g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento dell'11 gennaio 2024 [9983210]

Provvedimento dell'11 gennaio 2024 [9983210]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE: Newsletter del 14 febbraio 2024

 

[doc. web n. 9983210]

Provvedimento dell'11 gennaio 2024

Registro dei provvedimenti
n. 10 dell'11 gennaio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del Garante n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’attività istruttoria.

Nel mese di marzo 2023 è pervenuto a questa Autorità un reclamo con il quale è stata lamentata l’avvenuta diffusione sul social media Instagram, nel profilo pubblico “DvoraAncona” della Società David S.r.l. (Centro Estetico Dvora), di un video in cui il reclamante è stato ripreso durante una procedura di medicina estetica (Rinoplastica non chirurgica) effettuata dalla dott.ssa Ancona, legale rappresentante della Società David S.r.l. cui fa capo il Centro Estetico Dvora (di seguito la “Società”).

Secondo il reclamante, tale diffusione, sarebbe avvenuta in assenza di un valido presupposto giuridico, in quanto l’informativa resa e la manifestazione di consenso sottoscritta dall’interessato non sarebbero conformi alla disciplina in materia di protezione dei dati personali.

A supporto di quanto lamentato, il reclamante ha prodotto in atti la documentazione relativa al predetto video, il quale è stato successivamente rimosso su richiesta dello stesso reclamante dal citato Social media.

In relazione al predetto reclamo, l’Ufficio ha avviato un’istruttoria preliminare e chiesto informazioni alla Società (nota del 13 aprile 2023, prot. n. 61380), che, con nota del 12 maggio 2023, in risposta alla richiamata richiesta di informazioni, ha rappresentato, in particolare, che:

“in occasione dei - e preliminarmente ai- trattamenti a cui il (…) [reclamante] si sottoponeva a cura dell'esponente, il (…) [reclamante] sottoscriveva e rilasciava un documento con il quale esprimeva il proprio libero ed incondizionato consenso al trattamento dei suoi dati”;

“il consenso rilasciato dal (…) [reclamante] conteneva l'espresso avvertimento e chiara previsione che i dati e le immagini acquisite nel corso dei trattamenti sarebbero state utilizzate anche per la pubblicazione sui social network a scopi divulgativi/scientifici/pubblicitari, come da art. 1 della menzionata informativa sottoscritta dall'interessato”;

il predetto consenso “è quindi specifico ed autorizza alla pubblicazione di dati ed immagini sui social network, oltre che validamente concesso (anche in forma scritta)”;

“come da filmato [inviato a mezzo di raccomandata AR e acquisito gli atti del procedimento], nel corso delle riprese, veniva espressamente rappresentato [al reclamante] che, conformemente al consenso rilasciato, il trattamento sarebbe stato filmato in presa diretta e inviato in c.d. live story su Instagram, come risulta dal fatto che durante il trattamento erano installate e ben visibili due lampade da videoripresa, che le riprese venivano effettuate a mani tramite cellulari innanzi a testimoni e che l'esponente salutava apertamente ed esplicitamente gli utenti Instagram collegati in live. Il [reclamante], perfettamente consapevole di quanto avveniva e del trattamento che in quel momento veniva effettuato sui suoi dati personali, esprimeva (tacito) consenso, o in ogni caso, nulla obiettava”;

con il proprio comportamento, l'interessato ha quanto meno indotto l'esponente a ritenere che avesse acconsentito “al particolare tipo di trattamento dei suoi dati personali”;

“il trattamento a cui il [reclamante] è stato sottoposto è stato eseguito in 2 sedute della durata complessiva di oltre mezz'ora ciascuna; le video riprese di cui al video pubblicato […], sono limitate in totale a 34 secondi, vale a dire, che sono stati trattati solo i dati adeguati e di cui si aveva realmente bisogno per raggiungere le finalità dichiarate del trattamento (i.e. pubblicazione di un articolo (che nel linguaggio dei social media si definisce "Post”) sui social network, circa degli effetti del trattamento) e limitatamente a quelli strettamente necessario”;

durante le riprese “il soggetto era sdraiato con barba e capelli tirati indietro […] e che buona parte della comunque scarsa porzione visibile del viso e rimasta coperta dalle mani e dalle attrezzature dell’esponente […] si ritiene dunque che le condizioni di ripresa siano tali da garantire la non identificabilità del soggetto coinvolto”;

