La privacy dei centri estetici

I centri estetici forniscono servizi alla persona in modo quanto mai “diretto”, e correntemente la parola privacy viene associata all’ovvia necessità di effettuare i trattamenti estetici in aree riservate, ed eventualmente di non rendere nota la frequentazione dei clienti. Dal punto di vista normativo, ovviamente c’è molto di più: infatti, i trattamenti di dati personali includono sicuramente quelli basilari (personale, amministrazione, gestione clientela e fornitori), a cui si aggiungono i dati più propriamente relativi ai trattamenti estetici (schede clienti, immagini), più eventuali servizi complementari (videosorveglianza, accesso WiFi, sito internet e social, marketing).

Adempimenti base

La prima cosa da fare è verificare se i dati dei clienti, derivanti dai trattamenti estetici offerti, possono essere considerati “sensibili” (appartenenti alle categorie particolari ex. art. 9 Reg. UE 679/16), in particolare relativamente allo stato di salute: è probabile che sia così, nel qual caso l’analisi dei rischi (e conseguentemente l’implemetazione delle misure di sicurezza) deve tenerne adeguatamente conto.

Poi è necessario prevedere l’opportuna formazione del personale, sia amministrativo che operativo: per far ciò, è opportuno prevedere anche istruzioni (guide, procedure) particolareggiate in modo che sia chiaro come si deve operare, e quali siano le azioni proibite. Si ritiene indispensabile una formazione diretta che presenti tali istruzioni (verificandone la comprensione), a cui aggiungere la consueta parte dei concetti base della normativa sui dati personali.

Nella scelta dei sistemi informatici a supporto (gestionale contabile e/o risorse umane; gestionale per la clientela), nonché dei fornitori di servizi esterni (commercialista, consulente del lavoro, RSPP, etc) valgono i consueti criteri, da verificare preventivamente: affidabilità, contratti, adeguamento alla normativa.

Misure di sicurezza e comportamenti

Le misure di sicurezza basilari sono quelle consuete: armadi/cassetti non accessibili quando non presidiati (quindi porte/ante/raccoglitori chiuse a chiave), password personali, firewall/antivirus/backup. Come già detto, sulla base dell’analisi dei rischi, sarà probabilmente necessario aggiungere ulteriori misure, tra cui la crittografia almeno dei dati particolari.

Sono invece certamente fondamentali i comportamenti da tenere da parte del personale: in generale si può vivamente consigliare di evitare che siano esposti davanti ad altri estranei (a voce, meno comunemente per iscritto) i nominativi delle persone trattate ed i trattamenti estetici effettuati, e comunque ogni tipo di informazione che possa anche solo farli intuire o dedurre; a questo scopo, è utile l’utilizzo della pseudinimizzazione, facendo ricorso alle chiamate con numeri o altro (per esempio, assegnando ad ogni utente un numero personale permanente). Per le operazioni di raccolta dei dati alla prima fruizione dei servizi, può essere consigliabile l’utilizzo in autonomia di un computer/tabler per inserire i dati (o del più classico modulo cartaceo), al posto della consueta richiesta a voce alla reception. A proposito di quest’ultima, essa deve assolutamente essere sgomberata da documenti cartacei relativi agli utenti, che devono invece essere conservati fuori dalla vista e riposti sotto chiave ogni qual volta la reception rimanga incustodita. Lo stesso vale per le stanze o gli studi in cui sono effettuati i trattamenti estetici.

Il sistema privacy

La base documentale è sempre la stessa: Registro dei Trattamenti, informative, nomine (addetti e Responsabili del Trattamento), eventuale registro dei consensi, etc. Un punto di attenzione riguarda la definizione dei limiti di conservazione (in particolare, delle eventuali schede clienti: quali informazioni è utile conservare? quanto tempo dopo l’effettuazione delle prestazioni o dall’ultima visita del cliente?).

Per quanto detto prima, risulta utile produrre un manuale che costituisca l’insieme di istruzioni per gli addetti, che esso sia consegnato (in forma cartacea o digitale) agli stessi, e che i contenuti siano rivisti e ricordati all’interno delle sessioni formative.

In un contesto del genere, assumono anche particolare importanza le procedure di distruzione dei dati (necessari un distruggi documenti per il cartaceo, ed uno strumento di cancellazione sicura per il digitale), di gestione dei data breach (relativamente all’individuazione degli stessi e del personale da coinvolgere) e di gestione delle richieste di esercizio dei diritti.

Adempimenti ulteriori

Riguardo al Data Protection Officer: vista la presenza probabile di dati particolari, molto dipende dal “volume” di clientela: grandi centri, magari con più sedi, è opportuno procedere alla nomina; mentre ciò può non essere vero per centri piccoli, con clientela numericamente limitata.

Una Valutazione di Impatto (DPIA) è probabilmente necessaria o quanto meno opportuna, nel dubbio rimane comunque consigliata.

In caso di videosorveglianza, il progetto dell’impianto, in particolare riguardo alle aree riprese, assuma un’importanza fondamentale, sia nei riguardi della clientela, ma anche per il personale (può facilmente sorgere la necessità dell’autorizzazione amministrativa, supponendo l’assenza delle rappresentanze sindacali). Va tenuta adeguatamete in conto la sicurezza del registratore, cioè la sua inaccessibilità (fisica e logica) ai non autorizzati; nonché degli eventuali apparati di visione in diretta (gli schermi).

L’accesso WiFi per la clientela è un servizio sempre apprezzato, tuttavia facilmente comporta di essere trattato all’interno del sistema privacy: i dati trattati possono essere la registrazione degli utenti per l’accesso, ed i registri interni di navigazione (questi ultimi quasi sempre presenti). Inoltre, non vanno dimenticate le misure di sicurezza informatica (comunicazioni crittografate, segregazione dei singoli apparati connessi).

Il marketing necessita delle consuete attenzioni riguardo ai consensi, sempre necessario tranne che per le comunicazioni promozionali ai già clienti (fermo restando la possibilità di cancellazione): quindi mai proporre un consenso predefinito, distinguere i consensi per le varie modalità o tipologie di invio delle comunicazioni, procedure semplici di revoca del consenso, registro dei consensi sempre aggiornato.

Per il sito internet, a parte i consueti adempimenti legati ai cookies (quindi almeno banner con consensi non preimpostati, e informtiva facilmente accessibile), è da considerare attentamente l’eventuale presenza di form per la richiesta di informazioni o prenotazioni: va prevista la presenza della relativa informativa (ricordando che non è necessaria l’accettazione). Per l’iscrizione a newsletter vale quanto detto a proposito dei trattamenti di marketing. Qualora si pubblichino immagini e video che ritraggano in modo riconoscibile gli utenti, è indispensabile il consenso, espresso attraverso una liberatoria all’utilizzo degli stessi (in realtà la stessa cosa vale anche per il personale, qualora ritratto).

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

App e siti di interazione con i medici: indicazioni del Garante

Privacy by Design per la videosorveglianza

Sito web e posta elettronica: informazioni obbligatorie

Il DPO: uno dei tanti o il direttore dell’orchestra?

La privacy degli studi medici