Noi non trattiamo dati sensibili. Spesso chi pronuncia questa frase intende dire (impropriamente) che non tratta dati personali (probabilmente, sbagliando due volte). C’è invece chi associa il termine “dati sensibili” a informazioni come i dati delle carte di credito. Queste, tuttavia, seppur cruciali e da proteggere con molta attenzione, non rientrano nella categoria definita dal GDPR. Quali sono allora i dati sensibili e perché è così importante definirli correttamente? Cerchiamo di chiarire ogni dubbio, esplorando con esempi pratici i confini tra dati personali e categorie particolari di dati.
Indice
Cosa si intende per “dati sensibili”?
I dati sensibili sono quelli che rivelano gli aspetti fondamentali più intimi della vita e dell’identità di una persona. Sono soggetti quindi a maggiori restrizioni normative, poiché, se trattati illecitamente o senza le adeguate misure di protezione, possono comportare notevoli rischi di discriminazione, danni materiali, psicologici o sociali. Una violazione di queste informazioni ha insomma impatti molto gravi sui diritti e le libertà fondamentali delle persone. Ecco perché questa classificazione si distingue nettamente dai dati personali generici, come nome, indirizzo o numero di telefono, che pur richiedendo una gestione conforme al GDPR, non presentano lo stesso livello di delicatezza. Soffermandosi sulla terminologia, con l’entrata in vigore del Regolamento UE 2016/679 (GDPR), il termine “dati sensibili” (definito in precedenza nel Codice Privacy) è stato sostanzialmente sostituito dall’espressione categorie particolari di dati personali, che include il seguente elenco.
Origine razziale o etnica
Si tratta di quelle informazioni che indicano la razza o l’etnia di una persona. Vi possono essere circostanze in cui il dato sia da raccogliere e trattare necessariamente, ad esempio nello svolgimento di pratiche legali e normative da parte di autorità pubbliche. Oppure, all’interno di censimenti o indagini demografiche, e nell’attività di promozione e tutela di varie associazioni e organizzazioni culturali. Nelle attività di lavoro, alcune forme di dati legati all’origine potranno essere raccolti per mettere in atto politiche di inclusività, o in quanto necessari per applicare delle buone prassi di sicurezza sul lavoro. Posto che il GDPR esplicita chiaramente che l’espressione origine razziale non implica l’accettazione di quelle teorie che tentano di dimostrare l’esistenza di razze umane distinte, l’inserimento della tipologia tra i dati particolari è piuttosto da intendersi come tutela contro possibili forme di pregiudizio o discriminazione legate appunto all’etnia.
Opinioni politiche, credenze religiose o filosofiche
Questi dati si riferiscono alle convinzioni personali di una persona, che possono includere le sue preferenze politiche, il credo religioso o visioni filosofiche. Il trattamento di tali informazioni avviene spesso nell’ambito delle attività di partiti politici, sindacati, chiese, organizzazioni religiose o associazioni a sfondo culturale o filosofico. Per esempio, un partito politico potrebbe raccogliere tali dati per gestire i suoi membri, organizzare campagne elettorali o promuovere attività istituzionali. Allo stesso modo, scuole private con orientamento religioso potrebbero utilizzare informazioni simili per organizzare programmi didattici specifici. La particolare sensibilità di questi dati richiede un forte attenzione ai principi di minimizzazione e proporzionalità, per garantire che tali informazioni non vengano mai usate per discriminazioni o strumentalizzazioni.
