Cosa si intende per dati sensibili secondo il GDPR? Origini e tipologie
La nuova categoria dei dati “particolari” e le tutele specifiche previste dal regolamento europeo.
Con il Codice sulla Privacy, introdotto nella normativa italiana dal d.lgs 196/2003, entrava nel lessico giuridico il concetto di “dati sensibili”. Come è facile intuire, con questo termine venivano indicati quei dati che abbisognavano di una tutela rafforzata e che infatti potevano essere trattati solo con il consenso scritto dell’interessato. Secondo il Codice del 2003, erano considerati sensibili quei dati personali in grado di rivelare:
- l’origine razziale ed etnica di un individuo;
- le convinzioni e adesioni religiose, politiche e filosofiche;
- lo stato di salute e le abitudini sessuali di un soggetto.
La nuova categoria dei “dati particolari” introdotta dall’art. 9 del GDPR: divieto generale di trattamento e deroghe specifiche
L’art. 9 del GDPR introduce una nuova categoria, quella dei c.d. dati “particolari”, che va a sovrapporsi (ampliandola) alla categoria dei “dati sensibili”.
In particolare, al comma 1 dell’art. 9, il Regolamento europeo prevede un generale divieto di trattamento per questa categoria di dati, definendo inoltre che cosa si intenda per dati “particolari”. La norma prescrive infatti che: “è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.
Come si può notare, da un punto di vista sostanziale non sembra esserci una grande differenza tra i dati sensibili del Codice del 2003 ed i dati particolari del GDPR. Il Regolamento europeo prescrive quindi un divieto generale di trattamento per questa particolare categoria di dati personali, ma il divieto non è assoluto. Lo stesso articolo 9 del GDPR indica infatti quali sono le condizioni che permettono il trattamento dei dati particolari.
Deroghe al divieto di trattamento dei dati particolari
Le deroghe al generale divieto di trattamento dei dati particolari sono indicate al comma 2 dello stesso art. 9, che prevede una serie di condizioni che permettano al titolare di trattare anche questa particolare categoria di informazioni, ed in particolare quando:
- “l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche”. Il consenso “esplicito” è una forma rafforzata del (pur necessario) consenso “generale” che il titolare richiede agli interessati quando va a trattare i loro dati personali: in particolare, per poter trattare i dati particolari è necessario chiedere all’interessato un consenso “specifico” per queste specifiche categorie ( in forma scritta).
- “Il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale”: è il caso, ad esempio, dei dati particolari che devono necessariamente essere trattati per il calcolo della retribuzione e a fini pensionistici.
- “Il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso”.
- “il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato”: basti pensare al caso in cui un soggetto sia iscritto ad un sindacato; l’informazione, di per sé “dato particolare”, non può essere comunicata all’esterno dell’associazione, ma ovviamente questo divieto non può valere all’interno dello stesso sindacato.
- Il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato.
- l’interessato sia coinvolto in un procedimento giudiziario: in questo caso, il divieto generale non opera, ma restano salve tutte le garanzie previste dalla legislazione nazionale in materia di amministrazione della giustizia.
- il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri.
- Il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali.
- il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale.
- Il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Come procedere quando ci si trova a dover trattare dati particolari?
Nell’esperienza quotidiana tutti i titolari del trattamento, aziende, enti e professionisti, si trovano spesso a confrontarsi con la categoria dei dati particolari, ex-sensibili, di clienti e dipendenti.
In tutti questi casi, è fondamentale anzitutto avere ben chiaro se il dato in questione appartiene davvero a questa categoria. Una volta accertato che si tratti di un dato particolare, il titolare dovrà chiedersi se il trattamento di questo dato è obbligatorio per legge, e rientra in uno dei casi di deroga precedentemente illustrati. Se così non è, e se il trattamento del dato è fondamentale per l’attività del titolare, quest’ultimo dovrà chiedere il consenso esplicito dell’interessato.
Per accertare la natura dei dati sensibili, per avere più informazioni su come procedere al trattamento di questi dati nel rispetto delle normative, è certamente utile rivolgersi ad un consulente specializzato che guidi l’azienda o il professionista nell’impostare al meglio la raccolta del consenso ed il trattamento dei dati.