La protezione dei dati sensibili: la normativa italiana in materia di privacy e sicurezza

Chiara Ponti e Renato Castroreale

In questo articolo esaminiamo il dato sensibile: che cos’è, quale è stata l’evoluzione normativa e come può essere trattato alla luce del GDPR, il Regolamento Europeo sulla protezione dei dati

Che cos’è il dato sensibile

Il D.Lgs. 196/2003 già Codice Privacy, utilizzava il termine “dato sensibile”, riferendosi a specifici tipi di informazioni riferibili ad una persona e prevedendo:

• il consenso esplicito per poterli trattare;
• una tutela rafforzata gestione di tali dati (“misure di sicurezza idonee”).

Tale tipologia includeva l’origine razziale ed etnica di un individuo nonché le convinzioni ed adesioni religiose/politiche/filosofiche, l’appartenenza sindacale, lo stato di salute e l’orientamento sessuale del medesimo.

Non che oggi tali tipi di dati non siano più considerati da proteggere: anzi.

Tuttora, l’art. 9 del Regolamento (UE) 679/2016 meglio noto come GPDR, disciplina “categorie particolari di dati personali” che ricalcano sostanzialmente gli ex dati sensibili.

Rientrano tra questi, testualmente quei dati «…che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.».

In questa eccezione, la tipologia è stata ampliata rispetto al passato.

L’evoluzione normativa: prima, durante e dopo

I dati sensibili secondo il previgente Cod. Privacy (D.lgs. 196/2003) rappresentavano alcune informazioni personali in qualche modo “più personali di altre” da proteggere più degli altri.

Con l’art. 9 GPDR, i dati particolari non devono essere trattatati se non analogamente con il consenso esplicito dell’interessato o in caso di necessità per assolvere ad alcuni obblighi ben codificati tra cui:

• l’origine razziale o etnica 
• le opinioni politiche, le convinzioni religiose o filosofiche 
• l’appartenenza sindacale
• i dati genetici e i dati biometrici intesi a identificare in modo univoco una persona fisica 
• i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona

Con il rinnovellato Cod. Privacy in virtù del D.Lgs. 101/2018 necessario per armonizzare il GDPR, una delle più interessanti novità introdotte riguarda proprio il trattamento di tali dati.

Come autorevole dottrina enuncia, oggi si deve semmai distinguere tra dati (ex) sensibili e “super-sensibili”.

Nella fattispecie, l’art. 2 septies del 101/2018 stabilisce che i dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 dello stesso art. 9 GDPR.

Pertanto, quei dati sensibili di un tempo, ed i dati particolari di oggi sono del tutto assimilabili con l’adagio andante secondo il quale sia vietato trattarli, a meno che l’interessato non abbia dato il suo esplicito consenso ovvero salvo alcuni casi particolari. 

Il trattamento

In continuità rispetto al passato, tali dati possono essere trattati nella misura in cui:

• sussista il consenso esplicito dell’interessati;
• in caso di necessità per assolvere ad alcuni obblighi ben codificati;
• attraverso l’attuazione di adeguate misure di sicurezza.

Vi sarebbe dunque da chiedersi cosa effettivamente sia cambiato; in prima battuta poco, ma invero molto.

Vediamo brevemente cosa in effetti il GDPR richieda.

Consenso

Ai sensi dell’art. 9 del GDPR il trattamento di categorie particolari di dati personali può avvenire in presenza del consenso. Per la comprensione ed ulteriori approfondimenti sulla tematica del consenso, rimandiamo al WP259.

Obblighi

In assenza di consenso tali dati possono essere trattati nei casi previsti dall’art. 9 lett. b) – j) cui si rinvia.

Misure di Sicurezza

L’art. 32 prevede che per effettuare un trattamento di dati personali, ed a maggio ragione per le categorie particolari, l’Organizzazione debba mettere in atto una serie di misure di sicurezza volte a mitigare il rischio al quale il trattamento potrebbe essere soggetto.

La valutazione dei rischi diventa un elemento imprescindibile per determinare le adeguate misure di sicurezza, di carattere tecnico ed organizzativo (una volta previste da un semplice allegato, il famoso allegato B).

Ricapitolando:

I dati particolari (ex-sensibili) non vanno mai trattati?

Come abbiamo visto la risposa è no, fatto salvo alcune cautele.

I dati particolari possono essere trattati se l’interessato non ha fornito il suo consenso esplicito?

Si, solamente se ricadono nelle eccezioni indicate dall’art. 9.

Sintesi del cambiamento

In breve, sono dati particolari tutti quelli che secondo il vecchio impianto normativo si qualificavano come “…sensibili”; con l’aggiunta, tuttavia, di dati personali come i biometrici in conformità all’art. 4 concepito per ampliare il concetto di “dato personale”. Non solo, nello spirito del GDPR vediamo ancora come il dato (personale) relativo alla salute non si limita più al mero “stato”, ma alla “salute” tout court.

