GDPR

Dati sensibili: quali sono e la normativa in materia di privacy

12848 0

Chiara Ponti e Renato Castroreale

Dati sensibili: cosa sono, quale è stata l’evoluzione normativa e come può essere trattato alla luce del GDPR, il Regolamento Europeo sulla protezione dei dati.

Dati sensibili: cosa sono

Il D.Lgs. 196/2003 già Codice Privacy, utilizzava il termine “dato sensibile”, riferendosi a specifici tipi di informazioni riferibili ad una persona e prevedendo:

  • il consenso esplicito per poterli trattare;
  • una tutela rafforzata gestione di tali dati (“misure di sicurezza idonee”).

Tale tipologia includeva l’origine razziale ed etnica di un individuo nonché le convinzioni ed adesioni religiose/politiche/filosofiche, l’appartenenza sindacale, lo stato di salute e l’orientamento sessuale del medesimo.

Non che oggi tali tipi di dati non siano più considerati da proteggere: anzi.

Tuttora, l’art. 9 del Regolamento (UE) 679/2016 meglio noto come GPDR, disciplina “categorie particolari di dati personali” che ricalcano sostanzialmente gli ex dati sensibili.

Rientrano tra questi, testualmente quei dati «…che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.».

In questa eccezione, la tipologia è stata ampliata rispetto al passato.

Privacy dati sensibili

I dati sensibili secondo il previgente Cod. Privacy (D.lgs. 196/2003) rappresentavano alcune informazioni personali in qualche modo “più personali di altre” da proteggere più degli altri.

Con l’art. 9 GPDR, i dati particolari non devono essere trattatati se non analogamente con il consenso esplicito dell’interessato o in caso di necessità per assolvere ad alcuni obblighi ben codificati tra cui:

  • l’origine razziale o etnica 
  • le opinioni politiche, le convinzioni religiose o filosofiche 
  • l’appartenenza sindacale
  • i dati genetici e i dati biometrici intesi a identificare in modo univoco una persona fisica 
  • i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona

Con il rinnovellato Cod. Privacy in virtù del D.Lgs. 101/2018 necessario per armonizzare il GDPR, una delle più interessanti novità introdotte riguarda proprio il trattamento di tali dati.

Come autorevole dottrina enuncia, oggi si deve semmai distinguere tra dati (ex) sensibili e “super-sensibili”.

Nella fattispecie, l’art. 2 septies del 101/2018 stabilisce che i dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 dello stesso art. 9 GDPR.

Pertanto, quei dati sensibili di un tempo, ed i dati particolari di oggi sono del tutto assimilabili con l’adagio andante secondo il quale sia vietato trattarli, a meno che l’interessato non abbia dato il suo esplicito consenso ovvero salvo alcuni casi particolari. 

Dati sensibili: il trattamento

In continuità rispetto al passato, tali dati possono essere trattati nella misura in cui:

  • sussista il consenso esplicito dell’interessati;
  • in caso di necessità per assolvere ad alcuni obblighi ben codificati;
  • attraverso l’attuazione di adeguate misure di sicurezza.

Vi sarebbe dunque da chiedersi cosa effettivamente sia cambiato; in prima battuta poco, ma invero molto.

Vediamo brevemente cosa in effetti il GDPR richieda.

Consenso

Ai sensi dell’art. 9 del GDPR il trattamento di categorie particolari di dati personali può avvenire in presenza del consenso. Per la comprensione ed ulteriori approfondimenti sulla tematica del consenso, rimandiamo al WP259.

Obblighi

In assenza di consenso tali dati possono essere trattati nei casi previsti dall’art. 9 lett. b) – j) cui si rinvia.

Misure di Sicurezza

L’art. 32 prevede che per effettuare un trattamento di dati personali, ed a maggio ragione per le categorie particolari, l’Organizzazione debba mettere in atto una serie di misure di sicurezza volte a mitigare il rischio al quale il trattamento potrebbe essere soggetto.

La valutazione dei rischi diventa un elemento imprescindibile per determinare le adeguate misure di sicurezza, di carattere tecnico ed organizzativo (una volta previste da un semplice allegato, il famoso allegato B).

Ricapitolando:

I dati particolari (ex-sensibili) non vanno mai trattati?

Come abbiamo visto la risposa è no, fatto salvo alcune cautele.

