Provvedimento del 12 dicembre 2024 [10095836]

VEDI ANCHE Newsletter del 31 gennaio 2025

[doc. web n. 10095836]

Provvedimento del 12 dicembre 2024

Registro dei provvedimenti
n. 769 del 12 dicembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stazione;

PREMESSO

1. Il reclamo e l’attività istruttoria

In data XX la sig.ra XX ha formulato un reclamo, lamentando l’avvenuta diffusione sul social media Instagram di fotografie nelle quali la stessa è ripresa durante un intervento di medicina estetica effettuato dal dott. Giuseppe Rubino presso la clinica XX.

La reclamante, attraverso il proprio legale, ha rappresentato che “in data XX, (…) subiva (..), intervento di “lifting cervico medio-facciale con blefaroplastica superiore e inferiore” eseguito dal dott. Giuseppe Rubino e da XX (…). In tale occasione, alla paziente venivano scattate alcune fotografie per uso interno. Nessun consenso veniva prestato, (anche perché non richiesto), alla divulgazione delle immagini. Nello scorso mese di aprile la mia patrocinata è stata avvisata da un’amica che circolavano, su Instagram, le immagini del suo volto assolutamente riconoscibile, prima (con cuffia operatoria) e dopo l’intervento, e sotto ciascuna immagine era presente il logo del dott. Giuseppe Rubino, sulla cui pagina personale le fotografie facevano bella mostra”.

Nell’ambito dell’attività istruttoria si è reso necessario richiedere al dott. Rubino elementi di informazione utili alla valutazione del caso (note del XX, prot. n. XX, XX, prot. n. XX, del XX, prot. n. XX).

Con nota del XX, il dott. Rubino ha fornito riscontro alla richiesta di informazioni, dichiarando che:

– “la Sig.ra XX anni fa ha contattato telefonicamente la mia segretaria, la quale ha prontamente richiesto, a chi a suo tempo gestiva i miei siti social, l’eliminazione di tutte le foto su piattaforma Instagram dei pazienti operati di lifting facciale e di blefaroplastica, stessi interventi eseguiti alla paziente XX”;

– “nonostante l’eliminazione delle foto, in data XX ricevo comunicazione dal legale rappresentate della Sig.ra XX, la quale mi richiede entro il termine dei 10gg una bonaria composizione della controversia con risarcimento dei danni subiti, senza però fornire un HTTPS, per cui mi si richiede risarcimento ed oltretutto denunciandomi secondariamente ai Vs uffici del GPDP”;

– “nell’intervento svolto in data XX, presso XXi, in quanto la Sig.ra XX era paziente diretta della mia collega, XX, furono stati fatti firmare i suoi consensi informati carenti del consenso alla pubblicazione delle foto; in fiducia, poiché i miei consensi per prassi includono tale voce, furono firmati. Mio malgrado chi gestiva le mie piattaforme social al tempo (..), ha pubblicato tali immagini, che nel caso ritraevano solo ed esclusivamente il volto della paziente. (…) nel caso della Sig.ra XX, l’equivoco è nato dal fatto che la stessa ha sottoscritto i consensi con la struttura e con altro medico”.

Con la medesima nota, il dott. Rubino ha allegato i moduli dei “consensi informati relativi agli interventi” che è solito eseguire e, nell’ambito dell’audizione richiesta, ha dichiarato, tra l’altro, che:

– “nonostante la vertenza nasca da un mero equivoco e il dott. Rubino non abbia in alcun modo riconosciuto alcuna colpa, la stessa è stata definita con accordo transattivo con la prof. XX, mediante riconoscimento economico alla stessa a titolo del risarcimento del danno”;

– “la prof. XX, già paziente di XX, aveva firmato i consensi informati per l’atto operatorio della suddetta dottoressa; il dott. Rubino era ignaro della mancanza di specifico consenso alla pubblicazione delle immagini” (cfr. verbale dell’XX).

2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice

In relazione ai fatti descritti nel reclamo, l’Ufficio, ha notificato al dott. Giuseppe Rubino, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento (nota del XX, prot. n. XX), invitandolo a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24 novembre 1981).

In particolare, l’Ufficio, nel predetto atto, ha ritenuto che il dott. Rubino, diffondendo sul suo profilo del social media Instagram fotografie della reclamante, nelle quali la stessa è ritratta prima e dopo un intervento di medicina estetica, ha effettuato un trattamento di dati sulla salute in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento nonché dell’art. 2-septies, comma 8, del Codice.

