Sanzione del Garante ad un centro di medicina estetica per diffusione su social network di dati relativi alla salute

Massima

La natura “sensibile” (ora “particolare” ex art. 9 del Regolamento) di un’informazione deve essere valutata anche in relazione al contesto di riferimento e, pertanto, un dato si può considerare relativo allo stato di salute dell’interessato anche se non si fa esplicito riferimento alla patologia eventualmente sofferta, ma solo ad informazioni ad essa correlate”. In tali casi, ove il trattamento si basi sul consenso, non potrà essere validamente prestato in modo c.d. “tacito”, ciò “in quanto il Regolamento, nell’individuare le deroghe al divieto di trattamento delle particolari categorie di dati, tra cui rilevano i dati sulla salute, prevede che essi possono essere oggetto di trattamento, tra le altre cose, sulla base del consenso esplicito dell’interessato (art. 9, par. 2, lett. a))

Il caso

Nel mese di marzo 2023 perveniva al Garante un reclamo con il quale un interessato lamentava l’avvenuta diffusione sul social media Instagram, nel profilo pubblico di un centro estetico, di un video in cui il reclamante era stato ripreso durante una procedura di medicina estetica (rinoplastica non chirurgica), in assenza di un valido presupposto giuridico (in quanto l’informativa resa e la manifestazione di consenso sottoscritta dall’interessato non sarebbero state conformi alla disciplina in materia di protezione dei dati personali). Il Garante avviava quindi un’istruttoria preliminare, da cui emergeva che il reclamante aveva sottoscritto uno specifico consenso, che includeva anche l’avvertimento e “chiara previsione che i dati e le immagini acquisite nel corso dei trattamenti sarebbero state utilizzate anche per la pubblicazione sui social network a scopi divulgativi/scientifici/pubblicitari”. Inoltre, il centro estetico sosteneva che il reclamante era perfettamente consapevole della pubblicazione e del trattamento dei suoi dati, in quanto dal filmato stesso risultava che gli era stato rappresentato che l’intervento sarebbe stato filmato in presa diretta e inviato su Instagram come live story. In aggiunta, le riprese erano state fatte manualmente davanti a testimoni, le telecamere erano ben visibili e lui stesso aveva salutato gli utenti online di instagram, sembrandone compiaciuto. Ci sarebbe stato un consenso, quindi, quantomeno implicito.  Il centro estetico si difendeva altresì rappresentando che il soggetto era quasi sempre coperto e non identificabile, se non per pochi secondi, che non era stato taggato, che il video aveva una durata molto breve e che era stato cancellato immediatamente dopo la richiesta del reclamante, non essendo nel frattempo stato visualizzato da molte persone.

Il Garante rilevava un trattamento di dati personali effettuato in maniera non conforme ai principi di “liceità, correttezza e trasparenza” in violazione degli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento; nonché in assenza di un idoneo presupposto normativo, in violazione degli artt. 2-septies, comma 8 del Codice, 6 e 9 del Regolamento.

Veniva quindi ingiunto al centro estetico, ai sensi dell’articolo 58 del Regolamento, di rielaborare l’informativa, e veniva comminata la sanzione amministrativa pecuniaria di euro 8.000, considerando la condotta proattiva del titolare nel rimediare alla violazione.

La questione

Le questioni che si è trovato ad affrontare il Garante sono quelle relative alla natura dei dati relativi ad interventi estetici ed ai presupposti relativi ad una loro diffusione a fini scientifici: i dati sono da considerarsi come particolari, ai sensi dell’articolo 9 del Regolamento, anche se non danno informazioni specifiche sullo stato di salute dell’interessato? È possibile la loro diffusione per finalità scientifiche, e a quali condizioni? Il consenso può essere fornito tacitamente?

Le soluzioni giuridiche

Nelle sue difese il centro estetico affermava che l'intervento riguardava una semplice rimozione di pori dilatati e che tale informazione non rappresentava un dato sanitario in quanto la presenza di pori dilatati è un dato che ricorre nella quasi totalità della popolazione mondiale e non fornisce alcuna informazione sulla salute dell'interessato.