“a semplice richiesta dell'interessato, il video è stato prontamente rimosso dal [unico] social network [Instagram, su cui era stato pubblicato]. […] i dati personali non sono stati diffusi attraverso altre modalità” ed il video “non è in alcun modo accessibile, neppure dietro specifica ricerca”;

“l'unico device presso il quale il video era conservato era quello dell'esponente, con il quale era stato realizzato (oltre ad una copia di backup, nell'esclusiva disponibilità dell'esponente)”;

ciò posto, atteso il valido consenso espresso liberamente dall’interessato e che “i social network costituiscono, ad oggi, il primo strumento di divulgazione di informazioni, anche scientifiche, ciò è tanto vero che secondo un rapporto della Commissione europea, il c.d. Eurobarometer 2021, nei Paesi europei il 29% della popolazione si tiene informata su scienza e tecnologia attraverso i nuovi media digitali tra cui i social network. In questo contesto, social media si propongono a scienziati e accademici come mezzo per sviluppare sia il proprio profilo professionale che le proprie attività di comunicazione pubblica, con la promessa di amplificare i contenuti delle loro ricerche e di estendere il bacino dl utenti coinvolti nelle conversazioni su scienza e tecnologia […] si ritiene che l'esponente ritenesse in buona fede di aver ricevuto un valido ed espresso consenso dell'interessato al trattamento dei dati cd alla loro pubblicazione”;

al fine di far tesoro dei rilievi espressi dall’Autorità, la Società ha inoltre rappresentato di aver intrapreso un percorso di verifica della conformità dei trattamenti svolti alla disciplina in materia di protezione dei dati personali ponendo in essere specifiche azioni, in particolare ha dichiarato di aver:

• organizzato specifici corsi di formazione cui hanno partecipato i dipendenti e collaboratori coinvolti nel trattamento dei dati e di aver avviato un processo di revisione di tutte le procedure interne, il cui completamento verrà anticipato rispetto alla data precedentemente indicata nella fine del corrente anno;

• nominato, a decorrere dal 1° maggio 2023, un “DPO esterno ed esperto in materia”;

• già prima della ricezione della comunicazione circa l'avvio del presente procedimento, modificato i “documenti con i quali viene richiesto il consenso al trattamento dei dati ai pazienti, adottando specifiche disposizioni sull'utilizzo dei dati sanitari ai fini di presentazioni, pubblicazioni o divulgazioni scientifiche, anche sui social media”;

• previsto l’ulteriore verifica da parte di una “società specializzata terza, rispetto ai redattori di tali nuovi modelli […] (second opinion) della conformità di tale documentazione alle norme applicabili, uniformandosi anche alle indicazioni che varranno rese in materia tenuto conto dell’adozione del codice di condotta per l'uso dei dati a fini didattici e di pubblicazioni scientifiche […]”;

• programmato, con l'ausilio del nominato DPO, l’ulteriore “rielaborazione della modulistica per esprimere il consenso informato e quello al trattamento dei dati, con specifiche indicazioni circa la pubblicazione di foto e video sui social network (con espressa indicazione di Instagram e altri)”;

• in corso di valutazione l’“adozione di specifici strumenti di verifica e modifica e/o che rendono automaticamente non identificabili i soggetti che si sottopongono ai trattamenti (anonimlzzazione/pseudonomizzazione) previa, in ogni caso, verifica che siano state fornite dagli interessati tutte le autorizzazioni richieste dalla disciplina di settore”.

In relazione a quanto emerso dalla documentazione in atti, l’Ufficio, ha notificato alla predetta Società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981) (nota del 16 giugno 2023, prot. n. 94136).

In tale atto, l’Ufficio ha rilevato che la Società ha effettuato un trattamento di dati personali in maniera non conforme ai principi di “liceità, correttezza e trasparenza” in violazione degli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento; in assenza di un idoneo presupposto normativo, in violazione degli artt. 2-septies, comma 8 del Codice, 6 e 9 del Regolamento.

Con nota del 14 luglio 2023 la Società e ha fatto pervenire le proprie memorie difensive, non chiedendo di essere sentita in audizione.

In particolare, la Società nel riportarsi integralmente a quanto contenuto nello scritto difensivo prodotto in riscontro alla citata richiesta di informazioni dell’Ufficio, ha rappresentato che:

“ciò che è stato operato sul ricorrente era una mera applicazione estetica, in particolare, il trattamento di pori del naso dilatati; non è quindi stato chiarito quale informazione relativa allo stato di salute del ricorrente sarebbe stata diffusa. In altre parole, nel presente procedimento si dà per scontato la sussistenza di un presupposto logico che non è, invero, per nulla scontato: i.e. che si siano trattati dati sanitari. Appare tuttavia che così non è, posto che l'eventuale presenza di pori dilatati (la cui presenza riguarda 100% della popolazione mondiale) di per sé nulla rivela sulla salute del soggetto”;

“il trattamento in parola dei dati del [reclamante] è avvenuto sulla base di un consenso scritto ed espresso che la esponente, del tutto in buona fede, riteneva perfettamente valido, menzionando il detto consenso anche i social network e quindi lo strumento sul quale le riprese sono state (per pochissimo tempo) pubblicate”;

“ha preso buona nota delle osservazioni di Codesta ecc.ma Autorità, alle quali si sta già conformando” producendo al riguardo specifica documentazione, ivi incluso il prospetto degli elementi di cui all’art. 83, par. 2 del Regolamento, acquisita agli atti del procedimento.

Con specifico riferimento a tale ultimo documento la Società ha rappresentato che:

“La assunta violazione ha coinvolto un unico soggetto: il ricorrente; l'esponente, David S.r.l., ha agito ritenendo di avere il consenso scritto e verbale; il tempo in cui il ricorrente è riconoscibile è limitato dal secondo 0:24 al secondo 0:25, il viso era sempre coperto dalle mani della Dott.ssa Ancona per poter effettuare la prestazione; il tempo di permanenza sul social del video è stato limitato a 45 giorni con pochissime visualizzazioni; dalla richiesta di cancellazione da parte del ricorrente alla cancellazione effettiva sono trascorsi pochi minuti; il soggetto non è stato taggato (riferimento dell'immagine alla sua persona specifica e/o a suo account social)”;

“l'esponente, David S.r.l., agiva nella piena convinzione che il soggetto fosse consapevole e consenziente alla ripresa a diffusione su Instagram del trattamento. Sia all'esponente, sia agli astanti (1 assistente medico ivi presente e 2 persone che predisponevano il video) ciò è sembrato pacifico ed anzi ritenevano, del tutto in buona fede, che il soggetto fosse compiaciuto di ciò”;

“a semplice richiesta e senza addurre obiezioni alcune, pur sul presupposto di aver agito correttamente, l'esponente provvedeva immediatamente alla definitiva eliminazione del video da Instagram”;

“l'esponente aveva già provveduto alla erogazione di formazione specifica al proprio personale in tema di corretto trattamenti dei dati personali; inoltre, a seguito dell'evento l'esponente ha provveduto a riformulare tutti i moduli di consenso ed ha erogato nuova formazione al personale”;

“Piena collaborazione. In ogni caso, non ve n'è stata necessità, atteso che il video è stato rimosso e non è in alcun modo reperibile”;

“dati trattati non rivelano alcuno stato di salute. Tutto ciò che si può evincere è che il soggetto si è sottoposto ad un trattamento estetico per i pori dilatati del naso”;

[…] si è trattata di un'unica violazione; il costo dell'intervento è stato di euro 350,00 (trecentocinquanta); David srl è una piccola realtà di medicina estetica nonostante ciò sta implementato sistemi di certificazione qualità, ivi inclusa la corretta gestione dei dati”.

2. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dalla Società nella documentazione in atti e nelle memorie difensive, si osserva che:

ai sensi del Regolamento per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, n. 1 del Regolamento) e si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento). Il considerando n. 35 del Regolamento precisa poi che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”;

ai sensi del Regolamento, i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»)” e devono raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità («principio limitazione della finalità») (artt. 5, par. 1, lett. a), e b) del Regolamento);

con specifico riferimento alle particolari categorie di dati, tra cui rientrano i dati sulla salute, l’art. 9 del Regolamento sancisce un generale divieto al trattamento di tali dati a meno che non ricorra una delle specifiche esenzioni di cui al paragrafo 2;

al riguardo, il Garante ha più volte evidenziato che con la piena applicazione del Regolamento, diversamente dal passato, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata (cfr. provvedimento “Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario” del 7 marzo 2019, doc. web n. 9091942);

nei casi in cui il trattamento non sia strettamente necessario per finalità di cura e la base giuridica sia rappresentata dal consenso dell’interessato, tenuto conto della natura di tali dati, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, tale consenso deve essere prestato attraverso un atto positivo con il quale l’interessato manifesta una volontà libera, specifica, informata e inequivocabile relativa al trattamento dei dati personali che lo riguardano (art. 9, par. 2 lett. a) del Regolamento e par. 4 delle Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali il 4 maggio 2020). Tale consenso, tenuto conto della natura di tali dati, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, infatti, non può essere tacito, bensì deve essere esplicito (art. 9, par. 2 lett. a) del Regolamento e par. 4 delle Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali il 4 maggio 2020);

si rappresenta inoltre che il Regolamento attribuisce agli Stati membri il potere di introdurre ulteriori condizioni comprese limitazioni, con riguardo al trattamento dei dati genetici, biometrici o relativi alla salute (art. 9, par. 4 del Regolamento). Il legislatore nazionale ha dato attuazione a tale disposizioni, per quel che qui rileva attraverso l’art. 2-septies del Codice in base al quale è previsto che le informazioni sullo stato di salute non possano essere diffuse (cfr. anche art.166, comma 2, del Codice) e possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento);

l’Autorità, sin dal 2014, in conformità all’art. 22, comma 8, del Codice allora vigente, ha rappresentato che “è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici. A tale scopo, fin dalla fase di redazione degli atti e dei documenti oggetto di pubblicazione, nel rispetto del principio di adeguata motivazione, non dovrebbero essere inseriti dati personali “eccedenti”, “non pertinenti”, “non indispensabili” (e, tantomeno, “vietati”). In caso contrario, occorre provvedere, comunque, al relativo oscuramento” (cfr. Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, parte II, par. 1, del 15.5.2014, doc. web n. 3488002);

i principi di trasparenza e correttezza implicano che l'interessato sia informato dell'esistenza del trattamento e delle sue finalità e che i dati personali siano trattati fornendo preventivamente agli interessati le informazioni di cui all’art. 13 del Regolamento (considerando n. 60 e art. 5, par. 1 lett. a) del Regolamento). Le informazioni poi devono essere rese in una forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (Considerando 58 e art. 12 del Regolamento).

in caso di raccolta di dati personali presso l'interessato, il titolare del trattamento deve fornirgli, nel momento in cui i dati personali sono ottenuti, tutte le informazioni indicate all’art. 13 del Regolamento.