In relazione alla notifica effettuata con la citata nota del XX, il dott. Rubino non ha prodotto alcuno scritto difensivo.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dal dott. Rubino nella documentazione in atti, si osserva che:

1. per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, punto n. 1 del Regolamento);

2. si considerano “dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento);

3. per diffusione di dati personali si intende “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (art. 2-ter, comma 4, del Codice);

4. il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di «liceità, correttezza e trasparenza», di «limitazione della finalità», di «minimizzazione dei dati» e di «integrità e riservatezza», secondo i quali i dati devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”, “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”, “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” e devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. a), b), c) e f) del Regolamento);

5. con specifico riferimento alle particolari categorie di dati, tra cui rientrano i dati sulla salute, l’art. 9, par. 1, del Regolamento sancisce un generale divieto al trattamento di tali dati, a meno che non ricorra una delle specifiche esenzioni previste nel par. 2 del medesimo articolo;

6. i dati relativi alla salute meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51); la disciplina in materia di protezione dei dati personali ne vieta espressamente la diffusione (art. 9, par. 4 del Regolamento e art. 2-septies, comma 8);

7. l’Autorità, sin dal 2014, ha rappresentato che “è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici. A tale scopo, fin dalla fase di redazione degli atti e dei documenti oggetto di pubblicazione, nel rispetto del principio di adeguata motivazione, non dovrebbero essere inseriti dati personali “eccedenti”, “non pertinenti”, “non indispensabili” (e, tantomeno, “vietati”). In caso contrario, occorre provvedere, comunque, al relativo oscuramento” (cfr. “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, parte II, par. 1, del 15.5.2014, doc. web n. 3488002); al riguardo, si richiama, inoltre, l’attenzione anche sui precedenti interventi dell’Autorità in merito alla pubblicazione di immagini e video di pazienti sottoposti a procedure mediche (provv. 15 aprile 2021, doc. web nn. 9587071, 9587089, 9587637, provv. 24 novembre 2022, doc. web n. 9844780);

8. con specifico riferimento alla pubblicazione di casi clinici, il Codice di deontologia medica approvato dalla Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri nel 2014 (così come modificato nel 2016 e nel 2017) prevede che “il medico assicur(i) la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici” (art. 11 – riservatezza dei dati personali).

4. Conclusioni: dichiarazione di illiceità del trattamento

Alla luce delle valutazioni sopra esposte, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), si rileva che gli elementi forniti dal titolare del trattamento non sono idonei ad accogliere le richieste di archiviazione, non consentendo di superare i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019

Da tutto quanto sopra esposto deriva che il dott. Rubino ha diffuso, attraverso la pubblicazione sul suo profilo Instagram immagini che rilevavano dati sulla salute della reclamante, rispetto ai quali la legittima aspettativa di confidenzialità e riservatezza era elevata, anche in considerazione del rapporto professionale e fiduciario con il medico.

Dall’esame delle informazioni e degli elementi acquisiti nonché della documentazione fornita il trattamento di dati personali della reclamante effettuato dal dott. Rubino risulta illecito, in quanto posto in essere al di fuori delle finalità di cura per le quali il medesimo medico era legittimato al trattamento e in violazione dei principi di base di cui agli artt. 5 e 9 del Regolamento nonché dell’art. 2-septies, comma 8 del Codice.

In tale quadro, considerato che sono state eliminate le fotografie ritraenti la reclamante, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice). 

La violazione degli artt. 5 e 9 del Regolamento e dell’art. 2-septies, comma 8, del Codice, causata dalla condotta del dott. Giuseppe Rubino comporta l’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5 del Regolamento (v. art. 166, comma 2, del Codice).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle (altre) misure (correttive) di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso”, mediante l’adozione di una ordinanza ingiunzione (art. 18, legge 24 novembre 1981, n. 689), in relazione al trattamento dei dati personali effettuato dal dott. Rubino, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il par. 3 dell’art. 83 del Regolamento, in relazione alla violazione degli artt. 5 e 9 del Regolamento e dell’art. 2-septies del Codice, laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Alla luce di quanto sopra illustrato e, in particolare, della categoria di dati personali interessata dalla violazione, che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali nonché della tipologia di operazione di trattamento (diffusione) si ritiene che il livello di gravità della violazione commessa dal dott. Rubino sia alto (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60). È stato, altresì, valutato che il Garante ha preso conoscenza dell’evento a seguito della ricezione di un reclamo di una paziente del dott. Rubino (art. 83, par. 2, lett. h) del Regolamento).

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di determinare l’ammontare della sanzione pecuniaria nella misura di euro 20.000,00 (ventimila/00) per la violazione degli artt. 5 e 9 del Regolamento, nonché dell’art. 2-septies, comma 8 del Codice, in ragione dei principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi, ai sensi dell’art. 83, par. 1, del Regolamento.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante. Ciò, in considerazione della tipologia di operazione effettuata e dei dati personali oggetto di illecito trattamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, rileva l’illiceità del trattamento effettuato dal dott. Giuseppe Rubino, nato a XX (XX) il XX, C.F. XX, nei termini di cui in motivazione, per la violazione degli artt. 5 e 9 del Regolamento nonché dell’art. 2-septies, comma 8 del Codice;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, al medesimo medico, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 20.000,00 (ventimila/00) a titolo di sanzione amministrativa pecuniaria per la violazione indicata nel presente provvedimento.

INGIUNGE

al predetto medico di pagare la somma di euro 20.000,00 (ventimila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. 1° settembre 2011, n. 150 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

a) ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

b) ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

c) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 dicembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi