L’immagine come dato personale: come gestirla tutelando la privacy
L’immagine, in una società in cui i social network sono diventati il principale veicolo di intrattenimento e di informazione per gli utenti, ha raggiunto un’importanza e una centralità senza precedenti.
Ciò la pone inevitabilmente al centro del dibattitto privacy, e rende necessario comprendere fino in fondo il ruolo dell’immagine all’interno del GDPR, per valutare adeguatamente il grado di tutela da garantire alla stessa in quanto dato personale.
Immagine come dato personale nel GDPR
L’immagine di una persona rientra nella categoria dei dati personali, che secondo l’art 4 del GDPR sono tutte le “informazioni riguardanti una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Il GDPR prevede l’obbligo per il Titolare di applicare al trattamento dei dati personali misure di sicurezza adeguate al rischio relativo all’attività svolta, e questo può rappresentare un problema non di poco conto se il Titolare opera in un settore particolarmente ‘sensibile’ come quello sanitario.
Vediamo quindi come una struttura sanitaria deve gestire le immagini che tratta in qualità di Titolare per evitare il rischio di incorrere in sanzioni.
Tutela delle immagini in sanità: come deve comportarsi una struttura sanitaria per essere “compliant”?
La tutela delle immagini all’interno di una struttura sanitaria può riguardare due diverse categorie di interessati: i pazienti e il personale che lavora presso la struttura, sia esso dipendente o libero professionista.
Tutela dei pazienti
L’immagine del paziente viene di frequente utilizzata dalle strutture sanitarie per finalità di ricerca scientifica o di pubblicità e promozione della propria attività.
Prima di prendere in considerazione i due casi citati chiariamo che è sempre necessario richiedere un consenso preventivo al paziente per l’utilizzo della sua immagine, e diventa fondamentale indicare in maniera chiara le finalità per la quali l’immagine viene pubblicata.
Nel caso in cui l’immagine del paziente venga utilizzata per finalità di ricerca scientifica è necessario che il paziente non sia in alcun modo riconoscibile, escludendo dall’immagine anche segni particolari che possano identificarlo in maniera univoca.
L’immagine del paziente può essere poi utilizzata dalla struttura anche per finalità promozionali (es una foto pubblicata sul sito della struttura per dar prova della qualità dell’attività svolta).
In questo caso il paziente sarà riconoscibile, quindi, oltre al già citato consenso,, è necessario che siano chiare per il paziente le finalità che stanno alla base dell’utilizzo della sua immagine e assicurargli, in ogni caso, che la stessa non sia inserita in contesti che possano recare pregiudizio all’onore, alla reputazione od anche al decoro della persona ritrattata. (art 97, comma 2, Legge 22 aprile 1941 n. 633)
Immagine dei minori
È facile intuire che la gestione delle immagini del paziente diventi ancor più delicata qualora si tratti di un soggetto minore.
La pubblicazione delle immagini relative ad un paziente minore d’età richiede in ogni caso, senza eccezione alcuna, il consenso di entrambi i genitori, lo ha di recente confermato una sentenza del tribunale di Mantova (2017)
Il venir meno a questo obbligo esporrebbe la struttura sanitaria al forte rischio di incorrere in sanzioni non solo dal punto di vista privacy ma anche di carattere risarcitorio, per aver leso gli interessi del soggetto minore.
Immagini del personale dipendente e collaboratore
La tutela dell’immagine come dato personale rileva anche nella gestione del personale interno alla struttura.
Si pensi ad esempio a tutte quelle strutture sanitarie che pubblicano sul proprio sito e/o sulle pagine social l’organigramma con foto e profilo professionale del proprio personale.
Anche in questo caso è necessario acquisire il consenso da parte del personale affinché l’immagine possa essere pubblicata on-line.
Il dipendente o il collaboratore deve essere adeguatamente informato su come la struttura tratterà i suoi dati personali (tra i quali anche l’immagine) e si potrà procedere alla pubblicazione delle immagini solo a seguito dell’acquisizione del suo consenso.
La mancata acquisizione del consenso configurerebbe, anche in questo caso, una violazione di dati personali, dal momento che la finalità per la quale le immagini sono pubblicate è unicamente quella di promuovere la struttura, e non rientra tra quei dati personali che devono necessariamente essere trattati (dati relativi all’attività lavorativa prestata) per i quali il consenso non è invece necessario.