Dati sensibili: quali sono e come si trattano
I dati sensibili (chiamati dal regolamento GDPR "dati particolari" o "dati soggetti a trattamento speciale") sono quei dati personali che riguardano la sfera più privata della persona e per tale ragione richiedono un trattamento che ne assicuri assoluta protezione e riservatezza. Vediamo in dettaglio come devono essere trattati.
Cosa sono i dati sensibili
Si intendono dati personali tutte le informazioni che identificano o rendono identificabile una persona fisica. Ad esempio: il nome e cognome, codice fiscale, l'indirizzo IP, etc.
I dati sensibili meritano una particolare protezione poiché il loro trattamento potrebbe creare pericoli sotto il profilo dei diritti e delle libertà fondamentali dell’uomo. Come vedremo, la differenza tra dati personali e dati sensibili riguarda il carattere privato delle informazioni che possono portare alla discriminazione anche involontaria dell’interessato.
Nel vecchio codice privacy, la definizione di dati sensibili riguardava i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, i dati personali idonei a rivelare lo stato di salute e la vita sessuale nonché i dati giudiziari. Con l’entrata in vigore del GDPR, sono stati aggiunti anche i dati genetici e quelli biometrici.
Quali sono i dati sensibili
Riassumendo, i dati sensibili o dati particolari sono quei dati che riguardano:
- l’origine razziale o etnica
- le opinioni politiche
- le convinzioni religiose o filosofiche
- l’appartenenza sindacale
- la salute
- la vita sessuale o l’orientamento sessuale della persona
- i dati genetici
- i dati biometrici intesi a identificare in modo univoco una persona fisica (ad esempio, impronta digitale, la scansione biometrica utilizzata per identificare un soggetto, etc.)
- i dati giudiziari ovvero relativi a condanne penali, a reati o connessi a misure di sicurezza.
Il GDPR in linea di massima permette il trattamento dei dati sensibili solo se il soggetto interessato ha prestato il proprio consenso esplicito oppure se ha reso manifestamente pubblici i propri dati sensibili.
Al di fuori di queste ipotesi, il trattamento dei dati sensibili è permesso solo se necessario per:
- assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale
- tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso
- accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali
- motivi di interesse pubblico e per motivi di sanità pubblica
- finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali
- finalità di archiviazione nel pubblico interesse, ricerca scientifica o storica o a fini statistici.
Ad esempio, il datore di lavoro non è obbligato a richiedere il consenso quando tratta i dati sensibili qui di seguito in elenco se il trattamento avviene esclusivamente per motivi legati al rapporto di lavoro (es. fruizione di permessi, periodi di aspettativa):
- convinzioni religiose o filosofiche
- opinioni politiche
- certificati medici
Misure da adottare per il trattamento dei dati sensibili
Oltre agli adempimenti richiesti dalla normativa in tema di privacy (rilascio dell'informativa, richiesta del consenso, tenuta del registro dei trattamenti, etc.), devono essere adottate misure appropriate e specifiche per tutelare la segretezza di questi dati e della persona.
Il Codice della Privacy emendato impone che i dati sensibili quando sono inseriti in elenchi, registri o banche dati e conservati per mezzo di strumenti elettronici devono essere trattati con metodi di cifratura o con l’impiego di codici identificativi o altre tecniche che li rendano temporaneamente incomprensibili anche a chi è autorizzato ad accedervi e devono consentire di identificare gli interessati solo in caso di bisogno.
Inoltre, i dati sensibili relativi allo stato di salute e la vita sessuale devono essere conservati separatamente dagli altri dati personali trattati per finalità che non richiedono il loro utilizzo.
Registro dei Trattamenti dei Dati Personali (GDPR)
Per raccogliere tutte le informazioni relative alla gestione dei dati personali trattati
Hai ancora domande? Richiedi una consulenza per parlare con un professionista o contatta il supporto in chat.