Il caso: un Centro estetico riceve un reclamo da parte di un paziente, per aver diffuso sul profilo Instagram dell’attività un video che riprendeva la prestazione estetica del paziente in questione.
Il soggetto non era stato taggato, ma non aveva nemmeno espresso il suo consenso all’utilizzo della sua immagine. Il Garante della Privacy risponde a tale reclamo con il Provvedimento dell’11 gennaio 2024 [9983210], chiarendo la sua posizione a riguardo.
Trattamento dei dati del cliente
L’art. 9 del Regolamento GDPR sancisce un generale divieto al trattamento di dati – tra cui rientrano i dati sulla salute – a meno che non ricorra una delle specifiche esenzioni (art. 9 – paragrafo 2) come ad esempio il consenso.
Nello specifico, il Garante ha più volte evidenziato che, diversamente dal passato, con la piena applicazione del GDPR il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per poter trattare i dati personali necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) o all’interno di una struttura sanitaria pubblica o privata.
Diverse sono le regole nei casi in cui il trattamento dei dati non sia strettamente necessario per finalità di cura (ad esempio nel caso di pubblicazione di foto/video per scopi pubblicistici/divulgativi). In questi casi – tenuto conto della natura di tali dati, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali – la base per l’utilizzo dei dati è il consenso esplicito dell’interessato al loro utilizzo.
Pertanto, il diretto interessato deve manifestare con un atto esplicito una volontà libera, specifica, informata e inequivocabile, il consenso al trattamento dei dati personali che lo riguardano (art. 9, par. 2 lett. a del GDPR).
Utilizzo delle informazioni sullo stato di salute
Inoltre, il legislatore nazionale prevede (art. 2-septies del Codice privacy) che le informazioni sullo stato di salute:
- non possono essere diffuse (cfr. art.166, comma 2, del Codice privacy),
- possono essere comunicate all’interessato,
- possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 del GDPR).
In particolare, il Codice di condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica approvato con il provvedimento del Garante n. 7 del 14 gennaio 2021 (doc. web n. 9535354), prevede espressamente che nell’eventualità in cui non sia possibile procedere all’anonimizzazione dei dati, il titolare del trattamento dovrà acquisire uno specifico consenso, raccolto il quale i dati devono comunque essere sottoposti a pseudonimizzazione.
Nota: quando parliamo di informazioni “sensibili”
In numerosi provvedimenti il Garante ha chiarito che la natura “sensibile” di un’informazione (ora “particolare” ex art. 9 del Regolamento) deve essere valutata anche in relazione al contesto di riferimento. Pertanto, un dato si può considerare relativo allo stato di salute dell’interessato anche se non si fa esplicito riferimento alla patologia eventualmente sofferta, ma solo ad informazioni ad essa correlate.
In sintesi
Il trattamento di dati particolari, in questo caso relativi allo stato di salute:
- può avvenire da parte del professionista sanitario, soggetto al segreto professionale, senza consenso del paziente solo per i trattamenti strettamente necessari alla prestazione sanitaria richiesta dall’interessato;
- resta fermo che questa categoria di dati necessita di maggiore tutela e l’applicazione di misure di sicurezza ulteriori (verificare la protezione dei device dove sono archiviati video/foto).
Tenuto conto del Provvedimento dell’11 gennaio 2024 [9983210], la prassi di condividere su media e riviste foto o video che rappresentino il cliente è da evitare. Altresì è da evitare il tag al profilo personale del cliente, creando un riferimento diretto tra l’immagine della persona e il suo account social.
Per la registrazione e pubblicazione di foto/video occorre sempre il consenso, preceduto da adeguata informativa.
In caso di pubblicazione su mezzi di comunicazione di massa e/o su riviste medico-scientifiche, i fotogrammi potranno essere acquisiti e trattati (ad esempio per i trattamenti di anonimizzazione / pseudonomizzazione) solo previo rilascio di uno specifico consenso e divulgati solo previa anonimizzazione.
Qualora non sia possibile procedere all’anonimizzazione dei dati, il titolare del trattamento dovrà comunque acquisire uno specifico consenso per il loro trattamento per le finalità previste (es. didattiche, di pubblicazione scientifica e/o promozionale) ed una specifica liberatoria per lo sfruttamento delle foto/video, raccolti i quali i dati devono comunque essere sottoposti a pseudonimizzazione.
Questo vale per la condivisione di foto/video integrali o parziali e per qualunque immagine che consenta l’identificazione diretta dell’interessato attraverso tratti somatici particolari (viso, tatuaggi, cicatrici, etc.).
Inoltre è opportuno:
- organizzare specifici corsi di formazione da rivolgere ai dipendenti e ai collaboratori coinvolti nel trattamento dei dati;
- specificare le finalità di cui alla pubblicazione, per meglio circoscrivere modalità e dove verranno pubblicati.
Cerchi una figura di riferimento per consulenze in ambito privacy e GDPR?
Affidati alla nostra esperienza!