Dati sensibili: il GDPR prevede, per alcune tipologie di dati, delle tutele aggiuntive. Quali sono e come trattarli in conformità alla legge
Iniziamo dalle definizioni…
I dati cosiddetti sensibili sono un sottoinsieme della categoria più generale di dati personali. L’art. 4 del GDPR definisce esplicitamente i dati personali come
“qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.”
In particolare poi sono definiti sensibili quei dati personali che riguardano aspetti della sfera più intima e privata dell’interessato, ovvero del soggetto al quale questi dati appartengono. Ad esempio se riferiscono:
- all’origine etica di una persona;
- alle convinzioni religiose, filosofiche e simili;
- alle convinzioni e opinioni politiche, così come all’appartenenza a sindacati, partiti, associazioni e in generale organizzazioni di tipo politico, religioso, sindacale o filosofico;
- all’orientamento sessuale o allo stato di salute;
- alla situazione giudiziaria dell’interessato ecc…
Come tutti i dati personali, anche quelli sensibili non possono essere trattati senza il consenso esplicito, libero e informato dell’interessato. Godono però di una serie di tutele aggiuntive.
Il GDPR estende la lista dei dati sensibili
I dati sensibili, ovvero quei dati che richiedono più tutele di altri, già erano riconosciuti e normati con il vecchio “Codice Privacy”, ovvero il d.lgs 196/2003. Già prima dell’entrata in vigore del GDPR quindi vigeva, sui dati sensibili, un divieto di trattamento superabile solo con esplicito e scritto consenso dell’interessato.
L’art. 9 del GDPR ribadisce il punto: queste informazioni sensibili non devono essere trattate a meno che l’interessato non abbia espresso il consenso oppure in casi particolari in cui tale trattamento si renda necessario per assolvere a certi obblighi. Il GDPR ha però introdotto un cambiamento che non è tanto dovuto alla dizione (chiama i dati sensibili come dati particolari) quanto di concetto.
L’evoluzione tecnologica infatti ha reso ancora più complesso il novero dei dati personali: sono dati personali anche quelli che riferiscono ad abitudini e stile di vita, così come alle relazioni o alle preferenze ma anche quelli legati alle comunicazioni elettroniche ecc…
Alcuni esempi:
- tutte le informazioni relative alle comunicazioni elettroniche (indirizzo IP, profili social ecc…);
- i dati di geolocalizzazione, che consentono di capire dove si trovi una persona, che percorso abbia fatto, con chi si sia incontrata ecc…
- i dati genetici e anche quelli biometrici ecc…
Per saperne di più > Il principio di Accountability nel GDPR e i documenti utili
Come trattare in conformità i dati sensibili?
Come detto l’art. 9 del GDPR consente il trattamento di dati sensibili soltanto con l’esplicito consenso dell’interessato oppure se lo stesso li ha resi “manifestatamente pubblici”.
Poi elenca una serie di casi particolari nei quali i dati sensibili possono essere trattati legittimamente anche senza il consenso dell’interessato:
- per l’assolvimento di obblighi o l’esercizio di diritti specifici del titolare del trattamento o dell’interessato stesso in ambito lavorativo o per sicurezza / protezione sociale. Un esempio? Il calcolo del trattamento pensionistico.
- al fine di accertare, esercitare, difendere un diritto in sede giudiziaria o, in generale, ogni volta che le autorità giurisdizionali esercitino le proprie funzioni;
- per interesse pubblico o sanità pubblica;
- a tutela del pubblico interesse, per la ricerca scientifica, a fini statistici ecc.…
- nei casi in cui l’interessato faccia parte di una fondazione / associazione o altra organizzazione senza scopo di lucro con finalità filosofiche, religiose, sindacali o politiche. In concreto? Un sindacato può trattare i dati di un iscritto per finalità interne, ma non può diffondere tali dati all’esterno dell’organizzazione.
Concretamente quindi, prima di trattare dati personali è bene domandarsi se questi siano solo personali o rientrino nella categoria dei dati sensibili e se tale trattamento sia davvero necessario per le finalità che ci siamo posti e per la nostra attività. Se la risposta è si ad entrambe le domande occorre:
- richiedere e ottenere l’esplicito consenso dell’utente (salvo le eccezioni sopra indicate);
- porre a protezione di quei dati misure di sicurezza elevate come la criptazione dei dati, verifica e limitazione degli accessi, limite di conservazione ecc…
Se invece trattare dati personali e sensibili non è necessario per la tua attività, il miglior consiglio è evitare di farlo. Mentre in caso di incertezza rispetto alla categorizzazione dei dati da trattare, è consigliabile rivolgersi ad esperti onde evitare l’esposizione al rischio di subire sanzioni.
Non sei sicuro che i trattamenti dati in atto nella tua azienda siano minimizzati? Non sei sicuro della tipologia di dati che desideri trattare? Chiedilo ai nostri esperti, ti aiuteremo a raggiungere i tuoi obiettivi in conformità a tutti gli obblighi previsti dal GDPR