I dati particolari possono essere trattati se l’interessato non ha fornito il suo consenso esplicito?

Si, solamente se ricadono nelle eccezioni indicate dall’art. 9.

Dati sensibili: particolari e personali

In breve, sono dati particolari tutti quelli che secondo il vecchio impianto normativo si qualificavano come “…sensibili”; con l’aggiunta, tuttavia, di dati personali come i biometrici in conformità all’art. 4 concepito per ampliare il concetto di “dato personale”. Non solo, nello spirito del GDPR vediamo ancora come il dato (personale) relativo alla salute non si limita più al mero “stato”, ma alla “salute” tout court.

Più in generale, dunque, è il concetto stesso di “dato personale” ad essere profondamente mutato.

Oggi i dati personali sono tutti quei dati riconducibili ad un individuo attraverso le sue caratteristiche, relazioni, abitudini, stile di vita e via seguitando.

Parrebbe una mera questione di “etichetta”: quelli che un tempo si chiamavano dati sensibili con l’entrata in vigore del GDPR hanno cambiato nome; oggi sono categorie particolari di dati personali, che non sono più “solo quelli di una volta”.

È cambiato semmai il concetto stesso di “dato personale” e non poteva essere diverso, sull’onda peraltro dell’evoluzione tecnologica sempre più in voga, alla quale la situazione pandemica ha dato una spinta ancora più evidente.

Dati personali: quali sono

Abbiamo detto come i dati personali oggi rappresentino tutte le informazioni che riconducano ad un individuo attraverso le sue caratteristiche, relazioni, abitudini, stile di vita ecc:

  • tutte le informazioni identificative, dai dati anagrafici alle immagini ritraenti una persona;
  • i dati precedentemente definiti sensibili sottoposti ad una tutela rafforzata;
  • le informazioni giudiziarie rivelanti l’esistenza di determinati provvedimenti giudiziari a carico di una persona;
  • i dati relativi a comunicazioni elettroniche come, ad esempio, un indirizzo IP, quelli che consentono la geolocalizzazione una persona, i dati genetici e i dati biometrici.

Consulta anche i seguenti articoli

Titolare del trattamento dei dati personali: chi è e cosa fa
Protezione e trattamento dei dati personali: i profili professionali
Il Responsabile del trattamento dati: compiti, funzioni e responsabilità in materia di privacy
Privacy: definizione e aggiornamenti

Consulta i volumi di EPC Editore

Trattamento dei dati: l’informazione e la formazione per il Professionista della Security

Qual è la normativa di riferimento per la security in azienda?

In materia di trattamento dei dati suggeriamo i libri di Security editi da EPC editore e dedicati alla formazione e informazione dei professionisti della security e dei lavoratori:

Protezione dei dati personali e sicurezza informatica

Compliance aziendale e modalità tecnico-comportamentali nella conduzione degli audit

a Beccara Jean Louis, Cirolini Lunelli Alessandra , Ranise Silvio

Libro

Edizione: ottobre 2023

Pagine: 176

Formato: 150×210 mm

Tutela dei dati e sicurezza informatica

Del Pizzo Alessia
E-book

Contesto normativo e strategico, studio della cybersecurity e blockchain, Cyber security del PTD, il corretto trattamento dei dati nei processi digitali e conoscenza del percorso digitale della pubblica amministrazione.

Il volume fa parte della collana “PNRR, digitalizzazione e cybersecurity”

Abc del trattamento dei dati personali

Biasiotti Adalberto

Manualistica per i lavoratori

Edizione: ristampa aggiornata marzo 2022

Pagine: 96

Formato: 115×165 mm

Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR

Castroreale Renato, Ponti Chiara

Libro

Edizione: marzo 2021

Pagine: 384

Formato: 150×210 mm

Corso di formazione e-learning sul GDPR

In materia di formazione del professionista della Security, suggeriamo il corso organizzato da Istituto Informa nel catalogo dei corsi di Security e Privacy e dedicato al GDPR

Corso e-learning
GDPR General Data Protection Regulation – Il nuovo Regolamento europeo sul trattamento dei dati

In questo corso si possono approfondire tutte le novità introdotte dal nuovo Regolamento Europeo 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Il corso è rivolto a tutti coloro che hanno necessità di apprendere in modo puntuale e veloce le novità introdotte dal nuovo GDPR.

Redazione InSic

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell'ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore