Il Garante Privacy si è espresso in relazione ad un reclamo presentato da una paziente che lamenta la diffusione non autorizzata delle proprie immagini prima e dopo un intervento di medicina estetica da parte del chirurgo. Le fotografie sono accompagnate dal logo del medico e mostrano chiaramente il volto della paziente, senza il suo consenso per la divulgazione.
Rilievi del dottore Il medico ha dichiarato che la paziente aveva firmato dei consensi informati per l'intervento, ma questi consensi non includevano specificamente l'autorizzazione per la pubblicazione delle immagini . Inoltre, il medico ha altresì sostenuto che la pubblicazione delle fotografie era stata effettuata da un gestore esterno delle sue piattaforme social la questione derivasse da un equivoco legato alla gestione dei consensi da parte di un altro medico della struttura in cui è stato eseguito l’intervento di aver provveduto tempestivamente alla cancellazione delle immagini dal profilo Instagram . Violazioni Il Garante Privacy ha rilevato che il trattamento dei dati personali della paziente, ivi inclusi dati di categoria particolare tra cui quelli relativi alla salute è avvenuto in violazione degli articoli 5 e 9 del GDPR, che disciplinano i principi fondamentali di protezione dei dati personali e il trattamento dei dati di categoria particolare. L’articolo 5 del GDPR prevede che il trattamento dei dati personali deve avvenire nel rispetto dei seguenti principi liceità , correttezza e trasparenza limitazione delle finalità minimizzazione dei dati esattezza limitazione della conservazione integrità e riservatezza . La pubblicazione delle immagini relative alla paziente su Instagram, senza idonea base giuridica per tale uso – i.e. consenso esplicito -, ha costituito una diffusione non autorizzata di dati di categoria particolare , violando anche le disposizioni dell’articolo 2-septies, comma 8, del Codice Privacy. La suddetta disposizione, difatti vieta la diffusione di dati relativi alla salute, genetici e biometrici. Il Garante Privacy evidenzia, altresì, di aver ribadito in diversi provvedimenti analoghi, che « non è consentita la pubblicazione di informazioni relative alla malattia, invalidità, disabilità o altre condizioni di salute , e che i documenti pubblici devono evitare il trattamento di dati “eccedenti” o “non pertinenti” alle finalità del trattamento». In caso contrario, è necessario oscurare tali informazioni . Con particolare riferimento alla pubblicazione di casi clinici , il Codice di deontologia medica approvato dalla Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri nel 2014 prevede che «il medico assicuri la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici». Il Garante Privacy ha quindi deciso di applicare una sanzione amministrativa pecuniaria di Euro 20.000 euro al medico per la violazione degli articoli 5 e 9 del GDPR, nonché dell'articolo 2-septies, comma 8, del Codice Privacy. La sanzione è stata