Provvedimento del 29 gennaio 2026 [10220271]
Provvedimento del 29 gennaio 2026 [10220271]
Condividi[doc. web n. 10220271]
Provvedimento del 29 gennaio 2026
Registro dei provvedimenti
n. 39 del 29 gennaio 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e l’avv. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del Garante n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;
RELATORE il prof. Pasquale Stazione;
PREMESSO
1. L’attività istruttoria.
Nel mese di XX è pervenuto a questa Autorità un reclamo con il quale è stata lamentata l’avvenuta diffusione sul social media Instagram, nel profilo pubblico del dott. Paolo Montemurro, di alcune fotografie della reclamante relative ad una procedura chirurgica di rinosettoplastica effettuata dal predetto professionista.
Secondo quanto rappresentato in atti, la reclamante non aveva acconsentito alla diffusione di tali immagini, sebbene accanto alle fotografie che la ritraevano, ci fosse una dicitura recante “Immagini con il consenso della paziente” (documentazione in atti).
A seguito del reclamo, l’Ufficio ha avviato un’istruttoria preliminare e con nota del XX, prot. n. XX), ha chiesto informazioni al professionista, il quale ha riscontrato con nota del XX, rappresentando, in sintesi, che:
“lo scrivente ha fatto sottoscrivere, come di prassi, alla paziente un modello informativo di consenso per l'intervento di rinosettoplastica che, all'art. 20 espressamente prevede la possibilità di utilizzare le immagini e i filmati ricavati su consenso della paziente per scopi scientifici e divulgativi, con la garanzia dell’anonimato”;
“il modulo utilizzato è il format fornito dall’AICPE – Associazione Italiana Chirurgia Plastica Estetica - a tutela delle garanzie ivi contenute e, pertanto, non vi è chi non veda come tale modello ricomprenda l’autorizzazione a tutela di ogni aspetto della normativa privacy giuridicamente prevista ex lege”;
“la paziente ha espressamente accettato e firmato detto consenso in data XX, addirittura con doppia sottoscrizione dell'art. 20 citato così da porre in evidenza il contenuto dello stesso”;
“il titolare del trattamento e della sicurezza dei dati, anche se lo scrivente ha nello specifico operato mediante l’utilizzo di una sala operatoria presso la Clinica Isber di Varese, è solo ed esclusivamente il medico operante, come specificato nell'informativa sottoscritta il XX anch’essa conforme ai format rilasciati dall´AICPE”;
“le fotografie sono state pubblicate nell’ambito di un social esclusivamente riconducibile allo scrivente e con la garanzia dell’anonimato ai soli fini di divulgazione medico-scientifica”, (…) rappresentando che “la paziente non è in alcun modo riconoscibile nelle immagini pubblicate avendo gli occhi chiusi, essendo sdraiata ed essendo in una posizione laterale tale da non lasciar emergere l’identità del soggetto ritratto di profilo”;
“lo scopo divulgativo a fini scientifici (…) è stato perseguito seguendo i crismi di Legge previa raccolta di specifico consenso della paziente ed avendo cura di pubblicare le immagini senza che l’identità della paziente potesse essere riconosciuta”.
Alla luce di tali elementi l’Ufficio ha notificato al dott. Montemurro l’avvio del procedimento ai sensi dell’art. 166, comma 5, del Codice, (nota del XX, prot. n. XX). contestando la violazione degli artt. 5, par. 1, lett. a), b) e c) e 9 del Regolamento nonché dell’art. 2-septies, comma 8, del Codice.
Con nota del XX il dott. Montemurro ha trasmesso le memorie difensive, chiedendo di essere sentito in audizione.
In tale sede ha ribadito di avere agito in buona fede, evidenziando di aver rimosso nell’immediato le immagini dal proprio profilo social a seguito delle doglianze della reclamante, nonché la finalità divulgativa delle stesse, priva di connotazioni commerciali. È stato inoltre nuovamente rappresentato che il citato professionista ha agito in buona fede avendo “fatto legittimo affidamento su un modulo di consenso fornito da AICPE, la più importante associazione di categoria a livello nazionale, ritenendolo conforme alla normativa”.
Il XX si è svolta l’audizione del dott. Montemurro nell’ambito della quale lo stesso, per il tramite del suo legale, ha ulteriormente precisato le proprie argomentazioni, insistendo sulla difficoltà di identificazione dell’interessata e sul legittimo affidamento riposto nel modello di consenso predisposto dall’AICPE. Il professionista ha inoltre ribadito “la difficoltà di identificazione dell’interessata dalle predette immagini, ritenendo che la stessa potesse essere riconosciuta al più solo dai familiari e per l’effetto le immagini possano ritenersi anonime”.
Con nota del XX il dott. Montemurro ha prodotto un parere pro veritate del Consiglio scientifico dell’AICPE, datato XX, in cui si afferma che l’utilizzo di immagini dei pazienti per finalità divulgative, didattiche e scientifiche, con la garanzia dell’anonimato delle stesse, necessita del consenso specifico dell’interessato e che il modello in uso da parte del professionista sopra citato è utilizzato “dalla maggioranza dei chirurghi plastici italiani”.
2. Esito dell’attività istruttoria.
Preso atto di quanto rappresentato nella documentazione in atti e nelle memorie difensive, si osserva che:
ai sensi del Regolamento per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, n. 1 del Regolamento) e si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento);
ai sensi del Regolamento, i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»)”, raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità («principio limitazione della finalità») e “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” («principio di minimizzazione dei dati») (art. 5, par. 1, lett. a), b), c) del Regolamento);
per diffusione di dati personali si intende “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (art. 2-ter, comma 4 del Codice);
la normativa in materia di protezione dei dati personali non trova applicazione in riferimento “a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato” (cfr. considerando n. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottato il 10 aprile 2014);
l’anonimizzazione non può considerarsi realizzata attraverso la mera rimozione delle generalità dell’interessato. Il dato anonimizzato, invero, è tale solo se non consente in alcun modo l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali strumenti per identificare un interessato. Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa isolare una persona in un gruppo (single-out), collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability) e dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference). Tali requisiti devono ricorrere congiuntamente;
l’anonimizzazione deve essere considerata un trattamento dinamico essendo il titolare del trattamento tenuto ad impegnarsi a rimuovere ogni singolarità, qualora, con qualsiasi mezzo, ne venga a conoscenza in una fase successiva e a tenere traccia di tali eventi in modo da ripetere la valutazione del rischio di re-identificazione al raggiungimento di una soglia predefinita, adeguata rispetto al contesto, individuata sul totale di record inclusi nella banca dati;
la diffusione dati idonei a rivelare lo stato di salute degli interessati è, in generale, espressamente vietata salvo ricorra uno dei casi di liceità di cui all’art. 9, par. 2 del Regolamento (art. 2-septies, comma 8 e art. 166, comma 2, del Codice);
al riguardo, il Garante ha più volte evidenziato che con la piena applicazione del Regolamento, diversamente dal passato, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata (cfr. provvedimento “Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario” del 7 marzo 2019, doc. web n. 9091942);
nei casi in cui il trattamento non sia strettamente necessario per finalità di cura e la base giuridica sia rappresentata dal consenso dell’interessato, tenuto conto della natura di tali dati, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, tale consenso deve essere prestato attraverso un atto positivo con il quale l’interessato manifesta una volontà libera, specifica, informata e inequivocabile relativa al trattamento dei dati personali che lo riguardano (art. 9, par. 2 lett. a) del Regolamento e par. 4 delle Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali il 4 maggio 2020);
secondo quanto evidenziato nelle predette Linee guida, inoltre, “il regolamento generale sulla protezione dei dati rafforza il requisito secondo cui il consenso deve essere informato. Ai sensi dell’articolo 5 del Regolamento, il requisito della trasparenza è uno dei principi fondamentali, strettamente legato ai principi di correttezza e liceità. Fornire informazioni agli interessati prima di ottenerne il consenso è fondamentale per consentire loro di prendere decisioni informate, capire a cosa stanno acconsentendo e, ad esempio, esercitare il diritto di revocare il consenso. Se il titolare del trattamento non fornisce informazioni accessibili, il controllo dell’utente diventa illusorio e il consenso non costituirà una base valida per il trattamento. Se i requisiti per il consenso informato non sono rispettati il consenso non sarà valido e il titolare del trattamento potrebbe essere in violazione dell’articolo 6 del regolamento”;
con specifico riferimento alla pubblicazione di casi clinici, il Codice di deontologia medica approvato dalla Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri nel 2014 (così come modificato nel 2016, nel 2017 e nel 2020) prevede che “il medico assicur(a)(i) la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici” (art. 11 - Riservatezza dei dati personali);
rileva, altresì, il Codice di condotta per l'utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica approvato dal Garante con il provvedimento del 14 gennaio 2021, nell’ambito del quale è stato precisato che l’utilizzo dei dati personali per fini didattici e di pubblicazione scientifica da parte degli esercenti le professioni sanitarie può avvenire solo previa adozione di specifiche misure di anonimizzazione e, in via subordinata, di pseudonimizzazione; qualora non sia possibile procedere all’anonimizzazione dei dati, infatti, il titolare dovrà acquisire uno specifico consenso dell’interessato, raccolto il quale i dati prima di essere diffusi saranno comunque sottoposti a tecniche di pseudonimizzazione (doc. web n. 9535354 e art. 5 del predetto Codice di condotta – in merito alla pubblicazione su social media di immagini e video di pazienti sottoposti a procedure mediche cfr. anche provvedimenti del 15 aprile 2021, doc. web nn. 9587071, 9587089, 9587637, dell’11 gennaio 2024, doc. web n. 9983210 e del 12 dicembre 2024, doc. web n. 10095836).
