Fin dalla nascita del concetto di privacy, la registrazione e divulgazione di immagini personali sono attività che suscitano particolare sensibilità, anche tra chi non opera nella protezione dei dati personali. Non c’è dubbio, foto e video sono un potente strumento di informazione e/o promozione commerciale, e un’efficace strategia di comunicazione può essere un importante elemento di competitività, specialmente in un mercato sempre più digitale. Ormai abbiamo tutti e sempre una videocamera in tasca. E anche per questa ragione, occorre prestare attenzione a come la utilizziamo, perché la possibilità di commettere un illecito, magari in buona fede, è sempre dietro l’angolo.
Questo tipo errore è esattamente quello raccontato nel recente Provvedimento del Garante, che ha sanzionato un Centro di medicina estetica, per la pubblicazione illecita su Instagram di un video in cui compariva un paziente sottoposto ad alcuni trattamenti al viso. È l’occasione giusta per apprendere alcune lezioni su come vanno raccolte le immagini di persone, e ribadire qualche principio fondamentale per la corretta gestione di foto e video.
Indice
Il caso del centro di medicina estetica
Partiamo dall’episodio: una persona riconosce il proprio volto in un video postato su Instagram dal Centro di medicina estetica a cui si era rivolto per un trattamento di rinoplastica non chirurgica. Ritenendo di non aver mai acconsentito alla pubblicazione della propria immagine, chiede alla struttura di rimuovere il video, e contesta l’attività al Garante Privacy. L’Autorità gli dà ragione, e all’esito delle proprie verifiche ribadisce la necessità di prestare particolare attenzione nel diffondere informazioni riferite a casi clinici per scopi divulgativi o scientifici, confermando la violazione e irrogando al Centro una sanzione di 8mila euro.
I problemi principali evidenziati riguardano il mancato rispetto dei principi di trasparenza e di liceità, che configurano un trattamento illecito di dati. Aggravato, inoltre, dalla natura sensibile delle informazioni sanitarie divulgate. Esaminiamo allora la dinamica nel dettaglio.
Informare adeguatamente le persone riprese
Nella propria difesa, il Centro di medicina estetica indica che il paziente era correttamente informato che le immagini acquisite nel corso dei trattamenti sarebbero state utilizzate anche per la pubblicazione sui social network a scopi divulgativi/scientifici/pubblicitari. Qual è stata l’incomprensione?
Oltre a un’altra serie di altri più o meno piccoli errori formali dell’informativa, il documento utilizzato dal Centro, nella sezione “Finalità del trattamento”, indicava in realtà un generico riferimento alla pubblicazione di articoli su social media e magazine. Non specificava, invece, l’intenzione del titolare di diffondere dati sulla salute sul proprio profilo Instagram.
Insomma, quando si parla di trasparenza, i dettagli fanno la differenza. È importante che i testi siano assolutamente chiari e non generici. Certamente un compito difficile, quello di sposare la specificità delle informazioni, con i requisiti di sintesi. Ma un giusto compromesso tra queste due caratteristiche è l’obiettivo da raggiungere.
[ved. anche “NO LEGALESE, WE PROMISE”: principio di trasparenza e legal design]
Il consenso dev’essere esplicito
Secondo quanto riportato dal Centro, il paziente aveva acconsentito alle riprese, e si era comportato in modo tale da indurre il personale della struttura a pensare che fosse d’accordo, se non addirittura compiaciuto di ciò. In sala c’erano due evidenti lampade da videoripresa, e il paziente aveva anche salutato in camera gli utenti che stavano seguendo la diretta live.
In ogni contesto di trattamento dati personali, però, il Garante, sui requisiti di validità del consenso è sempre molto fermo. Non può ritenersi validamente prestato un consenso tacito. Tantopiù quando si ha a che fare con la diffusione di immagini che contengono riferimenti alla salute, e sono pertanto da ricondurre alle categorie particolari di dati personali. Il fatto che la prestazione sanitaria fosse registrata non all’insaputa dell’interessato, non equivale ad aver acquisito un consenso informato.
Quando sorridiamo a un fotografo, o salutiamo durante una ripresa video, ciò non significa necessariamente che abbiamo consapevolezza che quell’immagine sarà divulgata. Potremmo anche non avere chiaro dove e come quella foto o quel video saranno pubblicati, né con chi saranno condivisi. Di sicuro, un comportamento cordiale non equivale a un’autorizzazione a utilizzare indiscriminatamente la nostra immagine.
[ved. anche Lezioni di GDPR: il consenso al trattamento dati]
Sulla riconoscibilità delle persone ritratte
Un elemento interessante del caso in esame riguarda le caratteristiche del video e la riconoscibilità del paziente. Il Centro ha indicato, a propria difesa, che il video reso pubblico era breve (34 secondi, a fronte di una procedura di rinoplastica durata complessivamente oltre un’ora) e aveva ricevuto poche visualizzazioni. Soprattutto, per la maggior parte del tempo risultava visibile solo una scarsa porzione di viso del paziente. Il tempo preciso in cui il paziente risultava riconoscibile si limitava ad un secondo di video.
