I dati sensibili nel GDPR

04 febbraio 2020Ultimo aggiornamento 28 novembre 2024
Tempo di lettura stimato: 8'

I dati sensibili nel GDPR: cosa sono e come vanno trattati

Dati Sensibili: questione di etichette

Dati sensibili o dati particolari? È una questione di etichette. Quelli che un tempo si chiamavano dati sensibili con l’entrata in vigore del GDPR hanno cambiato nome. Adesso sono dati particolari e sono un sottoinsieme della più ampia categoria dei dati personali, che a loro volta non sono più solo quelli di una volta
Chiaro? Mica tanto!
Vediamo di mettere tutti i punti in fila.


I dati sensibili secondo la 196 

Chi, come me, frequenta il mondo della privacy da qualche tempo si ricorderà del d.lgs 196/2003: il codice sulla privacy. Già allora era chiaro più o meno a tutti che alcune informazioni personali sono più personali di altre e quindi sono da maneggiare con cura, anzi da non maneggiare affatto. 
Li chiamavano i dati sensibili, cioè i dati che andavano protetti più degli altri e che infatti potevano essere trattati solo con il consenso scritto dell'interessato.
La 196 considerava sensibili i dati personali in grado di rivelare:
  • l'origine razziale ed etnica di un individuo 
  • le sue convinzioni e adesioni religiose, politiche e filosofiche 
  • lo stato di salute e la vita sessuale

GDPR e dati sensibili: è cambiato qualcosa? 

L’articolo 9 del GPDR ci dice che i dati particolari (ex-sensibili) non devono essere trattatati – salvo consenso esplicito dell’interessato o in caso di necessità per assolvere ad alcuni obblighi ben codificati - e ci dice anche quali sono:
  • l'origine razziale o etnica 
  • le opinioni politiche, le convinzioni religiose o filosofiche 
  • l'appartenenza sindacale
  • i dati genetici e i dati biometrici intesi a identificare in modo univoco una persona fisica 
  • i dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona
Quindi rispetto al codice privacy cosa è cambiato? Solo la forma, poco la sostanza. 
Dati sensibili e dati particolari sono assimilabili ed è vietato trattarli, a meno che l’interessato non abbia dato il suo esplicito consenso e salvo alcuni casi particolari che vedremo fra poco. 
La novità vera è un’altra. 

È cambiato il concetto stesso di dato personale, che sull’onda dell’evoluzione tecnologica è diventato qualcosa di più complesso rispetto a quello che intendevamo una volta. 
Oggi i dati personali sono tutte le informazioni che riconducono ad un singolo individuo attraverso le sue caratteristiche, relazioni, abitudini, stile di vita e così via. E quindi sono anche:
  • tutte le informazioni identificative, dai dati anagrafici alle immagini che ritraggono la persona
  • i dati precedentemente definiti sensibili e quindi sottoposti a tutela particolare
  • le informazioni giudiziarie che possono rivelare l'esistenza di determinati provvedimenti giudiziari a carico della persona
  • i dati relativi alle comunicazioni elettroniche via telefono o internet come, per esempio, un indirizzo IP 
  • i dati che consentono di geolocalizzare una persona e da cui è possibile capire dove è andata, quando e a volte anche con chi 
  • i dati genetici e i dati biometrici

Esempi di dati sensibili o particolari, secondo il GDPR

Ma quindi come faccio a capire se un certo dato è particolare o se è solo un dato personale? 
Andiamo nel concreto e vediamo alcuni esempi per identificare le informazioni che rientrano nella categoria dati particolari (ex-sensibili) e quelle che non vi rientrano.
  • Peppino è sposato, fa l’agente di commercio ed ha un’amante, che incontra tra un cliente e l’altro mentre è in viaggio per lavoro. Un giorno sua moglie chiama in ufficio chiedendo di lui e la segretaria risponde che Peppino non si è presentato perché sta male. In realtà è al mare con l’amante. La moglie fa due più due e scopre la relazione extra-coniugale. La segretaria ha trattato e comunicato a persone a cui non poteva comunicare dati particolari? Sì, ha trattato in modo non conforme al GDPR un’informazione relativa allo stato di salute di Peppino. E poi, già che c’era, ha scatenato pure “trattamento relativo a dati vita sessuale”, ma questa è un’altra storia... 
  • Peppino fa il commerciale per la sua azienda. Usa un’auto aziendale e sull’auto c’è un sistema GPS che lo geolocalizza. È un dato particolare? No, ma è comunque un dato personale.
  • Antonio è iscritto al Partito Comunista, ogni anno rinnova la tessera e quando può partecipa ai comizi. La sua adesione al PC è un dato particolare? Sì. È un’informazione che rivela le convinzioni politiche di Antonio.
  • Antonio, appassionato di bocce, tutte le domeniche assiste alle partite degli anziani alla bocciofila di Borzano di Albinea. È un dato particolare? No, ma è comunque un dato personale, perché rivela un’abitudine di Antonio. 
  • Giulia è celiaca e Marta vegana. Sono dati particolari? Sì. La prima è un’informazione che rivela le condizioni di salute di Giulia, la seconda le sue convinzioni filosofiche.
  • Giulia fa jogging tutte le mattine e Marta fa colazione al bar del paese una volta alla settimana. Sono dati particolari? No, ma sono comunque dati personali, perché riguardano lo stile di vita di Giulia e Marta. 
  • Luca ha 9 anni e ha appena fatto la prima comunione. È un dato particolare? Sì, ma non solo! È un dato doppiamente delicato perché rivela le convinzioni religiose di Luca – e presumibilmente anche quelle della sua famiglia - e fa riferimento ad una persona minorenne. 
  • Luca ha 9 anni e tutte le domeniche gioca a calcio nel cortile della chiesa con gli amici di quartiere. È un dato particolare? No, ma è comunque un dato personale. 
  • Dora è rom, Idris è berbero. Sono dati particolari? Sì. Sono informazioni che rivelano l’origine etnica di queste persone. 
  • Dora e Idris seguono dei corsi di italiano organizzati dalla parrocchia di Albinea. Sono dati particolari? No, ma sono comunque dati personali. 
  • Michele è nato da una relazione extra-coniugale, fa il test del DNA e scopre che, in realtà, suo padre non è la persona che lo ha cresciuto, ma un vecchio amico di gioventù della madre. È un dato particolare? Sì, perché è un dato genetico e definisce anche il papà, ma come è meglio non approfondire
  • Michele gioca a calcetto a livello amatoriale, ogni anno la squadra chiama un fotografo per immortalare le azioni in campo e scattare la foto di gruppo. Sono dati particolari? No, ma sono dati personali, perché ritraggono Michele e i suoi compagni.

I dati particolari (ex-sensibili) non vanno mai trattati. È sempre vero? Dipende

Dati personali e particolari: quando trattarli
Il divieto non è assoluto. I dati particolari possono essere trattati se l’interessato ha dato il suo consenso esplicito. Inoltre, possono essere trattati anche senza il suo consenso, solamente se ricadono nelle eccezioni indicate dall'art. 9.  
  • Alcuni dati particolari vanno trattati necessariamente per il calcolo della retribuzione e a fini pensionistici.
Esempio – Antonio lavora in un’azienda. L’azienda deve poter trattare alcuni dei suoi dati particolari, cioè malattie e permessi, per calcolare la sua retribuzione, versare i suoi contributi e accantonare il TFR
  • Se l’interessato fa parte di una fondazione, di un’associazione o di un altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, questi enti possono trattare i suoi dati senza obbligo di consenso esplicito solo se il trattamento riguarda unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo per le sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato.
Esempio - Giulia è iscritta al sindacato, che è obbligato a non diffondere questo dato al di fuori dell’organizzazione, ma l’obbligo non vale per il trattamento all’interno perché le informazioni di Giulia servono agli addetti dell’organizzazione sindacale per tutelarla nei confronti del datore di lavoro, inviarle comunicazioni, fare la sua dichiarazione dei redditi tramite CAF e così via.
  • È necessario trattare dati particolari per tutelare un interesse vitale dell'interessato o di un'altra persona fisica se l’interessato non può dare il suo consenso per incapacità fisica o giuridica.
Esempio – Antonio ha un attacco cardiaco in ufficio, l’azienda chiama l’ambulanza che lo porta in ospedale. L’azienda è obbligata a trattare i suoi dati particolari per salvargli la vita.
  • Il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato.
Esempio – Giulia è da sempre sostenitrice del Partito Comunista. Stufa di essere solo una tesserata, decide di candidarsi e così dà il suo consenso esplicito affinché le sue convinzioni politiche vengano diffuse in campagna elettorale e sui mezzi di informazione.
  • Se l’interessato è coinvolto in un procedimento giudiziario - necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali - i suoi dati particolari possono essere trattati senza il suo consenso.
Esempio – Antonio deve testimoniare in tribunale perché ha assistito ad una rapina in banca mentre andava dal medico, per sottoporsi ad una visita medica importante. 
  • Il trattamento è necessario per motivi di interesse pubblico rilevante.
Esempio – L’anagrafe cittadina per la gestione degli asili e delle scuole e che quindi tratta dati su cittadinanza, immigrazione, asilo, condizione dello straniero e del profugo, stato di rifugiato.
  • Il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali.
Esempio – Antonio è un operaio edile. Viene assunto da un’azienda specializzata nella costruzione di ponti in alta quota. L’azienda è tenuta a verificare l’idoneità fisica di Antonio e si rivolge ad un medico del lavoro perché accerti il buono stato di salute del nuovo dipendente. Deve quindi trattare i dati particolari di Antonio e per farlo non ha bisogno di chiedere il suo consenso esplicito.
  • Il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici.
Esempio – Marco e Luisa fanno un viaggio ad Haiti. Al loro arrivo però scoppia un’epidemia di colera, così decidono di ripartire immediatamente per l’Italia. Una volta arrivati vengono messi in isolamento e sottoposti a controlli per verificare che non abbiano contratto la malattia. I loro dati sanitari vengono trattati per evitare un’epidemia, quindi non è necessario il loro consenso. 
  • Il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
Esempio – La ricerca medica sull’incidenza tumorale dello SLA prevede l’analisi del DNA  del paziente e dei suoi familiari per verificarne incidenza e probabilità statistiche legate alla malattia.


Ricapitolando: cosa devi fare con i dati sensibili

Aziende, professionisti ed enti - quindi tutti i titolari del trattamento - spesso e volentieri incappano nei dati particolari, ex-sensibili, dei loro dipendenti, associati, clienti e così via. 
Ecco cosa bisogna fare quando si trattano dati di questo tipo.

Chiediti: il dato che ho di fronte è solo personale o particolare?
Risposta: è solo personale. Allora devi trattarlo in modo conforme al GDPR.
Risposta: è particolare. Allora devi approfondire. 
Chiediti: Trattare questo dato per me è fondamentale, obbligatorio oppure posso farne a meno?
Risposta: è fondamentale per la tua attività. Allora chiedi il consenso esplicito all’interessato.
Risposta: è obbligatorio per legge. Allora puoi anche non chiedere il consenso all’interessato.
Risposta: non mi serve e non sono obbligato. Allora non trattare il dato.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy