Abstract
L’articolo analizza, in chiave giuridico-sistematica, la disciplina applicabile all’uso dell’immagine del paziente nelle comunicazioni digitali del medico o della struttura sanitaria. Viene esaminata la qualificazione dell’immagine come dato personale sulla salute ai sensi del GDPR, con particolare riferimento agli obblighi di informativa, al consenso esplicito e alla Valutazione d’Impatto sul trattamento dei dati (art. 35). Attraverso l’analisi dei diversi livelli di consenso — sanitario, privacy e diffusione — e dei limiti fissati dal Codice di Deontologia Medica e dalla legge n. 248/2006 sulla pubblicità informativa, l’articolo chiarisce perché la pratica dei cosiddetti “prima e dopo” o delle testimonianze dei pazienti sia giuridicamente e deontologicamente illecita.
Anche un volto è un dato sanitario
In medicina, un volto non è mai solo un volto. Una fotografia scattata in studio, un video durante un intervento, perfino un’inquadratura in cui compaiono strumenti o ambienti medici: tutto questo racconta, anche senza parole, che quella persona è un paziente. E per il diritto, questo basta a far scattare la tutela più alta prevista dal Regolamento (UE) 2016/679 (GDPR).
Il GDPR considera “dato personale” qualsiasi informazione riguardante una persona identificabile (art. 4, n. 1). Ma quando si tratta di dati che rivelano la salute, la legge è ancora più severa: li colloca tra le “categorie particolari di dati personali” (art. 9). Questi dati godono di una protezione rafforzata, e il loro trattamento è in linea di principio vietato, salvo eccezioni tassative. Tra queste, il consenso esplicito dell’interessato – espresso in modo libero, informato e specifico – o altri presupposti giuridici chiaramente previsti dal Regolamento.
Questo significa che anche una semplice immagine di un paziente in contesto sanitario è un dato sulla salute, perché rivela, direttamente o indirettamente, la sua condizione di assistito. Se un medico pubblica una foto “prima e dopo” o mostra un caso clinico su Instagram, non sta solo condividendo un contenuto informativo: sta trattando dati sanitari. E nel momento in cui quella foto diventa accessibile online, si trasforma in una diffusione su larga scala di dati sensibili.
In questi casi entra in gioco un altro obbligo fondamentale: la Valutazione d’Impatto sulla Protezione dei Dati (DPIA), prevista dall’art. 35 del GDPR. Quando il trattamento può comportare un rischio elevato per i diritti e le libertà delle persone – e la diffusione di dati sanitari lo è sempre – il titolare del trattamento (cioè il medico o la struttura) deve analizzare in anticipo i rischi e predisporre adeguate misure di tutela. Non è una formalità, ma un atto di responsabilità: serve a dimostrare che il professionista ha valutato in modo consapevole l’impatto etico, tecnico e giuridico della propria comunicazione.
È proprio da questa consapevolezza che nasce la domanda successiva: che tipo di consenso serve davvero perché un medico possa utilizzare l’immagine di un paziente? La risposta, come vedremo, non è affatto scontata.
La gerarchia dei consensi: cura, trattamento dei dati e diffusione dell’immagine
Uno degli errori più frequenti è pensare che il consenso firmato dal paziente per il trattamento sanitario autorizzi qualsiasi utilizzo successivo dei suoi dati o della sua immagine. In realtà, il diritto distingue in modo netto tre piani diversi di consenso, ciascuno con scopi, limiti e basi giuridiche proprie.
Confonderli significa violare non solo il GDPR, ma anche i principi etici e deontologici della professione medica.
Il primo è il consenso informato al trattamento sanitario, disciplinato dalla Legge 22 dicembre 2017, n. 219. È la manifestazione più alta dell’autonomia del paziente: serve a garantire che la persona possa decidere liberamente se sottoporsi o meno a una cura, dopo aver ricevuto tutte le informazioni necessarie su diagnosi, rischi e benefici. La Corte costituzionale (Sent. n. 438/2008) lo ha definito “la sintesi di due diritti fondamentali della persona: quello all’autodeterminazione e quello alla salute”.
