L’Ispettorato statale per la protezione dei dati (SDPI), dopo aver esaminato il reclamo, ha inflitto una multa di 6.000 euro a una società che fornisce servizi di chirurgia plastica (“la Società”) e una multa di 840 euro a un medico della Società con decisioni dell’11 settembre 2023 per le violazioni del Regolamento generale sulla protezione dei dati (“il GDPR”) riscontrate.
La multa è stata inflitta alla Società e al medico per aver pubblicato fotografie di parti del corpo del paziente, che sono personalmente identificabili e rientrano nella categoria dei dati sanitari, sugli account personali Instagram della Società e del medico senza il consenso del paziente. Considerando che la Società non ha dimostrato che il medico ha agito sotto l’autorità della Società, come stabilito dal GDPR, il DPAI ha concluso che il medico (un dipendente della persona che ha sporto denuncia) ha agito come responsabile del trattamento indipendente pubblicando le foto sul suo account personale di Instagram.
Dopo aver esaminato il reclamo, il DPAI ha riscontrato che la Società e il medico hanno cercato, ma non ottenuto, il consenso esplicito del paziente, in conformità al GDPR, per la pubblicazione delle foto e che, pubblicando le foto, hanno violato i principi di liceità, correttezza, trasparenza e riservatezza stabiliti nel GDPR, le condizioni per un trattamento legittimo stabilite nel GDPR e le disposizioni del GDPR che stabiliscono i casi in cui il trattamento dei dati sanitari è considerato legittimo.
La decisione del DPAI non è definitiva e può essere impugnata davanti a un tribunale.
Una sintesi della decisione è disponibile qui.