I dati sensibili sono quei dati personali che riguardano la sfera più privata della persona e per tale ragione richiedono un trattamento che ne assicuri assoluta protezione e riservatezza. Vediamo in dettaglio di cosa si tratta e come devono essere trattati.
I dati personali sono tutte quelle informazioni che permettono l'identificazione diretta o indiretta della persona a cui si riferiscono, ad esempio, il nome e cognome, le foto, i dati genetici, l'indirizzo IP, i dati anonimizzati, etc. Tra i dati personali esiste una tipologia di dati che per la loro delicatezza vengono denominati dal nostro Codice Privacy “dati sensibili”.
I dati sensibili meritano una particolare protezione poiché il loro trattamento potrebbe creare pericoli sotto il profilo dei diritti e delle libertà fondamentali dell’uomo. Come vedremo, la differenza tra dati personali e dati sensibili riguarda il carattere privato delle informazioni che possono portare alla discriminazione anche involontaria dell’interessato.
Nel vecchio codice privacy, la definizione di dati sensibili era prevista all’art. 4 e riguardava i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, i dati personali idonei a rivelare lo stato di salute e la vita sessuale nonché i dati giudiziari.
Con l’entrata in vigore del Regolamento europeo 679/2016 (GDPR) sono stati aggiunti anche i dati genetici e quelli biometrici. Una precisazione, il GDPR non li qualifica "dati sensibili" ma parla di dati particolari o dati soggetti a trattamento speciale.
Riassumendo, i dati sensibili o dati particolari sono quei dati che riguardano:
Il GDPR in linea di massima permette il trattamento dei dati sensibili solo se il soggetto interessato ha prestato il proprio consenso esplicito oppure se ha reso manifestamente pubblici i propri dati sensibili.
Al di fuori di queste ipotesi, il trattamento dei dati sensibili è permesso solo se necessario per:
Oltre agli adempimenti richiesti dalla normativa in tema di privacy (rilascio dell'informativa, richiesta del consenso, tenuta del registro dei trattamenti, etc.), devono essere adottate misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi della persona.
Il Codice della Privacy emendato impone che i dati sensibili quando sono inseriti in elenchi, registri o banche dati e conservati per mezzo di strumenti elettronici devono essere trattati con metodi di cifratura o con l’impiego di codici identificativi o altre tecniche che li rendano temporaneamente incomprensibili anche a chi è autorizzato ad accedervi e devono consentire di identificare gli interessati solo in caso di bisogno.
Inoltre, i dati sensibili relativi allo stato di salute e la vita sessuale devono essere conservati separatamente dagli altri dati personali trattati per finalità che non richiedono il loro utilizzo.