Questo consenso legittima l’atto medico, ma non autorizza in alcun modo l’uso di immagini o dati per fini estranei alla cura, come la comunicazione o la promozione professionale.
Il secondo livello riguarda il trattamento dei dati personali per finalità di cura. Qui il consenso del paziente non è richiesto, perché la base giuridica è diversa: è la necessità del trattamento per diagnosi, assistenza o terapia sanitaria, come stabilito dall’art. 9, par. 2, lett. h) del GDPR. Il medico agisce nell’ambito della sua funzione sanitaria e sotto vincolo di segreto professionale, come ha più volte chiarito il Garante per la protezione dei dati personali. In altre parole, quando il medico compila la cartella clinica o consulta gli esami del paziente, non sta “chiedendo un permesso”: sta esercitando un dovere.
Ben diverso, invece, è il terzo livello di consenso, quello alla diffusione dei dati o delle immagini per finalità promozionali o comunicative. In questo caso il medico si muove fuori dall’ambito della cura e quindi fuori dalle basi giuridiche che lo giustificano. L’unico fondamento legittimo è il consenso esplicito dell’interessato, previsto dall’art. 9, par. 2, lett. a) del GDPR.
Ma non basta raccoglierlo una volta per tutte: deve essere libero, specifico, informato e inequivocabile.
Libero, perché non può esserci alcuna pressione, neppure implicita, sul paziente. Specifico, perché ogni finalità (ad esempio un post sui social o una pubblicazione sul sito) richiede un consenso distinto. Informato, perché il paziente deve sapere quali rischi comporta rendere pubblica la propria immagine — inclusa la perdita di controllo definitiva una volta che il contenuto circola online. E infine esplicito, perché deve risultare da una dichiarazione chiara e separata, mai confusa con altri consensi.
L’immagine del paziente tra diritto, fiducia e deontologia
Anche quando il medico ottiene un consenso formalmente valido per la diffusione dell’immagine del paziente, il problema non si esaurisce. La questione non è solo giuridica, ma anche deontologica e culturale. Mostrare pazienti, raccontare “casi clinici”, pubblicare i classici profili “prima e dopo” sui social o sul sito dello studio tocca un terreno minato, dove la libertà di comunicare incontra i limiti della dignità della persona e della fiducia che sorregge ogni rapporto di cura.
La liberalizzazione della pubblicità sanitaria introdotta dalla legge n. 248/2006 non ha cancellato questi limiti: li ha semplicemente spostati dal piano del divieto assoluto a quello della responsabilità. Oggi il professionista può comunicare la propria attività, ma la comunicazione deve essere “informativa, veritiera e corretta, non equivoca, ingannevole o denigratoria”. Il confine è chiaro: informare non significa persuadere. Mostrare immagini di pazienti, soprattutto nei confronti “prima e dopo”, non ha valore informativo, ma promozionale. Suggerisce un risultato garantito, alimenta aspettative irrealistiche e può indurre il pubblico a scelte non basate su dati oggettivi. La Cassazione ha più volte richiamato, anche in contesti diversi, l’obbligo di mantenere un rigore scientifico nella comunicazione sanitaria, per evitare che si trasformi in una forma di suggestione commerciale.
Ma il rischio non è solo quello di un’informazione scorretta. Mostrare il paziente significa trasformarlo in uno strumento di marketing, e questo mina la natura stessa del rapporto medico-paziente, fondato – come ricorda la Legge n. 219/2017 – su “cura e fiducia”. Un paziente che diventa testimonial, anche se consenziente, viene inevitabilmente strumentalizzato: la sua immagine serve a valorizzare il professionista, non a curarlo. È un capovolgimento del senso stesso della professione sanitaria.
A questo si aggiunge il profilo deontologico. Il Codice di Deontologia Medica vieta al medico di concedere avallo o patrocinio a iniziative promozionali, tanto più se riguardano la propria attività. Se è vietato prestare il proprio nome a fini pubblicitari per terzi, è ancora più grave utilizzare il volto di chi si è affidato alle proprie cure per promuovere se stessi.
Il consenso del paziente, per quanto formalmente corretto, non sana un comportamento che resta contrario ai principi di correttezza, veridicità e non ingannevolezza della comunicazione sanitaria.
Quadro regolamentare della comunicazione commerciale e i profili sanzionatori
Sul piano amministrativo (privacy), ai sensi dell’art. 83 GDPR il Garante per la protezione dei dati personali può imporre sanzioni fino a 20 milioni di euro o al 4% del fatturato mondiale annuo per trattamenti illeciti di dati sanitari, come la diffusione di immagini di pazienti senza un consenso valido, libero, specifico ed esplicito.
Sul piano disciplinare, l’Ordine professionale può avviare un procedimento per violazione del Codice di Deontologia contro il medico, con sanzioni che vanno dall’avvertimento alla sospensione. Il potere di verifica ex post degli Ordini sulla trasparenza e veridicità dei messaggi è stato confermato sia dalla giurisprudenza sia dalle autorità indipendentiInsomma, un medico, una clinica o un cosiddetto health influencer che parla di salute online non è solo un divulgatore: è un soggetto che può trovarsi contemporaneamente all’interno di tre regimi giuridici distinti e sovrapposti — quello sanitario, quello pubblicitario e quello della protezione dei dati personali. La violazione anche di uno solo di questi ambiti espone al rischio di incorrere in sanzioni multiple e cumulative.
Insomma, un medico, una clinica o un cosiddetto health influencer che parla di salute online non è solo un divulgatore: è un soggetto che può trovarsi contemporaneamente all’interno di tre regimi giuridici distinti e sovrapposti — quello sanitario, quello pubblicitario e quello della protezione dei dati personali. La violazione anche di uno solo di questi ambiti espone al rischio di incorrere in sanzioni multiple e cumulative.
Il D.Lgs. 24 aprile 2006, n. 219, che disciplina la pubblicità dei medicinali, vieta in modo assoluto qualsiasi messaggio rivolto al pubblico che promuova farmaci soggetti a prescrizione medica. L’articolo 115, comma 2, del decreto è inequivocabile: “È vietata la pubblicità presso il pubblico dei medicinali che possono essere forniti soltanto dietro presentazione di ricetta medica”. La nozione di “pubblicità” va intesa in senso ampio, comprendendo “qualsiasi azione d’informazione, di ricerca della clientela o di esortazione”. Pertanto, un video, un post o una storia in cui si menziona il nome commerciale di un medicinale con obbligo di ricetta, si mostra la confezione o se ne descrivono gli effetti positivi costituisce pubblicità vietata per legge, anche se diffusa a titolo gratuito o con intento apparentemente divulgativo.
In modo analogo, il D.Lgs. 5 agosto 2022, n. 137, ha introdotto un regime altrettanto rigoroso. L’articolo 26 vieta la pubblicità verso il pubblico per intere categorie di dispositivi (ad esempio quelli su misura o che richiedono l’intervento di un professionista sanitario) e, per tutti gli altri, la subordina come regola generale a una preventiva autorizzazione del Ministero della Salute. Solo alcune fattispecie specifiche, individuate con decreto ministeriale, sono esentate da tale autorizzazione.
Il legislatore ha previsto un sistema sanzionatorio articolato, che copre diversi livelli di responsabilità. Chiunque effettui pubblicità al pubblico in violazione delle disposizioni del D.Lgs. 219/2006 è soggetto a una sanzione pecuniaria da 2.600 a 15.600 euro, come previsto dall’articolo 148, comma 15, del decreto. Inoltre, l’autorità sanitaria può ordinare l’immediata cessazione della pubblicità e imporre la diffusione di un comunicato di rettifica a spese del trasgressore.
Sebbene le norme non individuino specifiche fattispecie di reato legate esclusivamente alla violazione delle regole sulla pubblicità, condotte particolarmente gravi — idonee a indurre in errore il pubblico o a mettere in pericolo la salute collettiva, come la promozione di un uso improprio di farmaci — possono astrattamente integrare reati contro la salute pubblica previsti dal codice penale.
Il fatto che a diffondere il messaggio sia un medico o un professionista sanitario rappresenta un’aggravante di fatto, poiché il messaggio trae forza dall’autorevolezza della fonte, in violazione del principio che vieta di utilizzare la raccomandazione di operatori sanitari per incitare al consumo di un prodotto.
Accanto ai controlli ministeriali, si aggiunge la vigilanza delle altre Autorità indipendenti.
L’AGCM (Autorità Garante della Concorrenza e del Mercato) vigila sulla pubblicità ingannevole e sulle pratiche commerciali scorrette. Una comunicazione sanitaria che induca in errore il pubblico, alimenti aspettative infondate o presenti risultati come garantiti viola i principi di veridicità e correttezza e può essere qualificata come ingannevole. L’Autorità può disporre l’inibitoria della pratica e irrogare sanzioni pecuniarie significative, fino a 10 milioni di euro nei casi più gravi.
L’AGCOM (Autorità per le Garanzie nelle Comunicazioni) con la Delibera n. 197/25/CONS, l’Autorità ha adottato le “Linee guida volte a garantire il rispetto delle disposizioni del Testo unico da parte degli influencer”. Sebbene il focus primario riguardi i fornitori di servizi media audiovisivi, l’obiettivo è estendere gli obblighi di trasparenza e riconoscibilità a tutti gli influencer rilevanti. È stato istituito un Tavolo tecnico e un Codice di condotta per assicurare che la natura promozionale dei contenuti sia sempre chiaramente percepibile dal pubblico. Un influencer sanitario che promuova prodotti o trattamenti senza adeguata trasparenza viola tali disposizioni, esponendosi alle sanzioni – sino a 600.000 euro – previste dal quadro normativo di riferimento.
Le conseguenze per chi viola queste regole sono cumulative.
Sotto il profilo commerciale, la diffusione di messaggi non conformi può configurare un atto di concorrenza sleale ai sensi dell’art. 2598, n. 3, del Codice civile. Come riconosciuto dal Tribunale di Milano (Sent. n. 8240/2017), la violazione delle norme amministrative sulla pubblicità dei farmaci avvantaggia indebitamente un’impresa rispetto ai concorrenti. In una pronuncia, il Tribunale ha affermato: “Come già affermato da questo Tribunale, la violazione di norme di rilievo amministrativo in materia di pubblicità di specialità medicinali – oggi contenute nel D.Lgs. 219/06 – è idonea a dare fondamento ad una condotta di concorrenza sleale.”
Tale principio apre la strada ad azioni inibitorie e risarcitorie da parte delle imprese concorrenti.
La comunicazione sanitaria digitale quindi è oggi un terreno ad alta responsabilità. Pubblicare immagini di pazienti, diffondere “prima e dopo” o sponsorizzare farmaci e dispositivi senza autorizzazione significa violare contemporaneamente le norme sulla privacy, sulla pubblicità sanitaria e sulla concorrenza. Per il professionista sanitario, conoscere e rispettare questi limiti non è solo una forma di tutela legale: è un segno di serietà e di rispetto verso la fiducia del pubblico. Anche nel mondo digitale, la credibilità resta la prima garanzia di competenza.
© Canella Camaiora S.t.A. S.r.l. - Tutti i diritti riservati.
Data di pubblicazione: 15 Ottobre 2025
È consentita la riproduzione testuale dell’articolo, anche a fini commerciali, nei limiti del 15% della sua totalità a condizione che venga indicata chiaramente la fonte. In caso di riproduzione online, deve essere inserito un link all’articolo originale. La riproduzione o la parafrasi non autorizzata e senza indicazione della fonte sarà perseguita legalmente.
Arlo Canella
Managing & founding partner, avvocato del Foro di Milano e cassazionista, responsabile formazione e ricerca indipendente dello Studio CC®.