Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 8 000 euro mot David S.r.l för överträdelse av dataskyddsförordningen (GDPR).
Av beslutet framgår att en person lämnat in ett klagomål mot David, en klinik som bedriver plastikkirurgi, då kliniken publicerat en videofilm av hans plastikoperation på klinikens Instagram-profil utan hans samtycke. Videon av näsoperationen, där den berörda personens ansikte tydligt kunde kännas igen i över 30 sekunder, låg kvar på Instagram i 45 dagar innan den togs bort av kliniken på patientens begäran.
Garante konstaterade att kliniken behandlat personens hälsouppgifter på ett olagligt, inkorrekt och icke-transparent sätt, utan ett lämpligt rättsligt underlag och utan att ge honom tillräcklig information. Enligt Garante innebar detta överträdelser av artiklarna 5.1 (a), 6, 9.2, 12 och 13 (c) GDPR.
Garante har utfärdat en sanktionsavgift på 8 000 euro mot kliniken. Garante beordrade även kliniken att vidta flera korrigerande åtgärder, såsom att revidera sin information och samtyckesblankett, att införa pseudonymisering eller anonymisering av kundernas uppgifter och att utbilda sin personal om dataskyddsreglerna.