I dati personali c.d. sensibili
Con l’avvento del Regolamento Ue 2016/679 (General Data Protection Regulation) si assiste ad una nuova “nomenclatura” che trasforma anche la denominazione della classificazione delle diverse tipologie dei dati personali oggetto di trattamento, a partire dai cd. dati sensibili.
Quest’ultimi, che rientrano nel concetto più generale di dati personali, con il GDPR sono definiti, ai sensi dall’art. 9 GDPR “dati di natura particolare”.
Ai sensi della disposizione in esame, rientrano nel novero di tale particolare categoria i dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, i dati biometrici, i dati relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona.
Se, quindi, in base al “vecchio” Codice Privacy si definivano “dati sensibili” solo i dati personali idonei a rivelare l’origine razziale ed etnica di una persona, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, i dati personali idonei a rivelare il suo stato di salute e la vita sessuale, il Regolamento (UE) 2016/679 estende le particolari cautele nel trattare tale tipologia di dati anche alla categoria dei dati genetici (ossia i dati relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica) e biometrici (tra i quali si menzionano, ad es., le impronte digitali, la forma dell’iride, l’emissione vocale o la firma grafometrica), nonché quelli relativi all’orientamento sessuale.
La ragione di prevedere peculiari modalità nella gestione dei dati personali di natura particolare risiede nella circostanza che essi riguardano la sfera più intima del soggetto a cui si riferiscono.
Pertanto, il legislatore europeo, ha voluto imporre prescrizioni più rigorose, tali da assicurare la massima protezione e la riservatezza, sancendone il divieto generale del loro trattamento.
Ed invero, stante la potenziale idoneità di tale genere di dati a discriminare un soggetto rispetto alla comunità sociale di riferimento, per il solo fatto, per esempio, di manifestare l’appartenenza ad una determinata religione o ad una determinata associazione sindacale, la tutela che si vuole garantire a tale tipologia di dati non può che essere assoluta.
Il necessario bilanciamento
Il divieto disposto in termini generali, per espressa previsione regolamentare, subisce importanti deroghe al fine di contemperare il giusto equilibrio nello svolgimento dei rapporti contrattuali, soprattutto in materia lavoristica o nello svolgimento di un’attività medica.
Il divieto generale di trattamento dei dati particolari viene infatti meno in presenza di consenso esplicito (dell’Interessato) o di necessità per assolvere gli obblighi imposti dalla legge.
La necessità propria del Titolare del trattamento, in determinati casi, di trattare i dati particolari ha fatto si che il legislatore europeo prevedesse specifiche eccezioni al fine di consentire l’utilizzo dei dati sensibili ove ciò risulti imprescindibile per lo svolgimento di una prestazione professionale (il riferimento è, a titolo esemplificativo, al trattamento dei dati relativi allo stato di salute del paziente da parte del proprio medico o specialista) o nell’esecuzione di un contratto (si pensi, in tal caso, all’esecuzione del contratto di lavoro da parte del datore di lavoro, il quale, senza dubbio, potrà essere destinatario di dati sensibili del proprio dipendente).
Ed invero, l’art.9 par. 2, prevede diverse basi giuridiche che legittimano il trattamento dei dati particolari, sancendo testualmente che il divieto di trattamento non si applica se:
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche (…)
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale (…)
c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali (…)
e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri (…)
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità (…)
i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica (…)
j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (…)
Deve evidenziarsi come i dati in commento non devono necessariamente fornire in maniera diretta una determinata informazione, essendo sufficiente che essi siano idonei a manifestare un aspetto altamente riservato della persona.
La semplice intolleranza alimentare indicata da un cliente e annotata accanto alla prenotazione presso una struttura alberghiera deve essere trattata con estremo rigore poiché rappresenta un dato personale potenzialmente idoneo a rivelare un’informazione più intima relativa allo stato di salute della persona.
Cosa cambia per questa categoria di dati nel nostro Codice Privacy con la riforma del D.Lgs n. 101/2018?
L’art. 9 comma 4 del Regolamento UE consente agli Stati Membri di introdurre ulteriori condizioni circa il trattamento di dati biometrici, genetici o relativi alla salute.
Il legislatore italiano, con l’introduzione del D.Lgs n. 101/2018, ha colto tale invito prevedendo l’obbligo di adottare delle misure di garanzia per il trattamento di tali dati, da disporsi con specifico provvedimento del Garante ogni due anni e che dovrà tenere conto delle migliori prassi in ambito di protezione dei dati e dell’evoluzione scientifica e tecnologica nel settore di riferimento.
Tra le altre novità, è d’uopo precisare che non è più necessario ricorrere ad un consenso per il trattamento di dati sanitari svolto per finalità di tutela della salute e incolumità fisica dell’interessato o di terzi o della collettività.
Il trattamento in questione trova la sua base giuridica nell’art. 9 par. 2, lett. h) e i), ossia per finalità di medicina preventiva o medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali o per motivi di interesse pubblico nella sanità pubblica.
Il tutto in conformità allo spirito del nuovo Regolamento Europeo, il quale – è bene ricordarlo – annovera il consenso solo come una delle possibili basi giuridiche del trattamento dei dati personali, da individuare in maniera residuale in presenza di altre fonti di liceità del trattamento espressamente previste come il contratto, un obbligo di legge o, nel caso dei dati particolari, le finalità sopra descritte dall’articolo 9 par. 2, lett. b) – j) del GDPR.