si rappresenta poi che la disciplina in materia di protezione dei dati personali non trova invece applicazione in relazione ai dati anonimi. A tale riguardo, giova inoltre precisare che si considerano anonime le “(...) informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato”, ciò anche per i trattamenti svolti per finalità statistiche o di ricerca (cfr. considerando n. 26 del Regolamento). Il rischio di reidentificazione dell’interessato va, tuttavia, accuratamente valutato tenendo conto di “tutti i mezzi, [...], di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici” (cfr. considerando n. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottato il 10 aprile 2014). Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference):

con specifico riferimento alla pubblicazione di casi clinici, il Codice di deontologia medica approvato dalla Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri nel 2014 (così come modificato nel 2016 e nel 2017) prevede che “il medico assicur(a)(i) la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici” (art. 11 - Riservatezza dei dati personali);

al riguardo, il Codice di condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica approvato con il provvedimento del Garante n. 7 del 14 gennaio 2021 (doc. web n. 9535354), prevede espressamente che nell’eventualità in cui non sia possibile procedere all’anonimizzazione dei dati, il titolare del trattamento dovrà acquisire uno specifico consenso, raccolto il quale i dati devono comunque essere sottoposti a pseudonimizzazione.

Dalla documentazione prodotta in atti, si rileva che:

la Società, sulla base delle disposizioni sopra richiamate, nell’effettuare un video di 34 secondi in cui è riconoscibile il volto del ricorrente durante una procedura di medicina estetica, volta a rimuovere delle imperfezioni fisiologiche dell’interessato, definita nello stesso video come una “rinoplastica non chirurgica”, ha effettuato un trattamento di dati sulla salute dell’interessato. Il Garante in numerosi provvedimenti ha chiarito che la natura “sensibile” (ora “particolare” ex art. 9 del Regolamento) di un’informazione deve essere valutata anche in relazione al contesto di riferimento e, pertanto, un dato si può considerare relativo allo stato di salute dell’interessato anche se non si fa esplicito riferimento alla patologia eventualmente sofferta, ma solo ad informazioni ad essa correlate (cfr. ex multis: provv. 11 aprile 2019, doc. web n. 9113830; provv. generale del 9 novembre 2005, doc. web n. 1191411; provv. 27 febbraio 2002, doc. web 1063639; punto 2, "Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati" doc. web n. 3134436);

ha diffuso informazioni sullo stato di salute del reclamante in modo non conforme alla disciplina in materia di protezione dei dati personali che ne dispone un esplicito divieto (art. 2-septies del Codice) attraverso la pubblicazione di un video sul social media Instagram, nel profilo pubblico “DvoraAncona” in cui è ritratto lo stesso durante una procedura di medicina estetica;

secondo quanto già rilevato dall’Autorità nel citato Codice di condotta, le richiamate e asserite finalità divulgative-scientifiche perseguite dalla Società mediante la pubblicazione del predetto video avrebbero dovuto, se del caso, essere perseguite attraverso il trattamento di dati anonimizzati alla luce dell’Opinion 05/2014 del WP29; qualora non fosse stato possibile procedere all’anonimizzatine dei dati (es. per le peculiarità del caso clinico rappresentato), si sarebbe dovuto acquisire uno specifico e informato consenso dell’interessato, raccolto il quale i dati avrebbero dovuto comunque essere sottoposti a pseudonimizzazione;

in ogni caso, non può ritenersi valido il consenso acquisito dal reclamante in occasione dei trattamenti di medicina estetica cui l’interessato si è sottoposto, in quanto non esplicito, specifico e non informato in ordine alla finalità in questione (cfr. il citato Codice di condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica). Infatti, l’informativa utilizzata dal titolare, nella sezione rubricata “Finalità del trattamento”, reca un generico riferimento “alla pubblicazione di articoli su social media e magazine” non specificando che sarebbero stati diffusi dati sulla salute dell’interessato sul profilo pubblico “DvoraAncona” di Instagram della Società, senza alcuna pseudonimizzazione degli stessi;

né può ritenersi -dal video acquisito agli atti del procedimento- che il reclamante abbia acconsentito di fatto al trattamento dei propri dati -inclusi quelli sulla salute- per la realizzazione di un filmato da pubblicare sul citato profilo social della Società. Non può infatti ritenersi validamente prestato il consenso c.d. “tacito” dell’interessato, ciò in quanto il Regolamento, nell’individuare le deroghe al divieto di trattamento delle particolari categorie di dati, tra cui rilevano i dati sulla salute, prevede che essi possono essere oggetto di trattamento, tra le altre cose, sulla base del consenso esplicito dell’interessato (art. 9, par. 2, lett. a)). Pertanto, la circostanza che la prestazione sanitaria a cui l’interessato si stava sottoponendo è stata registrata non all’insaputa dell’interessato, non equivale ad aver acquisito dallo stesso un consenso informato, specifico ed esplicito circa le modalità con cui i dati oggetto della stessa ripresa sarebbero stati trattati e, nel caso di specie, addirittura diffusi su un canale social;

la Società ha fornito un’informativa al reclamante non idonea e priva degli elementi essenziali di cui all’art. 13 del Regolamento:

essendo erroneamente indicato quale titolare del trattamento la dott.ssa Ancona e non la società David S.r.l., di cui quest’ultima è il legale rappresentante (art. 13, par. 1, lett. a) del Regolamento e Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR Versione 2.0, adottate il 7 luglio 2021, punto 2.1.1);

essendo indicate le finalità del trattamento in modo contraddittorio, in quanto -in via preliminare- viene rappresentato agli interessati che “tutti i dati personali e le immagini raccolte durante gli interventi del centro medico Dvora verranno usate per l’organizzazione e la gestione degli eventi e dei convegni per pubblicità degli strumenti medici e per la pubblicazioni di articoli su social media, magazine” e -a seguire- che “tutti i trattamenti effettuati dal centro medico Dvora in qualità di titolare sono finalizzati unicamente al corretto svolgimento delle attività necessarie per l’erogazione dei trattamenti di medicina estetica o per altre prestazioni mediche da voi richieste”;

non essendo indicate tutte le finalità del trattamento, in particolare quella oggetto di contestazione e consistente nella diffusione del citato video sul social media Instagram, che in ogni caso non risulta ammessa se non nei limiti sopra evidenziati (art. 13, par. 1, lett. c) del Regolamento);

non essendo indicate le diverse basi giuridiche dei trattamenti effettuati, (art. 13, par. 1, lett. c) del Regolamento);

essendo erroneamente prevista, quale base giuridica per il trattamento dei dati per finalità di cura, il consenso dell’interessato, non più previsto dall’art. 9 par. 2 lett. h) del Regolamento;

non essendo indicato il diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca, per i trattamenti che si fondano su tale condizione di liceità (art. 13, par. 2, lett. c)) del Regolamento);

non essendo indicati tra i destinatari tutti i soggetti terzi che potrebbero riceverli coerentemente con le finalità indicate (quali ad es. i proprietari delle piattaforme di social media) (art. 13, par. 1, lett. e del Regolamento).

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si rileva l’illiceità del trattamento di dati personali effettuato dalla Società David S.r.l., nei termini di cui in motivazione, in violazione degli artt. degli artt. 5, par. 1, lett. a), 6, 9, 12 e 13 del Regolamento e 2-septies, comma 8, del Codice.

4. Misure correttive

L’art. 58, par. 2, prevede in capo al Garante una serie di poteri correttivi, di natura prescrittiva e sanzionatoria, da esercitare nel caso in cui venga accertato un trattamento illecito di dati personali. Tra questi poteri, l’art. 58, par. 2, lett. d) del Regolamento, prevede il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine”.

Alla luce delle valutazioni sopra richiamate, si ritiene di dover ingiungere alla Società, ai sensi del richiamato art. 58, par. 2, lett. d) Regolamento, di adottare entro novanta giorni dalla notifica del presente provvedimento, le seguenti misure correttive:

rielaborare il documento denominato “Informativa sul trattamento dei dati personali ai sensi dell’art. 13 e 14 del Regolamento UE 2016/679 per il trattamento dei dati personali dedicati alle registrazioni audio, video e fotografie”:

1. eliminando il riferimento non pertinente all’art. 14 del Regolamento, che trova applicazione solo nel caso in cui i dati personali non siano ottenuti presso l’interessato;