[ved. anche Privacy e propaganda: la tutela dei dati in campagna elettorale]
Appartenenza sindacale
L’appartenenza sindacale riguarda tutte quelle informazioni che indicano se una persona è membro di un sindacato o di un’organizzazione per la tutela dei diritti lavorativi. Questi dati possono essere raccolti, ad esempio, per gestire le quote associative, garantire il diritto alla rappresentanza sindacale in azienda o per partecipare a contrattazioni collettive. Anche se simili ai dati politici per la loro natura associativa, i dati sindacali hanno applicazioni particolari nel contesto lavorativo, come la gestione di procedimenti disciplinari o la protezione del dipendente da discriminazioni sul posto di lavoro. La normativa europea impone tutele particolarmente severe, proprio per evitare che l’appartenenza sindacale diventi una fonte di disparità o penalizzazioni, garantendo così il diritto alla libera associazione.
Dati genetici
I dati genetici rappresentano informazioni uniche relative alle caratteristiche biologiche ereditate o acquisite di una persona. Questi dati, ottenuti spesso tramite analisi del DNA, vengono trattati principalmente in ambito sanitario, ad esempio per scopi diagnostici, per la prevenzione di malattie ereditarie o nel contesto di studi di ricerca medica e genetica. Inoltre, possono essere rilevanti in contesti legali, come per identificare un individuo in indagini forensi o nei test di paternità. La loro natura intrinseca li rende altamente sensibili: contengono infatti informazioni non solo sulla persona ma anche sui suoi familiari, il che amplia notevolmente il raggio delle potenziali conseguenze in caso di uso improprio. Per questo, il trattamento di dati genetici è consentito solo in casi strettamente necessari e con misure di sicurezza rafforzate.
Dati biometrici
I dati biometrici sono informazioni ricavate da caratteristiche fisiche, fisiologiche o comportamentali di una persona e utilizzate per la sua identificazione univoca. Esempi comuni includono l’impronta digitale, il riconoscimento facciale o la scansione dell’iride. Tali dati sono spesso utilizzati per finalità di autenticazione, come l’accesso a dispositivi elettronici o sistemi di sicurezza avanzati. Tuttavia, il loro uso è in aumento anche in ambiti meno tradizionali, come il controllo degli accessi in luoghi soggetti a particolare tutela (ma attenzione alla tentazione di utilizzarli nei luoghi di lavoro!), o negli aeroporti. Per rientrare nella categoria dei dati particolari, devono essere trattati con tecnologie specifiche per l’identificazione univoca. Essendo legati direttamente all’identità fisica di una persona, eventuali violazioni possono avere conseguenze gravi, come il furto d’identità. Questo rende fondamentale il rispetto di rigide misure di sicurezza e trasparenza nel trattamento.
[ved. anche Riconoscimento delle persone con la biometria: i falsi miti da conoscere]
Dati relativi alla salute
I dati relativi alla salute comprendono tutte le informazioni che descrivono lo stato fisico o mentale di una persona, presenti o passate. Sono probabilmente la categoria di dati particolari più diffusamente trattata. L’esigenza sorge principalmente in ambito medico, per finalità diagnostiche, terapeutiche o di ricerca, ma possono essere rilevanti anche nei contesti lavorativi. Sono trattati ad esempio per garantire condizioni di sicurezza, gestire infortuni, assenze dovute a gravidanze o malattia. Oppure in ambito assicurativo e di welfare, o anche in ambito commerciale, come nel trattamento dati derivante dall’utilizzo di fitness tracker, app e servizi di benessere, nell’accesso a centri estetici e di wellness, ecc. La sensibilità di queste informazioni risiede non solo nel loro contenuto strettamente personale, ma anche nel rischio di stigmatizzazione che potrebbe derivare dalla loro diffusione. Non a caso, sono tra i dati più “ricercati” dai soggetti che operano nel campo della criminalità informatica.