Più in generale, dunque, è il concetto stesso di “dato personale” ad essere profondamente mutato.

Oggi i dati personali sono tutti quei dati riconducibili ad un individuo attraverso le sue caratteristiche, relazioni, abitudini, stile di vita e via seguitando.

Ma allora: dati sensibili o dati particolari sono sinonimi?

Parrebbe una mera questione di “etichetta”: quelli che un tempo si chiamavano dati sensibili con l’entrata in vigore del GDPR hanno cambiato nome; oggi sono categorie particolari di dati personali, che non sono più “solo quelli di una volta”.

È cambiato semmai il concetto stesso di “dato personale” e non poteva essere diverso, sull’onda peraltro dell’evoluzione tecnologica sempre più in voga, alla quale la situazione pandemica ha dato una spinta ancora più evidente.

Alcuni esempi in conclusione

Abbiamo detto come i dati personali oggi rappresentino tutte le informazioni che riconducano ad un individuo attraverso le sue caratteristiche, relazioni, abitudini, stile di vita ecc.; tutte le informazioni identificative, dai dati anagrafici alle immagini ritraenti una persona; i dati precedentemente definiti sensibili sottoposti ad una tutela rafforzata; le informazioni giudiziarie rivelanti l’esistenza di determinati provvedimenti giudiziari a carico di una persona; i dati relativi a comunicazioni elettroniche come, ad esempio, un indirizzo IP, quelli che consentono la geolocalizzazione una persona, i dati genetici e i dati biometrici.

Ecco gli esempi

Ma facciamo alcuni esempi di questi dati, al fine di comprendere come un certo dato sia qualificabile “particolare” piuttosto che meramente personale:

• Tizio noto direttore commerciale, seppur coniugato con Cornelia, intrattiene allegramente una relazione extraconiugale con Sempronia che incontra tra un cliente e l’altro, in viaggio per lavoro. Un giorno Cornelia la moglie (senza qualificarsi tale) telefona in ufficio chiedendo di lui e la sua segretaria le risponde che Tizio non si è presentato al lavoro dichiarandosi malato (quando in realtà si trovava al mare con Sempronia) sì fornendo informazioni altamente personali (per quanto non veritiere e legittimamente rivolte, mettendosi nei panni della moglie Cornelia) diffondendo dati personali in modo non conforme al GDPR trattandosi di una informazione relativa quanto meno alla salute di Tizio.
• Giustino fa l’agente aziendale ed in quanto tale ha in dotazione l’auto sulla quale gli è stato posizionato, previo suo consenso, un sistema di GPS che lo geolocalizza. Non si tratta di un dato particolare, ma di un dato personale senz’altro.
• Gaio è appassionato di bocce, e tutte le domeniche gioca alla bocciofila per gli anziani del paese. È un dato particolare? No, ma è comunque un dato personale, perché rivela un’abitudine di Gaio. 
• Mevia è celiaca e Caia è vegana. Sono dati particolari? Sì perchè la prima è un’informazione che rivela le condizioni di salute di Mevia, mentre la seconda rivela le sue convinzioni filosofiche.
• Jocunda fa jogging tutte le mattine, mentre Cassia fa colazione al bar. Sono dati particolari? No, ma sono comunque dati personali, perché riguardano lo stile di vita delle due. 
• Sempronio ha 9 anni ed ha appena fatto la prima comunione. È un dato particolare? Sì, ma non solo, perchè si tratta di un dato super sensibile perché rivela le convinzioni religiose nonché presumibilmente anche quelle della sua famiglia, ed ancora fa riferimento ad una persona minorenne. 
• Diego Armando ha 11 anni e tutte le domeniche gioca a calcio nel campo comunale con gli amici di quartiere. È un dato particolare? No, ma è comunque un dato personale. 
• Adria è rom, Abdul è berbero. Sono dati particolari? Sì. Sono informazioni che rivelano l’origine etnica di queste persone. 
• Gli stessi stanno seguendo corsi di italiano. Sono dati particolari? No, ma sono comunque dati personali. 
• Domizio è nato da una relazione extra-coniugale, e scopre attraverso il test del DNA e scopre che suo padre non è la persona che lo ha cresciuto. È un dato particolare? Sì, perché è un dato genetico e definisce anche il papà, ma come è meglio non approfondire
• Lucio gioca a livello amatoriale, ed ogni anno la squadra chiama un fotografo per immortalare il gruppo. Sono dati particolari? No, ma sono dati personali, perché ritraggono Lucio e i suoi compagni.