Sulla base della documentazione acquisita e delle difese svolte, si osserva che le immagini pubblicate integrano dati personali idonei a rivelare lo stato di salute dell’interessata, la quale risulta -come riconosciuto anche dal dott. Montemurro- identificabile, quantomeno all’interno di una cerchia ristretta di soggetti, in ragione degli elementi fisiognomici chiaramente visibili.
Le misure adottate dal professionista (assenza di dati anagrafici, oscuramento di un dettaglio fisiognomico del volto) non risultano idonee a realizzare un’effettiva anonimizzazione secondo i criteri individuati dalla normativa e dagli orientamenti interpretativi richiamati.
Ne consegue che la diffusione delle immagini ha comportato un trattamento illecito di dati relativi alla salute, in assenza di un valido presupposto di liceità ai sensi dell’art. 9 del Regolamento. Il consenso acquisito non può ritenersi valido, in quanto prestato sulla base della prospettazione di una diffusione di dati anonimi, circostanza che, alla luce degli elementi emersi, non si è in concreto realizzata, come evidenziato nel Codice di condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica sopra richiamato, il professionista sanitario che intende diffondere immagini e video di pazienti a fini didattici o scientifici, in conformità al codice deontologico di categoria può, previa informativa, diffondere solo i dati, le immagini e i video che siano stati correttamente anonimizzati; qualora ciò non sia possibile, per le caratteristiche cliniche o le peculiarità del caso, è necessario acquisire un consenso specifico, libero e informato del paziente e procedere alla pubblicazione di dati/immagini pseudonimizzati;
Ciò stante, qualora il dottor Montemurro avesse correttamente anonimizzato le immagini della reclamante non avrebbe dovuto procedere alla richiesta del suo consenso informato alla diffusione in quanto, come sopra evidenziato, la disciplina sulla protezione dei dati personali non si applica alle informazioni anonime essendo sufficiente, in tal caso, solo una completa informativa al riguardo; qualora, come nel caso di specie, le misure adottate non costituivano una efficace misura di anonimizzazione del dato, il dott. Montemurro avrebbe dovuto richiedere un consenso specifico alla paziente, evidenziando che i dati oggetto di diffusione sarebbero stati personali, sebbene non direttamente identificativi.
3. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Per tali ragioni, si rileva l’illiceità del trattamento di dati personali effettuato dal dott. Paolo Montemurro nei termini di cui in motivazione, in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a), b) e c) e 9 del Regolamento nonché dell’art. 2-septies, comma 8, del Codice.
La violazione delle predette disposizioni può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5 del Regolamento.
4. Misure correttive
L’art. 58, par. 2, prevede in capo al Garante una serie di poteri correttivi, di natura prescrittiva e sanzionatoria, da esercitare nel caso in cui venga accertato un trattamento illecito di dati personali. Tra questi poteri, l’art. 58, par. 2, lett. d) del Regolamento, prevede il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine”.
Alla luce delle valutazioni sopra richiamate, si ritiene di dover ingiungere al dott. Paolo Montemurro, ai sensi del richiamato art. 58, par. 2, lett. d) Regolamento, di adottare entro novanta giorni dalla notifica del presente provvedimento, la seguente misura correttiva di rielaborare il documento con cui fornisce ai propri pazienti le informazioni di cui agli art. 13 e 14 del Regolamento e con cui è richiesto il consenso dell’interessato (all.ti 2 e 3 alla nota del XX in atti):
prevedendo che per l'utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica deve essere garantito l’anonimato del paziente e che qualora ciò non sia possibile, in relazione alle caratteristiche e specificità del caso clinico, deve essere richiesto uno specifico consenso informato al riguardo;
eliminando il consenso al trattamento dati per finalità di cura, in quanto, ai sensi dell’art. 9, par. 2, lett. h) e par 3 del Regolamento, il professionista sanitario, soggetto al segreto professionale, non deve richiedere il consenso del paziente per i trattamenti strettamente necessari alla prestazione sanitaria richiesta dall’interessato;
specificando il periodo di conservazione dei dati trattati per ciascuna delle distinte finalità del trattamento perseguite, avendo cura di indicare anche per quanto tempo le immagini pseudonimizzate del paziente saranno pubblicate sui canali social del titolare.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
La violazione degli artt. 5, par. 1, lett. a), b) e c) e 9 del Regolamento nonché dell’art. 2-septies, comma 8, del Codice, causata dalla condotta posta in essere dal dott. Montemurro è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento e dell’art. 166, comma 2 del Codice.
Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18, L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere dal dott. Montemurro, di cui è stata accertata l’illiceità, nei termini sopra esposti.
Ritenuto di dover applicare il par. 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.
Alla luce di quanto sopra illustrato e, in particolare, della categoria di dati personali interessata dalla violazione che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, della avvenuta diffusione degli stessi da XX a XX e della mancanza di un atteggiamento intenzionale da parte del titolare del trattamento (essendo la violazione avvenuta in buona fede nella convinzione che il modello di consenso utilizzato, fornito dall’associazione AICPE, fosse conforme alla disciplina in materia di protezione dei dati personali) si ritiene che il livello di gravità della violazione commessa dal dott. Montemurro sia alto (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:
non appena il titolare del trattamento ha ricevuto le doglianze della reclamante ha prontamente rimosso le predette immagini dal proprio profilo Instagram (art. 83, par. 2, lett. c) del Regolamento).
non risultano, precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento);
il dott. Montemurro ha collaborato pienamente con l’Autorità nel corso del presente procedimento.
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) e b), del Regolamento, nella misura di euro 5.000 (cinquemila) per la violazione degli artt. 5, par. 1, lett. a), b) e c) e 9 del Regolamento nonché dell’art. 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara l’illiceità del trattamento di dati personali effettuato dal dott. Paolo Montemurro per la violazione degli artt. 5, par.1, lett. a), b) e c) e 9 del Regolamento, 2 septies, comma 8 del Codice nei termini di cui in motivazione.
ORDINA
ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, al dott. Paolo Montemurro, C.F. XX, di pagare la somma di euro 5.000 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.
INGIUNGE
al dott. Paolo Montemurro, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000 (cinquemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;
ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di conformare i trattamenti alle disposizioni del Regolamento, adottando entro novanta giorni dalla notifica del presente provvedimento, la seguente misura correttiva di rielaborare il documento con cui fornisce ai propri pazienti le informazioni di cui agli art. 13 e 14 del Regolamento e con cui è richiesto il consenso dell’interessato (all.ti XX e XX alla nota del XX):
prevedendo che, per l'utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica, sia garantito l’anonimato del paziente e che, qualora ciò non sia possibile, in relazione alle caratteristiche e specificità del caso clinico, sia richiesto uno specifico consenso informato al riguardo;
eliminando il consenso al trattamento dati per finalità di cura, in quanto, ai sensi dell’art. 9, par. 2, lett. h) e par 3 del Regolamento, il professionista sanitario, soggetto al segreto professionale, non deve richiedere il consenso del paziente per i trattamenti strettamente necessari alla prestazione sanitaria richiesta dall’interessato;
specificando il periodo di conservazione dei dati trattati per ciascuna delle distinte finalità del trattamento perseguite, avendo cura di indicare anche per quanto tempo le immagini pseudonimizzate del paziente saranno pubblicate sui canali social del titolare.
L’inosservanza di un ordine formulato ai sensi dell'art. 58, par. 2, del Regolamento è punita con la sanzione amministrativa di cui all’art. 83, par. 6, del Regolamento;
ai sensi dell’art. 58, par. 1, lett. a), del Regolamento e dell’art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel predetto par. 4, e di fornire comunque riscontro, adeguatamente documentato, entro e non oltre il termine di 20 giorni dalla scadenza del termine sopra indicato. Il mancato riscontro a una richiesta formulata ai sensi dell’art. 157 del Codice è punito con la sanzione amministrativa, ai sensi del combinato disposto di cui agli artt. 83, par. 5, del Regolamento e 166 del Codice.
DISPONE
- ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provedimento sul sito web del Garante e l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento;
- l’invio del presente provvedimento all’AICPE – Associazione Italiana Chirurgia Plastica Estetica affinché uniformi i modelli di informativa e consenso che propone ai propri iscritti alle indicazioni fornite nel presente provvedimento.
Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 29 gennaio 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Montuori