[ved. anche Non c’è cura del paziente senza tutela della sua privacy]
Dati relativi alla vita sessuale o all’orientamento sessuale
Questi dati riguardano aspetti intimi della persona, come le preferenze sessuali, le relazioni affettive o le esperienze legate alla sfera della sessualità. Spesso trattati per finalità mediche, psicologiche o di ricerca sociale, possono anche essere rilevanti in casi legali legati a molestie e violenze di genere, o più comunemente anche nel contesto della registrazione e dell’utilizzo di social network, specialmente quando gli utenti scelgono di condividere informazioni personali per esprimere la propria identità, partecipare a comunità specifiche, o fare ricorso a servizi di incontri e dating. Data la loro natura profondamente personale, il trattamento richiede misure di sicurezza per prevenire abusi o usi impropri. Il GDPR riconosce l’elevata vulnerabilità legata a queste informazioni, garantendo che siano trattate solo quando strettamente necessario e con il massimo rispetto per la dignità e la privacy della persona.
Le fotografie sono dati particolari?
Le fotografie, di per sé, non sono automaticamente considerate dati sensibili. Possono però rientrare nella categoria in circostanze specifiche e in base alle informazioni che veicolano.
Una fotografia diventa sicuramente un dato sensibile quando è trattata come dato biometrico, ossia quando viene elaborata attraverso dispositivi tecnici per identificare in modo univoco una persona fisica, ad esempio mediante il riconoscimento facciale. Tuttavia, se una fotografia non rivela informazioni che rientrano nelle categorie particolari di dati personali (origine razziale o etnica, opinioni politiche, salute, ecc.), essa sarà considerata un dato personale comune, in particolare laddove consenta di identificare una persona fisica, direttamente (es. ritratto) o indirettamente (es. un tatuaggio).
È importante anche valutare il contesto: fotografie che mostrano dettagli sulla salute (es. cicatrici mediche) o che implicano un’appartenenza sindacale (es. scattate durante uno sciopero) potrebbero essere considerate sensibili in funzione delle informazioni che comunicano.
[ved. anche Immagini personali e privacy: 7 regole nel trattamento di foto e video]
Informazioni confidenziali e dati sensibili sono la stessa cosa?
Un errore comune è quello di confondere i dati personali sensibili (o particolari), con le c.d. informazioni confidenziali o riservate. Il fraintendimento è comprensibile, perché il concetto stesso di confidenzialità o riservatezza è piuttosto centrale nel mondo della privacy e della protezione di dati riferiti a persone fisiche. E, a onor del vero, il principio di confidenzialità (o riservatezza) è trasversale anche all’approccio più tecnico della data-security e cyber-security. Ad ogni modo, il concetto di “informazioni confidenziali” ci costringe a uno spostamento verso una cornice normativa ancora diversa. Proviamo allora a scomporre la formula:
- Informazione: rappresenta un contenuto significativo che, attraverso la sua organizzazione e contestualizzazione, diventa utile per prendere decisioni o per trasmettere conoscenza. A differenza del “dato”, che è l’elemento grezzo, l’informazione ha assunto valore. È il risultato dell’interpretazione di quel dato o insieme di dati in un determinato contesto.
- Confidenziale: richiama l’importanza di mantenere l’informazione riservata e protetta da accessi non autorizzati. La confidenzialità, tuttavia, è slegata dagli altri principi tipici della sicurezza delle informazioni (integrità, disponibilità, a cui talvolta si aggiunge anche la resilienza). Così, si concentra sull’idea di segretezza e vantaggio competitivo offerto dall’uso esclusivo di un’informazione.
La protezione degli asset aziendali
Questo focus sulla riservatezza e la segretezza di un contenuto significativo ci guida quindi verso il contesto della proprietà intellettuale e della proprietà industriale. Un’informazione confidenziale è un asset di valore. Per esempio, un brevetto, una formula chimica o una strategia aziendale. Sono infatti informazioni che, grazie alla loro applicazione, determinano un impatto nel mondo reale e hanno un valore strategico ed economico per l’impresa che ne detiene la proprietà.
In conclusione, mentre i dati sensibili sono una sottocategorie di dato personale, la cui norma di riferimento si concentra sulla tutela dei diritti fondamentali delle persone, le informazioni confidenziali sono orientate alla protezione degli asset aziendali. Ci possono essere casi in cui le definizioni coincidono, in particolare quando tra gli asset di un’azienda c’è un patrimonio informativo di dati sensibili. Pensiamo, ad esempio, al valore dei dati sanitari dei contraenti di una polizza assicurativa: sono certamente dati da tutelare ai sensi del GDPR, ma allo stesso tempo possono rappresentare informazioni confidenziali, la cui divulgazione potrebbe danneggiare la reputazione o la posizione dell’azienda.
Quando è possibile trattare dati sensibili?
Secondo le norme, il trattamento di dati particolari è generalmente vietato, salvo in presenza di specifiche eccezioni.
La prima eccezione, fondamentale, è la possibilità di ottenere il consenso della persona cui fanno riferimento i dati.
[ved. anche Lezioni di GDPR: il consenso al trattamento dati]
L’articolo 9 par. 2 GDPR elenca poi altre otto condizioni di deroga in cui il trattamento di dati particolari sia consentito, talvolta con specifici vincoli. Si fa rifermento, in particolare a:
- obblighi specifici in materia di diritto del lavoro e della sicurezza
- necessità di tutelare un interesse vitale, specialmente in situazioni in cui la persona non sia nelle condizioni fisiche o giuridiche di prestare il proprio consenso
- con adeguate garanzie e limitazioni, nell’ambito di attività di enti senza scopo di lucro
- dati particolari già resi manifestamente pubblici dall’interessato
- l’esercizio di una funzione giurisdizionale o la difesa di un diritto in sede giudiziaria
- motivi di interesse pubblico, che deve essere proporzionato al rispetto degli altri diritti fondamentali
- necessità medico-sanitarie, conformemente ai requisiti e limiti delle attività svolte dai professionisti sanitari
- necessità di salute pubblica e al fine di garantire la qualità dell’assistenza sanitaria
- fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.
Le deroghe e le prescrizioni specifiche del Garante italiano
Il Garante per la protezione dei dati personali ha poi fornito alcune indicazioni supplementari, per alleggerire le limitazioni nel trattamento di dati particolari in alcuni contesti specifici. Le prescrizioni presentate nel 2019 si focalizzano in particolare sui contesti di trattamento nella gestione dei rapporti di lavoro (aut. gen. n. 1/2016); su associazioni, fondazioni, chiese e comunità religiose (aut. gen. n. 3/2016); sul ruolo degli investigatori privati (aut. gen. n. 6/2016); sui requisiti di trattamento dei dati genetici (aut. gen. n. 8/2016); sulle attività di ricerca scientifica (aut. gen. n. 9/2016).
Adempimenti derivanti dal trattamento di dati particolari
Per concludere, il trattamento di dati sensibili, o particolari, richiede un’elevata attenzione e il rispetto di misure specifiche per garantire la protezione dei diritti e delle libertà delle persone. Vi sono alcuni adempimenti normativi, poi, che è bene ricordare. Se i dati sensibili sono trattati da un’impresa su larga scala, ecco che scatta l’obbligo formale per l’organizzazione di designare un Responsabile della Protezione dei Dati (DPO).
È bene anche ricordare che il trattamento di dati particolari è riconosciuto come “fattore di rischio”, ai sensi delle Linee Guida (wp248) dell’EDPB. Di conseguenza, è più probabile che per il trattamento in questione si renda necessaria una DPIA (Data Protection Impact Assessment) che aiuti a identificare e mitigare potenziali danni derivanti da un trattamento di dati particolari.
Infine, nella generale valutazione dei rischi derivanti dal trattamento di dati personali, sarà fondamentale considerare che le violazioni di dati sensibili hanno impatti più gravi rispetto a quelle che colpiscono dati comuni. Di conseguenza, l’adozione di misure di sicurezza tecniche e organizzative appropriate, che possano includere crittografia avanzata, accessi limitati e politiche interne rigorose diventerà ancora più importante.