I dati sensibili tra Codice Privacy e GDPR

di Eleonora Zabeo

Tra i dati personali protetti dal nuovo Regolamento UE 2016/679 ve ne sono alcuni che sono oggetto di una maggiore tutela, in ragione della loro idoneità a rivelare aspetti connessi alla sfera più intima dell’individuo. Sono quelli che nel nostro Codice Privacy sono sempre stati definiti dati sensibili e che ora invece, nel GDPR, diventano dati particolari.

La rubrica dell’articolo 9 recita infatti “trattamento di categorie particolari di dati personali”: si tratta di dati che rivelano “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché […] dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.

Le categorie corrispondono a quelle descritte nella definizione degli (ex) dati sensibili, ma con l’introduzione dei dati genetici e biometrici.  Questi due tipi di dati vengono menzionati anche nel d. lgs. 196/2003 e fanno parte di quel genere di dati che, pur non rientrando nei sensibili, sono stati oggetto – fino al 25 maggio – di una particolare tutela in quanto soggetti alla notifica preventiva al Garante ai sensi dell’art. 37.

Il dato biometrico, in particolare, è stato oggetto di diversi provvedimenti sia da parte del Garante italiano sia del Gruppo di lavoro ex articolo 29. Sono infatti sempre più diffusi strumenti per la raccolta di dati biometrici, quali impronte digitali, forma dell’iride, emissione vocale o firma grafometrica, a scopo di accertamento dell’identità personale, di accesso a servizi digitali e sistemi informativi o per finalità di controllo dell’accesso a locali.[1]

Le basi giuridiche che legittimano il trattamento dei dati particolari – elencate al paragrafo 2 dell’articolo 9 del GDPR – sono diverse, e molto più specifiche, rispetto a quelle che rendono lecito il trattamento dei dati cosiddetti comuni di cui all’articolo 6.

Vi figurano, per citarne alcune, la tutela di un interesse vitale dell’interessato; l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; l’interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri; la necessità del trattamento in materia di diritto del lavoro,di protezione e sicurezza sociale o per finalità di medicina preventiva o medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi , assistenza o terapia sanitaria o sociale.

Qualora lo scopo del titolare non rientri in nessuna delle categorie elencate dall’art. 9, par. 2 lett. b) – j) del Regolamento il trattamento è possibile sulla base del consenso esplicito dell’interessato, che richiede un elemento ulteriore rispetto al semplice consenso.

Il termine esplicito, secondo quanto espresso dal WP 29, si riferisce alle modalità di espressione, per cui l’interessato deve formulare un’affermazione esplicita di consenso, per esempio una dichiarazione sottoscritta o, in caso di servizi online, tramite compilazione di un form o scansione di un documento recante la propria firma o tramite l’uso di firma elettronica.  Un’altra modalità può consistere nella verifica del consenso tramite un doppio passaggio: per esempio il titolare del trattamento che voglia trattare dati particolari chiede all’interessato di inviare una mail con una dichiarazione di consenso e, successivamente, invia all’interessato un link o un sms con un codice di verifica per consentirgli di confermare ulteriormente la propria volontà.[2]

Come sono disciplinate nel decreto legislativo di adeguamento della normativa italiana al Regolamento Europeo 2016/679 le categorie particolari di dati personali?

Innanzitutto, nell’ultima bozza di decreto pubblicata il 10 maggio, si precisa che l’espressione dati sensibili deve ora intendersi riferita ai dati di cui all’articolo 9 del Regolamento.

Il legislatore italiano ha poi previsto, in attuazione di quanto previsto dall’articolo 9 comma 4 del Regolamento – che consente agli stati membri di introdurre ulteriori condizioni circa il trattamento di dati biometrici, genetici o relativi alla salute – l’obbligo di adottare delle misure di garanzia per il trattamento di tali dati, da disporsi con specifico provvedimento del Garante ogni due anni, che dovrà tenere conto delle migliori prassi in ambito di protezione dei dati e dell’evoluzione scientifica e tecnologica nel settore oggetto delle misure.

Scompare, inoltre, ogni riferimento al consenso per il trattamento di dati sanitari che sia effettuato per finalità di tutela della salute e incolumità fisica dell’interessato o di terzi o della collettività: tale trattamento è lecito se viene effettuato ai sensi dell’art. 9 par. 2 lett. h) e i) (ossia per finalità di medicina preventiva o medicina del lavoro,valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o socialio per motivi di interesse pubblico nella sanità pubblica), senza quindi alcuna necessità di acquisire il consenso.

Tale aspetto, se poi confermato nella versione definitiva del decreto attuativo, si pone sicuramente in linea con lo spirito del nuovo Regolamento Europeo, dalla cui lettura emerge come il consenso sia soltanto una delle basi giuridiche che legittimano il trattamento dei dati personali, da non utilizzare quando il trattamento fondi la sua liceità nel contratto, in un obbligo di legge o, nel caso dei dati particolari, in una delle finalità descritte dall’articolo 9 par. 2, lett. b) – j) del GDPR.


Bibliografia:

[1]Si veda, in particolare, il Provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014 del garante per la protezione dei dati personali ed il relativo allegato A “Linee guida in materia di riconoscimento biometrico e firma grafometrica”;

[2]Article 29 Working Party Guidelines on consent under Regulation 2016/679 Adopted on 28 November 2017 and last Revised and Adopted on 10 April 2018.


Autore:



Libri consigliati sull’argomento: