che le immagini e i dati sarebbero stati utilizzati anche per la pubblicazione sui social network per scopi divulgativi, scientifici o pubblicitari.

Dal video pubblicato dal Centro Estetico C. sul suo profilo Instagram è chiaramente riconoscibile il volto del paziente A., con conseguente rilevazione al mondo del web di dati inerenti alle sue condizioni di salute, dato che l'intervento ha avuto ad oggetto una rinoplastica.

Il paziente A., dietro semplice richiesta, riesce ad ottenere dal centro medico la rimozione del video del suo intervento; il Garante, ciononostante, avvia un'istruttoria nei confronti del Centro medico C. per valutare l'eventuale violazione della normativa in materia di privacy dei dati sanitari dei pazienti.

La normativa di riferimento

In virtù dell'art. 4 del GDPR si definisce dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Sono definiti dati sanitari i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

In generale, il trattamento dei dati personali deve avvenire nel rispetto dei seguenti principi fondamentali:

  • Liceità, correttezza e trasparenza - i dati devono essere trattati in modo legale, corretto e trasparente nei confronti del paziente;
  • limitazione della finalità - i dati devono essere raccolti solo per scopi specifici, legittimi e successivamente trattati in modo coerente con tali scopi;
  • minimizzazione dei dati - i dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto agli scopi del trattamento;
  • esattezza - dati devono essere accurati e aggiornati o modificati quando necessario, al verificarsi un loro cambiamento;
  • limitazione della conservazione - i dati devono essere conservati solo per un periodo limitato, non oltre quanto necessario per gli scopi del trattamento;
  • integrità e riservatezza - deve essere garantita la sicurezza dei dati con misure tecniche e organizzative adeguate a prevenire accessi non autorizzati o perdite;
  • responsabilizzazione - il titolare del trattamento deve essere in grado di dimostrare la conformità ai suddetti principi.

Il trattamento dei dati sanitari

Il trattamento dei dati sanitari, invece, è di regola vietato salvo che ricorra una delle specifiche esenzioni disciplinate dall'art. 9 paragrafo 2 GDPR, vale a dire nel caso in cui:

  • l'interessato ha prestato il proprio consenso esplicito al trattamento dei dati sanitari per una o più finalità specifiche,
  • il trattamento dei dati sanitari è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o del paziente in materia di diritto del lavoro e della sicurezza sociale e protezione sociale,
  • il trattamento dei dati sanitari è necessario per tutelare un interesse vitale del paziente o di altra persona fisica qualora il paziente si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso,
  • il trattamento è effettuato da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi solo e unicamente i membri, gli ex membri o le persone che hanno regolari contratti con la fondazione/associazione,
  • il trattamento riguardi dati personali resi manifestamente pubblici dall'interessato,
  • il trattamento è necessario per accertare, esercitare o difendere un diritto in giudizio.

In ogni caso, nell'ipotesi in cui il trattamento dei dati sanitari non sia strettamente necessario per finalità di cura e alla base del trattamento vi sia il consenso dell'interessato, è richiesto che tale consenso sia prestato attraverso un atto positivo con il quale manifesti una volontà libera, specifica, informata e inequivocabile relativamente al trattamento dei dati personali che lo riguardano.

Va precisato che, al di là della specifica disciplina in materia di privacy dettata dal GDPR, anche il Codice di Deontologia Medica si occupa del trattamento dei dati sanitari, e con particolare riferimento alla pubblicazione dei casi clinici prevede che il medico assicuri la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici.

In materia di trattamento di dati sanitari il Garante Privacy, con il Codice di Condotta per l'utilizzo dei dati sulla salute a fini didattici/di pubblicazione scientifica, ha precisato che il medico, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta, indipendentemente dal fatto che operi come libero professionista presso uno studio medico ovvero all'interno di una struttura sanitaria pubblica o privata. Nel caso in cui non sia possibile procedere all'anonimizzazione dei dati del paziente, il Codice di condotta prevede che sia acquisito uno specifico consenso e che i dati siano comunque sottoposti a pseudonimizzazione.

Applicando le norme e i principi sin qui descritti al caso di specie, emerge che il Centro Estetico C. ha diffuso su Instagram un video da cui è possibile risalire allo stato di salute del sig. A. e al fatto che lo stesso si sia sottoposto a una rinoplastica non chirurgica.

Il Centro Estetico C., per poter diffondere lecitamente il video del paziente A. sulla propria pagina Instagram avrebbe dovuto, alternativamente:

  • anonimizzare il video, pixellando il volto del paziente per renderlo irriconoscibile,
  • acquisire da parte del sig. A. un consenso specifico e informato, provvedendo comunque a pseudonimizzare il video, sostituendo i dati identificativi del sig. A. con dei dati indirettamente identificativi, come ad esempio un nome finto, un numero di classificazione (paziente 1, paziente 2, ecc.).

Nelle sue difese il Centro Estetico C. ha sostenuto che il sig. A. aveva prestato un consenso tacito, per fatti concludenti, in quanto durante l'operazione lui era sveglio, aveva visto le lampade per l'illuminazione delle riprese e il cellulare con cui veniva realizzato il video, tant'è che salutava con la mano gli spettatori; questo tipo di consenso, tuttavia, non è conforme alla vigente normativa sul trattamento dei dati sulla salute, non essendo né specifico né informato.

La decisione del Garante Privacy

Nonostante il comportamento virtuoso del Centro Estetico C., che su richiesta del paziente A. ha prontamente eliminato, in via cautelativa, il video da Instagram e subito dopo la contestazione del paziente ha proceduto alla revisione delle informative privacy e alla nomina di un DPO esperto, il Garante ha comunque comminato due tipi di sanzioni:

  1. pecuniaria,
  2. correttiva.

Per quanto riguarda le misure correttive, il Garante ha disposto la revisione dell'Informativa sul trattamento dei dati personali dedicati alle registrazioni audio, video e fotografie predisposta dal Centro estetico C., chiedendo, tra l'altro, di apportare le seguenti modifiche:

  • specificazione, nelle Finalità del trattamento, che i dati personali oggetto di diffusione non saranno i dati sulla salute, tenuto conto del divieto di diffusione di tale tipologia di dati,
  • modifica della sezione denominata Obbligatorietà del consenso, poiché ritenuta fuorviante e contraddittoria in quanto nell'informativa da correggere è indicato che “il conferimento dei Suoi dati è facoltativo, se non strettamente correlato al funzionamento dell'attività o al servizio proposto” e al contempo si dice che “il mancato consenso non permetterà l'utilizzo delle immagini e/o delle riprese audiovisive del soggetto interessato per le finalità sopraindicate”;
  • integrazione della sezione diritti degli interessati con il diritto di accesso ai dati e il diritto di revoca del consenso prestato dal paziente, esercitabile in qualsiasi momento.

Sotto il profilo pecuniario, il Garante, pur tenendo conto della condotta collaborativa del Centro Estetico C. e del fatto che si trattava della prima violazione in materia di privacy, considerato che i dati trattati erano di tipo sanitario, ha comminato una sanzione molto alta, di ben ottomila euro, che il Centro Estetico C. avrebbe potuto facilmente evitare se si fosse rivolto sin dall'inizio a un consulente privacy esperto nel settore dei dati sanitari.

Di: Manuela Calautti, avvocato

News e Approfondimenti che potrebbero interessarti

Vedi i contenuti
Vedi i contenuti