Il Garante Privacy nel suo provvedimento chiarisce come “la natura “sensibile” (ora “particolare” ex art. 9 del Regolamento) di un'informazione deve essere valutata anche in relazione al contesto di riferimento e, pertanto, un dato si può considerare relativo allo stato di salute dell'interessato anche se non si fa esplicito riferimento alla patologia eventualmente sofferta, ma solo ad informazioni ad essa correlate (cfr. ex multis: provv. 11 aprile 2019; provv. generale del 9 novembre 2005; provv. 27 febbraio 2002, punto 2, "Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati).

Posto la natura particolare del dato, quanto alla base giuridica devono distinguersi le diverse finalità del trattamento. Da un lato, la finalità di cura, per cui il Garante conferma che “con la piena applicazione del Regolamento, diversamente dal passato, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall'interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all'interno di una struttura sanitaria pubblica o privata (cfr. provvedimento “Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario” del 7 marzo 2019)”.

Dall'altro, eventuali trattamenti non strettamente necessari per finalità di cura, per cui, ove la base giuridica sia rappresentata dal consenso dell'interessato, “tenuto conto della natura di tali dati, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, tale consenso deve essere prestato attraverso un atto positivo con il quale l'interessato manifesta una volontà libera, specifica, informata e inequivocabile relativa al trattamento dei dati personali che lo riguardano” . Il consenso non può essere tacito, bensì deve essere esplicito.

Il Garante ricorda anche come il Regolamento, ai sensi dell'articolo 9 par. 4, attribuisca agli Stati membri il potere di introdurre ulteriori condizioni comprese limitazioni, con riguardo al trattamento dei dati relativi alla salute e come il legislatore italiano l'abbia fatto con l'art. 2-septies del Codice, ai sensi del quale le informazioni sullo stato di salute non possano essere diffuse. Il provvedimento ricorda altresì come l'Autorità, sin dal 2014, sulla base del codice previgente, abbia sempre rappresentato che “è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere lo stato di malattia o l'esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici. A tale scopo, fin dalla fase di redazione degli atti e dei documenti oggetto di pubblicazione, nel rispetto del principio di adeguata motivazione, non dovrebbero essere inseriti dati personali “eccedenti”, “non pertinenti”, “non indispensabili” (e, tantomeno, “vietati”). In caso contrario, occorre provvedere, comunque, al relativo oscuramento” (cfr. Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, parte II, par. 1, del 15.5.2014)”.

Ulteriore provvedimento da considerare è il Codice di condotta per l'utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica approvato con il provvedimento del Garante n. 7 del 14 gennaio 2021, che prevede espressamente che il trattamento debba avvenire su dati anonimizzati e, ove non sia possibile, sia necessario acquisire uno specifico consenso, oltre a sottoporre i dati a pseudonimizzazione.

Il Garante conferma che nel caso in esame la diffusione è avvenuta in violazione dell'art. 2-septies del Codice, in quanto il consenso risulta non esplicito, non specifico e non informato in ordine alla finalità, posto che l'informativa recava un generico riferimento “alla pubblicazione di articoli su social media e magazine” e che, in tal caso, non poteva considerarsi prestato validamente in modo tacito, per il comportamento tenuto dal paziente durante le riprese. In particolare, il Garante afferma che “la circostanza che la prestazione sanitaria a cui l'interessato si stava sottoponendo è stata registrata non all'insaputa dell'interessato, non equivale ad aver acquisito dallo stesso un consenso informato, specifico ed esplicito circa le modalità con cui i dati oggetto della stessa ripresa sarebbero stati trattati e, nel caso di specie, addirittura diffusi su un canale social”.

Osservazioni

Il provvedimento appare di particolare interesse in quanto chiarisce che un dato può ritenersi particolare anche qualora non fornisca informazioni specifiche su una patologia ma solo ad informazioni ad esse correlate, come nel caso di un intervento estetico.  

Inoltre, viene illustrata nel dettaglio la normativa che disciplina la diffusione dei dati attinenti alla salute, chiarendo che, ove si voglia procedere con una diffusione ai fini scientifici, si dovrà farlo in forma anonimizzata o, se non possibile, in forma pseudonimizzata, sulla base del consenso dell’interessato. Interessante anche il chiarimento sul consenso tacito, a cui non è possibile ricorrere nel caso di dati particolari: in conformità all’articolo 9 del Regolamento, infatti, il consenso deve essere esplicito.