La logica di fondo è corretta: se nel video pubblicato la persona non è riconoscibile, allora non posso arrecarle un danno. Difatti, le norme sulla protezione dei dati personali non si applicano al trattamento di dati anonimi. E analogamente, non si applicano alla gestione di foto e video in cui le persone ritratte non sono riconoscibili. Cosa non funziona, allora, nella tesi del Centro?
Adottare misure di anonimizzazione (ad esempio, pixelando i volti, limitandosi a riprese su particolari che non consentono di riconoscere la persona) può rappresentare sicuramente una soluzione utile.
Tuttavia, tali soluzioni devono essere efficaci. “34 secondi di video in cui la persona è riconoscibile per 1 secondo”, non equivalgono a “33 secondi di dati anonimi” + “1 secondo di dato personale”. Un dato è anonimo solo in relazione al rischio di re-identificazione dell’interessato. Tecnicamente, anche l’esistenza di un singolo frame in cui la persona risulti identificabile, può rappresentare la chiave per associare l’intera ripresa a quella determinata persona. Imponendo, pertanto, il rispetto di tutti i principi di protezione dei dati nella gestione di quel video.
[ved. anche: Pseudonimizzazione dei dati sanitari: quali tecniche possibili?]
Sulla necessità di pubblicare foto e video
Qualcuno potrebbe domandarsi se sia giusto che una struttura sanitaria pubblichi foto o video sul web. Ed è generalmente corretto ragionare sul principio di necessità quando si ha a che fare col trattamento di dati personali. Nel caso in oggetto, il Centro ha giustificato l’utilizzo dei social network, sulla base del fatto che i canali digitali costituiscono il principale e più utilizzato strumento di divulgazione nonché di ricerca di informazioni scientifiche. Interessante notare, quindi, che il Garante non ha messo in discussione né le finalità divulgative-scientifiche, né i canali di divulgazione a cui il Centro ha fatto ricorso.
L’analisi si è concentrata piuttosto sulle modalità di divulgazione. Secondo il Codice di deontologia medica, dopotutto, il medico deve assicurare la riservatezza e la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici. L’obiettivo di divulgazione scientifica si può infatti raggiungere anche senza trattare/pubblicare dati che possano ricondurci allo specifico paziente. E nell’eventualità in cui non sia possibile procedere all’anonimizzazione dei dati, diviene fondamentale acquisire uno specifico consenso.
[ved. anche Non c’è cura del paziente senza tutela della sua privacy]
Il dato personale racchiuso in un’immagine
Molte delle considerazioni fatte in questo approfondimento si applicano ai trattamenti di immagini personali in qualsiasi contesto siano esse state registrate. Come già detto in altre occasioni, solitamente le immagini che ritraggono le persone NON costituiscono dati sensibili o particolari ai sensi dell’art. 9 del GDPR, bensì semplici dati personali. Tuttavia, esistono delle eccezioni, e per stabilire se un dato sia “sensibile” o “particolare” (ex art. 9 GDPR), e quindi meritevole di maggiore tutela, bisogna valutare il contesto di riferimento.
Il Centro estetico in questione ha tentato di “ridimensionare” la violazione contestatagli, indicando che la pubblicazione del video non avrebbe realmente comportato una divulgazione di dati sanitari. Secondo il titolare, infatti, la mera applicazione estetica esercitata, vale a dire il trattamento di “pori del naso dilatati”, condizione presente in larga parte della popolazione mondiale e motivo del trattamento estetico effettuato, nulla rivelerebbe sulla salute del soggetto.
Il Garante, tuttavia, non si è mostrato concorde. Si può considerare relativo allo stato di salute dell’interessato anche il dato che non faccia esplicito riferimento alla patologia eventualmente sofferta, ma solo ad informazioni ad essa correlate. Nel caso in esame, per l’appunto, l’immagine, che dava indicazione sul fatto che la persona si fosse sottoposta a una procedura per rimuovere delle imperfezioni fisiologiche.
[ved. anche Immagini personali e privacy: 7 regole nel trattamento di foto e video]
Marketing sanitario e compliance. About Health
La consapevolezza del contesto in cui si opera, web-presence ed efficaci piani di comunicazione sono ingredienti ormai essenziali per il marketing. Ecco perché riteniamo che un approccio integrato sia probabilmente la soluzione più efficace per gestire con successo le sfide del mercato, anche e soprattutto per chi opera in sanità privata, in servizi socio-assistenziali, nel mondo della salute e del benessere.
Come Studio Delli Ponti, porteremo la nostra prospettiva all’: avremo modo di confrontarci con l’esperienza nel marketing digitale di Noetica, riflettendo insieme sui trend del mercato della sanità raccontati da Nomisma. Per scoprire quali sono le strategie migliori, e più corrette, per il marketing di chi si occupa di salute.