2. eliminando il riferimento ai dati di contatto del Responsabile del trattamento ed inserendo quelli del Responsabile della protezione dati che la Società ha dichiarato di aver nominato a partire dal mese di maggio scorso. Ciò in quanto l’art. 13, par. 1, lett. b) fa riferimento ai dati di contatto del Responsabile della protezione dei dati, di cui agli art. 37 e ss, del Regolamento, figura ben diversa dal citato responsabile del trattamento, disciplinata dall’art. 28 del Regolamento (cfr. anche art. 4, punto 8) del Regolamento);

3. chiarendo nella sezione denominata “Finalità del trattamento” che i dati personali oggetto di diffusione non saranno i dati sulla salute, tenuto conto del divieto di diffusione di tale tipologia di dati (art. 2-septies, comma 8 del Codice) e integrando tale sezione con l’indicazione della base giuridica del trattamento (art. 13, par. 1, lett. c) del Regolamento);

4. modificando la sezione “obbligatorietà del consenso” in quanto fuorviante e contraddittoria considerato che da un lato è indicato che “il conferimento dei Suoi dati è facoltativo, se non strettamente correlato al funzionamento dell’attività o al servizio proposto” e dall’altro che “il mancato consenso non permetterà l’utilizzo delle immagini e/o delle riprese audiovisive del soggetto interessato per le finalità sopraindicate”;

5. correggendo il refuso nella sezione “Comunicazioni a terzi e pubblicazione/diffusione dei dati”, laddove è scritto che: “Nei limiti pertinenti alle finalità del trattamento indicate, i dati personali, immagini e riprese audiovisive potranno esse (non saranno) oggetto di comunicazione, pubblicazione e diffusione […];

6. integrando la sezione “Diritti degli interessati” con il diritto di accesso ai dati e il diritto di revoca del consenso prestato dall’interessato, esercitabile in qualsiasi momento.
In tale quadro, considerato che il predetto video è stato rimosso dal citato profilo Instagram, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a), 6, 9, 12 e 13 del Regolamento e 2-septies, comma 8, del Codice, causata dalla condotta posta in essere dalla Società David S.r.l., è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, 5, del Regolamento e dell’art. 166, comma 2 del Codice.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

il trattamento effettuato ha riguardato la diffusione per 45 giorni sul social network Instagram di una ripresa video della durata di 34 secondi del volto dell’interessato durante una procedura di medicina estetica, informazioni idonee a rilevare lo stato di salute di un solo interessato (art. 83, par. 2, lett. a) e g), del Regolamento);

sotto il profilo riguardante l’elemento soggettivo non emerge un atteggiamento intenzionale da parte del titolare del trattamento essendo la violazione avvenuta in buona fede (art. 83, par. 2, lett. b) del Regolamento);

a richiesta del reclamante, il titolare del trattamento ha avuto una condotta proattiva per rimediare alla violazione, avendo prontamente rimosso il video dal proprio profilo Instagram (art. 83, par. 2, lett. c) del Regolamento).

non risultano, precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento);

la Società ha collaborato pienamente con l’Autorità nel corso dell’istruttoria e del presente procedimento ponendo in essere alcune misure volte a conformare il trattamento dei dati personali al quadro normativo vigente in materia di protezione dei dati personali, seppure tuttavia persistono i profili di non conformità sopra evidenziati (par. 4). In particolare la Società:

ha organizzato specifici corsi di formazione cui hanno partecipato i dipendenti e collaboratori coinvolti nel trattamento dei dati e avviato un processo di revisione di tutte le procedure interne, il cui completamento verrà anticipato rispetto alla data precedentemente indicata nella fine del corrente anno;

ha nominato, a decorrere dal 1° maggio 2023, un “DPO esterno ed esperto in materia”;

già prima della ricezione della comunicazione circa l'avvio del procedimento sanzionatorio da parte dell’Ufficio, ha modificato i “documenti con i quali viene richiesto il consenso al trattamento dei dati ai pazienti, adottando specifiche disposizioni sull'utilizzo dei dati sanitari ai fini di presentazioni, pubblicazioni o divulgazioni scientifiche, anche sui social media” ((art. 83, par. 2, lett. f) del Regolamento);

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) e b), del Regolamento, nella misura di euro 8.000 (ottomila) per la violazione degli artt. 5, par.1, lett. a), 6, 9, 12, 13 del Regolamento, 2 septies, comma 8 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla Società David S.r.l. per la violazione degli artt. 5, par.1, lett. a), 6, 9, 12, 13 del Regolamento, 2 septies, comma 8 del Codice nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, alla società David S.r.l., con sede in Milano, Via Paolo Lomazzo 19, C.F. 06835980969, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 8.000 (ottomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 8.000 (ottomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di conformare i trattamenti alle disposizioni del Regolamento, adottando entro novanta giorni dalla notifica del presente provvedimento, la misura correttiva di rielaborare il documento denominato “Informativa sul trattamento dei dati personali ai sensi dell’art. 13 e 14 del Regolamento UE 2016/679 per il trattamento dei dati personali dedicati alle registrazioni audio, video e fotografie”:

1. eliminando il riferimento non pertinente all’art. 14 del Regolamento, che trova applicazione solo nel caso in cui i dati personali non siano ottenuti presso l’interessato;

2. eliminando il riferimento ai dati di contatto del Responsabile del trattamento ed inserendo quelli del Responsabile della protezione dati che la Società ha dichiarato di aver nominato a partire dal mese di maggio scorso. Ciò in quanto l’art. 13, par. 1, lett. b) fa riferimento ai dati di contatto del Responsabile della protezione dei dati, di cui agli art. 37 e ss, del Regolamento, figura ben diversa dal citato responsabile del trattamento, disciplinata dall’art. 28 del Regolamento (cfr. anche art. 4, punto 8) del Regolamento);

3. chiarendo nella sezione denominata “Finalità del trattamento” che i dati personali oggetto di diffusione non saranno i dati sulla salute, tenuto conto del divieto di diffusione di tale tipologia di dati (art. 2-septies, comma 8 del Codice) e integrando tale sezione con l’indicazione della base giuridica del trattamento (art. 13, par. 1, lett. c) del Regolamento);

4. modificando la sezione “obbligatorietà del consenso” in quanto fuorviante e contraddittoria considerato che da un lato è indicato che “il conferimento dei Suoi dati è facoltativo, se non strettamente correlato al funzionamento dell’attività o al servizio proposto” e dall’altro che “il mancato consenso non permetterà l’utilizzo delle immagini e/o delle riprese audiovisive del soggetto interessato per le finalità sopraindicate”;

5. correggendo il refuso nella sezione “Comunicazioni a terzi e pubblicazione/diffusione dei dati”, laddove è scritto che: “Nei limiti pertinenti alle finalità del trattamento indicate, i dati personali, immagini e riprese audiovisive potranno esse (non saranno) oggetto di comunicazione, pubblicazione e diffusione […];

6. integrando la sezione “Diritti degli interessati” con il diritto di accesso ai dati e il diritto di revoca del consenso prestato dall’interessato, esercitabile in qualsiasi momento.

L’inosservanza di un ordine formulato ai sensi dell'art. 58, par. 2, del Regolamento, è punita con la sanzione amministrativa di cui all’art. 83, par. 6, del Regolamento;

ai sensi dell’art. 58, par. 1, lett. a), del Regolamento e dell’art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel predetto par. 6, e di fornire comunque riscontro, adeguatamente documentato, entro e non oltre il termine di 20 giorni dalla scadenza del termine sopra indicato. Il mancato riscontro a una richiesta formulata ai sensi dell’art. 157 del Codice è punito con la sanzione amministrativa, ai sensi del combinato disposto di cui agli artt. 83, par. 5, del Regolamento e 166 del Codice.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 gennaio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9983210
Data
11/01/24

Argomenti

Internet e social media Sanità e ricerca scientifica Dati sanitari

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (5)