VEDI ANCHE Newsletter del 21 maggio 2026

[doc. web n. 10251858 ]

Provvedimento del 29 aprile 2026

Registro dei provvedimenti
n. 308 del 29 aprile 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e l’avv. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del Garante n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’attività istruttoria.

In data XX la Sig.ra XX ha segnalato a questa Autorità di aver chiesto all’Azienda Ospedaliera Universitaria Dulbecco di Catanzaro (di seguito AOU) la rimozione delle immagini del figlio minore defunto dall’indirizzo: https://.. in cui era pubblicata la locandina relativa al modulo CR288, concernente la “Sindrome di Marfan ad esordio neonatale: caso clinico”, del convegno della Società italiana di pediatria (SIP) del XX.

Alla data della segnalazione, la richiamata locandina non era più accessibile in rete, sebbene effettuando una ricerca sui motori Bing e Google con il titolo del predetto modulo lo stesso era restituito tra i risultati, ma non accessibile (la ricerca con Google restituiva, in particolare, anche una piccola immagine del neonato della segnalante sebbene la pagina non fosse poi visualizzabile - documentazione verbalizzata in atti).

In riferimento a quanto segnalato, con nota del XX, l’Ufficio ha chiesto informazioni alla predetta AOU e ai Dott.ri XX, XX, XX, XX, XX, XX, XX, XX operanti presso la S.O.C. Patologia Neonatale e Terapia Intensiva Neonatale, Azienda Ospedaliera Universitaria Dulbecco di Catanzaro.

In risposta alla richiesta di informazioni l’AOU ha rappresentato, in particolare, di non aver “rilasciato alcuna autorizzazione all’utilizzo delle immagini né peraltro risulta pervenuta alcuna richiesta di autorizzazione in tal senso da parte dei soggetti in argomento”, che “le condotte siano state poste in essere uti singuli e non in quanto dipendenti di questa Azienda”.

In relazione alla richiesta dell‘Ufficio la dottoressa Guzzo ha rappresentato che la suddetta locandina è stata realizzata “esclusivamente per scopi scientifici e che nel relativo materiale inviato alla S.I.P. non vi era alcun cenno dei dati anagrafici del neonato, dei suoi genitori e dei suoi parenti e che, come si evince dalla foto inviata dalla Sig.ra XX, gli occhi del neonato erano stati oscurati. Nel caso di specie, quindi, sono state opportunamente adottate misure per evitare la diffusione di dati personali e la identificabilità dei soggetti coinvolti”.

La dottoressa Guzzo ha inoltre precisato che ”il poster menzionato non è stato esposto pubblicamente in sede congressuale né dalla sottoscritta, che non ha comunque preso parte al Congresso, né da nessuna delle sue colleghe” e che “ la pubblicazione sul sito della SIP è avvenuta per volontà della predetta società ed in particolare non autorizzata dalla sottoscritta […]”, aggiungendo  al riguardo di aver “prontamente richiesto alla Società Italiana di Pediatria, con Pec del XX, l'immediata e definitiva rimozione del contenuto integrale (fotografie e testi) pubblicato sul loro sito web”.

È stata inoltre acquisita in atti copia della scheda di consenso al trattamento dei dati personali, firmato dal padre del bambino, nel quale è specificato che “i risultati di eventuali studi chimici (leggi clinici) e ricerche relative ai propri dai comuni e sensibili saranno comunicati esclusivamente in forma anonima”.

A seguito della richiesta di informazioni dell’Ufficio, la SIP ha specificato che la Segreteria Organizzativa del predetto convegno è stata offerta dalla società E. Meeting Consulting S.r.l.  che ha provveduto alla raccolta degli abstract dei relatori, inviati on-line attraverso il sito dedicato (https://...), nella sezione riservata alla gestione dei materiali inviati e alla organizzazione tecnica dell’evento.

