Dati sensibili: quali sono e la normativa in materia di privacy

22.04.21 -

Chiara Ponti e Renato Castroreale

Dati sensibili: cosa sono, quale è stata l’evoluzione normativa e come può essere trattato alla luce del GDPR, il Regolamento Europeo sulla protezione dei dati.

Dati sensibili: cosa sono

Il D.Lgs. 196/2003 già Codice Privacy, utilizzava il termine “dato sensibile”, riferendosi a specifici tipi di informazioni riferibili ad una persona e prevedendo:

  • il consenso esplicito per poterli trattare;
  • una tutela rafforzata gestione di tali dati (“misure di sicurezza idonee”).

Tale tipologia includeva l’origine razziale ed etnica di un individuo nonché le convinzioni ed adesioni religiose/politiche/filosofiche, l’appartenenza sindacale, lo stato di salute e l’orientamento sessuale del medesimo.

Non che oggi tali tipi di dati non siano più considerati da proteggere: anzi.

Tuttora, l’art. 9 del Regolamento (UE) 679/2016 meglio noto come GPDR, disciplina “categorie particolari di dati personali” che ricalcano sostanzialmente gli ex dati sensibili.

Rientrano tra questi, testualmente quei dati «…che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.».

In questa eccezione, la tipologia è stata ampliata rispetto al passato.

Privacy dati sensibili

I dati sensibili secondo il previgente Cod. Privacy (D.lgs. 196/2003) rappresentavano alcune informazioni personali in qualche modo “più personali di altre” da proteggere più degli altri.

Con l’art. 9 GPDR, i dati particolari non devono essere trattatati se non analogamente con il consenso esplicito dell’interessato o in caso di necessità per assolvere ad alcuni obblighi ben codificati tra cui:

  • l’origine razziale o etnica 
  • le opinioni politiche, le convinzioni religiose o filosofiche 
  • l’appartenenza sindacale
  • i dati genetici e i dati biometrici intesi a identificare in modo univoco una persona fisica 
  • i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona

Con il rinnovellato Cod. Privacy in virtù del D.Lgs. 101/2018 necessario per armonizzare il GDPR, una delle più interessanti novità introdotte riguarda proprio il trattamento di tali dati.

Come autorevole dottrina enuncia, oggi si deve semmai distinguere tra dati (ex) sensibili e “super-sensibili”.

Nella fattispecie, l’art. 2 septies del 101/2018 stabilisce che i dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 dello stesso art. 9 GDPR.

Pertanto, quei dati sensibili di un tempo, ed i dati particolari di oggi sono del tutto assimilabili con l’adagio andante secondo il quale sia vietato trattarli, a meno che l’interessato non abbia dato il suo esplicito consenso ovvero salvo alcuni casi particolari. 

Dati sensibili: il trattamento

In continuità rispetto al passato, tali dati possono essere trattati nella misura in cui:

  • sussista il consenso esplicito dell’interessati;
  • in caso di necessità per assolvere ad alcuni obblighi ben codificati;
  • attraverso l’attuazione di adeguate misure di sicurezza.

Vi sarebbe dunque da chiedersi cosa effettivamente sia cambiato; in prima battuta poco, ma invero molto.

Vediamo brevemente cosa in effetti il GDPR richieda.

Consenso

Ai sensi dell’art. 9 del GDPR il trattamento di categorie particolari di dati personali può avvenire in presenza del consenso. Per la comprensione ed ulteriori approfondimenti sulla tematica del consenso, rimandiamo al WP259.

Obblighi

In assenza di consenso tali dati possono essere trattati nei casi previsti dall’art. 9 lett. b) – j) cui si rinvia.

Misure di Sicurezza

L’art. 32 prevede che per effettuare un trattamento di dati personali, ed a maggio ragione per le categorie particolari, l’Organizzazione debba mettere in atto una serie di misure di sicurezza volte a mitigare il rischio al quale il trattamento potrebbe essere soggetto.

La valutazione dei rischi diventa un elemento imprescindibile per determinare le adeguate misure di sicurezza, di carattere tecnico ed organizzativo (una volta previste da un semplice allegato, il famoso allegato B).

Ricapitolando:

I dati particolari (ex-sensibili) non vanno mai trattati?

Come abbiamo visto la risposa è no, fatto salvo alcune cautele.

I dati particolari possono essere trattati se l’interessato non ha fornito il suo consenso esplicito?

Si, solamente se ricadono nelle eccezioni indicate dall’art. 9.

Dati sensibili: particolari e personali

In breve, sono dati particolari tutti quelli che secondo il vecchio impianto normativo si qualificavano come “…sensibili”; con l’aggiunta, tuttavia, di dati personali come i biometrici in conformità all’art. 4 concepito per ampliare il concetto di “dato personale”. Non solo, nello spirito del GDPR vediamo ancora come il dato (personale) relativo alla salute non si limita più al mero “stato”, ma alla “salute” tout court.

Più in generale, dunque, è il concetto stesso di “dato personale” ad essere profondamente mutato.

Oggi i dati personali sono tutti quei dati riconducibili ad un individuo attraverso le sue caratteristiche, relazioni, abitudini, stile di vita e via seguitando.

Parrebbe una mera questione di “etichetta”: quelli che un tempo si chiamavano dati sensibili con l’entrata in vigore del GDPR hanno cambiato nome; oggi sono categorie particolari di dati personali, che non sono più “solo quelli di una volta”.

È cambiato semmai il concetto stesso di “dato personale” e non poteva essere diverso, sull’onda peraltro dell’evoluzione tecnologica sempre più in voga, alla quale la situazione pandemica ha dato una spinta ancora più evidente.

Dati personali: quali sono

Abbiamo detto come i dati personali oggi rappresentino tutte le informazioni che riconducano ad un individuo attraverso le sue caratteristiche, relazioni, abitudini, stile di vita ecc:

  • tutte le informazioni identificative, dai dati anagrafici alle immagini ritraenti una persona;
  • i dati precedentemente definiti sensibili sottoposti ad una tutela rafforzata;
  • le informazioni giudiziarie rivelanti l’esistenza di determinati provvedimenti giudiziari a carico di una persona;
  • i dati relativi a comunicazioni elettroniche come, ad esempio, un indirizzo IP, quelli che consentono la geolocalizzazione una persona, i dati genetici e i dati biometrici.

Consulta anche i seguenti articoli

Titolare del trattamento dei dati personali: chi è e cosa fa
Protezione e trattamento dei dati personali: i profili professionali
Il Responsabile del trattamento dati: compiti, funzioni e responsabilità in materia di privacy
Privacy: definizione e aggiornamenti

Consulta i volumi di EPC Editore

NormativaIn risaltoIn primo pianoNewsapprofondimentiProdotti & tecnologieSentenzeQuesitoDispositivi di Protezione individuale - DPIINAILmembershipCovid-19norme tecnicheSafety ExpoTesto Unico di Sicurezza - D.Lgs. 81/2008
Articoli correlati