Nell’ambito della procedura di invio degli abstract, la SIP ha specificato che il “Submitter”, ossia il professionista partecipante, poteva esprimere una preferenza sulla modalità di presentazione del contributo, che poteva essere diffuso attraverso una comunicazione orale, ovvero, un poster (presentato dall’autore stesso oppure fruibile in versione automatizzata) (cfr. Linee guida per la sottomissione delle comunicazioni orali e dei poster- in atti). La Commissione esaminatrice, sulla base della preferenza espressa dal professionista e della valutazione del contributo, avrebbe deciso la modalità di presentazione dello stesso, valutando i migliori e-poster da presentare oralmente all’interno delle sessioni scientifiche.

Nel caso oggetto di segnalazione, la SIP ha dichiarato che la “Submitter” del progetto è stata la dottoressa Guzzo che ha provveduto a caricare a sistema l’abstract dello studio scientifico – elaborato con altri medici- in data XX, ricevendo e-mail di conferma del corretto caricamento del lavoro e così divenendo la referente di tutte le comunicazioni della Segreteria Organizzativa. Successivamente, la dottoressa Guzzo ha ricevuto la lettera generata dal sistema di accettazione dell’abstract, ove veniva precisato che l’elaborato era stato accettato come “e-poster”. Nella comunicazione erano precisate le linee guida sulla base delle quali inviare successivamente il poster in formato pdf, nelle quali era riportato che “in caso di utilizzo di foto e/o immagini, si assicuri di avere il consenso all’utilizzo” (documentazione in atti).

La SIP ha inoltre dichiarato che “Nell’ambito della procedura di trasmissione degli abstract e del successivo invio del pdf, la Submitter ha quindi assicurato di aver ricevuto il consenso all’utilizzo di foto e/o immagini, come espressamente richiesto dalle linee guida di cui sopra”.

La predetta Società ha poi specificato che la successiva pubblicazione del poster nella sezione del sito SIP dedicata agli atti congressuali è avvenuta nell’ambito delle attività “post-congressuali”, come specificato nel Capitolato tecnico nella sezione dedicata al “Materiale stampato” (punto 2) “gli atti verranno inoltre pubblicati sul sito web della SIP a disposizione di tutti i soci”.

Alla luce di tali elementi, l’Ufficio ha notificato alla dottoressa Guzzo l’avvio del procedimento ai sensi dell’art. 166, comma 5, del Codice, (nota del XX, prot. n. XX), contestando la violazione degli artt. 5, par. 1, lett. a), b) e c) e 9 del Regolamento nonché dell’art. 2-septies, comma 8, del Codice.

Con nota del XX la dottoressa Guzzo ha trasmesso le memorie difensive, in cui ha evidenziato in particolare:

di aver “adottato tutte le misure ragionevolmente esigibili per evitare l’identificazione del paziente”, ritenendo che la foto del neonato non contenga dati personali e che la stessa non lo rendesse identificabile in “nessun ambiente”, ma solo alla madre perché era già a conoscenza della vicenda;

che il trattamento dei dati personali effettuato ha riguardato dati pseudonimizzati e “non” “in chiaro”;

di non aver autorizzato la pubblicazione e che il suo ruolo di “Submitter” si è esaurito con il caricamento del contributo scientifico sulla piattaforma congressuale;

che è stato acquisito il consenso per la raccolta di materiale fotografico;

di aver agito con l’unico scopo di contribuire al progresso scientifico e alla condivisone di conoscenze e di essersi prontamente attivata per la rimozione delle immagini.

2. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato nella documentazione in atti e nelle memorie difensive, si osserva che:

ai sensi del Regolamento per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a (…) uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, n. 1 del Regolamento) e si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento);

i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»)”, raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità («principio limitazione della finalità») e “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” («principio di minimizzazione dei dati») (art. 5, par. 1, lett. a), b), c) del Regolamento);

Per pseudonimizzazione si intende: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (cons. 26 e art. 4 punto 5). La pseudonimizzazione costituisce una misura di estremo rilievo nel settore della ricerca scientifica in particolare al fine di garantire effettiva applicazione al principio di minimizzazione (art. 5, par. 1, lett. c) e 89 del Regolamento).

I dati pseudonimizzati sono quindi dati personali che devono essere trattati nel rispetto del Regolamento. A tale riguardo, il Gruppo Articolo 29 ha evidenziato che “la pseudonimizzazione non è un metodo di anonimizzazione. Si limita a ridurre la correlabilità di un insieme di dati all’identità originaria di una persona interessata, e rappresenta pertanto una misura di sicurezza utile (WP216, 05/2014 sulle tecniche di anonimizzazione adottato il 10 aprile 2014)”.

Le recenti Linee guida “01/2025 on Pseudonymisation”, nella versione oggetto di consultazione pubblica, hanno chiarito che i dati pseudonimizzati sono sempre dati personali e che essa rappresenta una misura che permette di non attribuire i dati personali a uno specifico interessato senza l'ausilio di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure di sicurezza tecniche e organizzative. Infatti, se i dati possono essere ricondotti a persone fisiche dal titolare del trattamento o da altri, rimangono dati personali e sono dunque soggetti agli obblighi dettati dal Regolamento. Le predette Linee guida inoltre, esaminano le misure tecniche e le salvaguardie, nell’utilizzo della pseudonimizzazione, per assicurare la confidenzialità delle informazioni ed evitare l’identificazione non autorizzata degli interessati. Ne discende che l’eventuale qualificazione dei dati come anonimizzati richiede una verifica sostanziale delle tecniche adottate e degli esiti del processo, non potendo essere desunta dalla sola denominazione formale attribuita alle operazioni di trattamento.

la normativa in materia di protezione dei dati personali non trova applicazione in riferimento “a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato” (cfr. considerando n. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottato il 10 aprile 2014);

l’anonimizzazione non può considerarsi realizzata attraverso la mera rimozione delle generalità dell’interessato. Il dato anonimizzato, invero, è tale solo se non consente in alcun modo l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali strumenti per identificare un interessato. Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa isolare una persona in un gruppo (single-out), collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability) e dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference). Tali requisiti devono ricorrere congiuntamente;

l’anonimizzazione deve essere considerata un trattamento dinamico essendo il titolare del trattamento tenuto ad impegnarsi a rimuovere ogni singolarità, qualora, con qualsiasi mezzo, ne venga a conoscenza in una fase successiva e a tenere traccia di tali eventi in modo da ripetere la valutazione del rischio di re-identificazione al raggiungimento di una soglia predefinita, adeguata rispetto al contesto, individuata sul totale di record inclusi nella banca dati;

per diffusione di dati personali si intende “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (art. 2-ter, comma 4 del Codice);

la diffusione dati idonei a rivelare lo stato di salute degli interessati è, in generale, espressamente vietata salvo che non ricorra uno dei casi di liceità di cui all’art. 9, par. 2 del Regolamento (art. 2-septies, comma 8 e art. 166, comma 2, del Codice);

al riguardo, il Garante ha più volte evidenziato che con la piena applicazione del Regolamento, diversamente dal passato, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata (cfr. provvedimento “Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario” del 7 marzo 2019, doc. web n. 9091942);

nei casi in cui il trattamento non sia strettamente necessario per finalità di cura e la base giuridica sia rappresentata dal consenso dell’interessato, tenuto conto della natura di tali dati, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, tale consenso deve essere prestato attraverso un atto positivo con il quale l’interessato manifesta una volontà libera, specifica, informata e inequivocabile relativa al trattamento dei dati personali che lo riguardano (art. 9, par. 2 lett. a) del Regolamento e par. 4 delle Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali il 4 maggio 2020);

secondo quanto evidenziato nelle predette Linee guida, inoltre, “il regolamento generale sulla protezione dei dati rafforza il requisito secondo cui il consenso deve essere informato. Ai sensi dell’articolo 5 del Regolamento, il requisito della trasparenza è uno dei principi fondamentali, strettamente legato ai principi di correttezza e liceità. Fornire informazioni agli interessati prima di ottenerne il consenso è fondamentale per consentire loro di prendere decisioni informate, capire a cosa stanno acconsentendo e, ad esempio, esercitare il diritto di revocare il consenso. Se il titolare del trattamento non fornisce informazioni accessibili, il controllo dell’utente diventa illusorio e il consenso non costituirà una base valida per il trattamento. Se i requisiti per il consenso informato non sono rispettati il consenso non sarà valido e il titolare del trattamento potrebbe essere in violazione dell’articolo 6 del regolamento” (par. 3.3, punto 62 delle Linee Guida cit.);

con specifico riferimento alla pubblicazione di casi clinici, il Codice di deontologia medica approvato dalla Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri nel 2014 (così come modificato nel 2016, nel 2017 e nel 2020) prevede che “il medico assicur(a)(i) la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici” (art. 11 - Riservatezza dei dati personali);

rileva, altresì, il Codice di condotta per l'utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica approvato dal Garante con il provvedimento del 14 gennaio 2021, nell’ambito del quale è stato precisato che l’utilizzo dei dati personali per fini didattici e di pubblicazione scientifica da parte degli esercenti le professioni sanitarie può avvenire solo previa adozione di specifiche misure di anonimizzazione e, in via subordinata, di pseudonimizzazione; qualora non sia possibile procedere all’anonimizzazione dei dati, infatti, il titolare dovrà acquisire uno specifico consenso dell’interessato, raccolto il quale i dati prima di essere diffusi saranno comunque sottoposti a tecniche di pseudonimizzazione (doc. web n. 9535354 e art. 5 del predetto Codice di condotta – in merito alla pubblicazione su social media di immagini e video di pazienti sottoposti a procedure mediche cfr. anche provvedimenti del 15 aprile 2021, doc. web nn. 9587071, 9587089, 9587637, dell’11 gennaio 2024, doc. web n. 9983210, del 12 dicembre 2024, doc. web n. 10095836, e del 29 gennaio 2026, doc. web n. 10220271);

con riguardo alla circostanza che il trattamento in esame concerne un minore deceduto, si evidenzia che il Garante ha più volte rappresentato che il riconoscimento della possibilità di esercitare i diritti in materia di protezione dei dati personali (artt. 15-22, del Regolamento) da parte dei soggetti elencati nell’art. 2-terdecies, comma 1, del Codice, comporta – quale naturale conseguenza e necessario presupposto logico-giuridico – che ai dati personali concernenti le persone decedute continuino ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali (cfr. ex multis parere 7 febbraio 2019, n. 27, doc. web n. 9090308);

nel settore sanitario, poi, la morte dell’interessato non esclude, per espresso dettato normativo, che si continui ad assicurare alle informazioni che lo riguardano un alto grado di riservatezza legato alla disciplina deontologica, oltre a quella specificamente dedicata alla protezione dei dati personali. Sul punto, infatti, si richiamano le disposizioni del Codice di deontologia medica secondo cui “la morte della persona assistita non esime il medico dall’obbligo del segreto professionale” (art. 10, codice di deontologia medica, come aggiornato da ultimo il 26.2.2020) (cfr. provv. del 27.1.2021, doc. web n. 9549143).

Sulla base della documentazione acquisita e delle difese svolte, si osserva che l’immagine dell’intero corpo del minore pubblicata sulla predetta locandina (rinvenibile per un periodo di tempo anche on-line), in cui sono stati oscurati solo gli occhi, unitamente ai dettagli clinici delle relative condizioni di salute e delle prestazioni erogate anche relative alla storia familiare del bambino (tipo di fecondazione, età gestazionale al parto, tipologia di parto, anamnesi familiare dello zio e dei fratelli dell’interessato) si qualificano come informazioni sulla salute idonee a identificare il figlio della Sig.ra XX sia pure con riferimento ad una cerchia limitata di persone (cfr. provv. 31 agosto 2023, n. 390, doc. web n. 9944538, confermato da Tribunale di Bologna (Sent. n. 655/2024) e dalla Corte di Cassazione (I sez. civ, ord. del 10 gennaio 2025)).

Al riguardo, si rappresenta che nel documento denominato “scheda di consenso” al trattamento dei dati personali, che riporta la firma del padre del bambino, è specificato che “i risultati di eventuali studi chimici (leggi clinici) e ricerche relative ai propri dai comuni e sensibili saranno comunicati esclusivamente in forma anonima”. Fermo restando che se i dati fossero stati anonimi non sarebbe stato necessario acquisire il consenso dell’interessato (in questo caso del legale rappresentante), nel caso di specie si è verificata la diffusione di informazioni pseudonimizzate che non è stata autorizzata dal legale rappresentante del minore.

Pertanto, la carenza informativa collegata alla mancata indicazione che la prevista pubblicazione avrebbe avuto ad oggetto fotografie contenenti dati personali e non anonimi, inficia la validità del consenso prestato dal legale rappresentante del paziente, che in ogni caso era riferito esclusivamente la comunicazione di dati in forma anonima.

Nel ruolo di “Submitter” la dottoressa Guzzo, a differenza degli altri professionisti sanitari citati nella locandina, ha deciso, diversamente da quanto sostenuto in atti, le modalità di presentazione del contributo scientifico (e-poster, in luogo della comunicazione orale) caricato l’abstract dello stesso e ha ricevuto la lettera generata dal sistema di accettazione, ove veniva precisato che l’elaborato era stato accettato come “e-poster”. In tale comunicazione erano indicate le linee guida sulla base delle quali inviare successivamente il poster in formato pdf, nelle quali era riportato che “in caso di utilizzo di foto e/o immagini, si assicuri di avere il consenso all’utilizzo” (documentazione in atti). Pertanto, la dottoressa Guzzo era stata espressamente informata della necessità di acquisire il consenso dell’interessato per l’invio di sue foto o immagini. Al riguardo, la SIP ha infatti dichiarato “Nell’ambito della procedura di trasmissione degli abstract e del successivo invio del pdf, la Submitter ha quindi assicurato di aver ricevuto il consenso all’utilizzo di foto e/o immagini, come espressamente richiesto dalle linee guida”.

Si rileva inoltre che non risulta sostenibile la mancata conoscibilità dell’ambito di diffusione del c.d. e-poster da parte della dottoressa Guzzo in quanto tale operazione di trattamento era espressamente prevista nell’ambito delle attività “post-congressuali”, indicate nel Capitolato tecnico nella sezione dedicata al “Materiale stampato” (punto 2) in cui si afferma che “gli atti verranno inoltre pubblicati sul sito web della SIP”.

In qualità di “Submitter” la dottoressa Guzzo era stata inoltre espressamente edotta che “in caso di utilizzo di foto e/o immagini, (il professionista deve) (si) assicur(i)(are) di avere il consenso all’utilizzo” delle stesse e che “gli atti” sarebbero stati “pubblicati sul sito web della SIP”.

Ne consegue che la diffusione delle immagini ha comportato un trattamento illecito di dati relativi alla salute, in assenza di un valido presupposto di liceità ai sensi dell’art. 9 del Regolamento. Il consenso acquisito non può ritenersi valido, in quanto prestato sulla base della prospettazione di una diffusione di dati anonimi, circostanza che, alla luce degli elementi emersi, non si è in concreto realizzata, come evidenziato nel Codice di condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica sopra richiamato, secondo cui il professionista sanitario che intende diffondere immagini e video di pazienti a fini didattici o scientifici, in conformità al codice deontologico di categoria può, previa autorizzazione della struttura sanitaria in cui opera e informativa all’interessato (cfr. art. 5, comma 4 e art. 6 del cit. Codice di condotta per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica), diffondere solo i dati, le immagini e i video che siano stati correttamente anonimizzati; qualora ciò non sia possibile, per le caratteristiche cliniche o le peculiarità del caso, è necessario acquisire un consenso specifico, libero e informato del paziente e procedere alla pubblicazione di dati/immagini pseudonimizzati.

L’oscuramento degli occhi del minore non equivale ad una corretta procedura di anonimizzazione, in quanto come sopra precisato, i dettagli clinici del caso riferiti anche al contesto familiare qualificano le informazioni diffuse come dati sulla salute indirettamente identificabili. Si precisa infatti che la pseudonimizzazione è una misura di minimizzazione dei dati che, diversamente da quanto sostenuto dalla dottoressa Guzzo in atti, non priva gli stessi della natura di dati personali. Si precisa infatti che i c.d. dati “non in chiaro” indicati dalla dottoressa Guzzo si qualificano ai sensi del Regolamento comunque come dati personali sulla salute a cui si applica la disciplina sulla protezione dei dati personali.

La dottoressa Guzzo, che ha agito in via autonoma, senza alcuna autorizzazione da parte dell’Azienda Ospedaliera Universitaria Dulbecco di Catanzaro, avrebbe dovuto pertanto procedere ad una corretta e completa anonimizzazione dei dati del minore, e nel caso in cui avesse valutato non possibile tale operazione, in relazione alla necessità di fornire dettagli clinici e anatomici sul caso, avrebbe dovuto richiedere uno specifico consenso ai legali rappresentanti del minore.

Pertanto, qualora la dottoressa Guzzo avesse correttamente anonimizzato le immagini del minore oggetto del  reclamo non avrebbe dovuto procedere alla richiesta del suo consenso informato alla diffusione in quanto, come sopra evidenziato, la disciplina sulla protezione dei dati personali non si applica alle informazioni anonime essendo sufficiente, in tal caso, solo una completa informativa al riguardo; qualora, come nel caso di specie, le misure adottate non costituivano una efficace misura di anonimizzazione del dato, la dottoressa Guzzo avrebbe dovuto richiedere un consenso specifico al legale rappresentante del minore, evidenziando che i dati oggetto di diffusione sarebbero stati personali, sebbene non direttamente identificativi.

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si rileva l’illiceità del trattamento di dati personali effettuato dalla dott. ssa Guzzo nei termini di cui in motivazione, in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a), b) e c) e 9 del Regolamento nonché dell’art. 2-septies, comma 8, del Codice.

La violazione delle predette disposizioni può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5 del Regolamento.

In tale quadro, essendo stata rimossa la predetta locandina dal web, la condotta contestata ha cessato di produrre i suoi effetti e pertanto non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

L’Autorità si riserva di valutare eventuali profili di violazione della disciplina sulla protezione dei dati personali con riferimento ad altri soggetti coinvolti nei trattamenti oggetto del presente provvedimento e in particolare nella pubblicazione on line dei predetti dati.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a), b) e c) e 9 del Regolamento nonché dell’art. 2-septies, comma 8, del Codice, causata dalla condotta posta in essere dalla dott.ssa Guzzo è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento e dell’art. 166, comma 2 del Codice.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18, L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere dal dott. Montemurro, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il par. 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Alla luce di quanto sopra illustrato e, in particolare, della categoria di dati personali interessata dalla violazione che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dell’avvenuta diffusione degli stessi fino al XX, del fatto che i dati diffusi hanno riguardato un minore defunto e della mancanza di un atteggiamento intenzionale da parte del titolare del trattamento (essendo la violazione avvenuta in buona fede nella convinzione di aver anonimizzato i dati del minore) si ritiene che il livello di gravità della violazione commessa dalla dottoressa Guzzo sia alto (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:

la dottoressa si è attivata prontamente per richiedere la rimozione delle immagini dal web (art. 83, par. 2, lett. c) del Regolamento).

non risultano, precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento);

la dottoressa Guzzo ha collaborato pienamente con l’Autorità nel corso del presente procedimento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) e b), del Regolamento, nella misura di euro 5.000 (cinquemila) per la violazione degli artt. 5, par. 1, lett. a), b) e c) e 9 del Regolamento nonché dell’art. 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla dottoressa Guzzo per la violazione degli artt. 5, par.1, lett. a), b) e c) e 9 del Regolamento, 2 septies, comma 8 del Codice, nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, alla dottoressa Immacolata Guzzo, C.F. XX, di pagare la somma di euro 5.000 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

- alla dottoressa Guzzo, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000 (cinquemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 aprile 2026 

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori