I dati sensibili rientrano nel concetto più generale di dati personali e, poiché riguardano la sfera più intima del soggetto a cui si riferiscono, esigono un trattamento più rigoroso, che ne assicuri la massima protezione e riservatezza dei dati personali.
Quali sono i dati sensibili?
In base al Codice della Privacy, si definiscono “dati sensibili”:
- quei dati personali idonei a rivelare l’origine razziale ed etnica di una persona,
- le sue convinzioni religiose, filosofiche o di altro genere,
- le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale,
- i dati personali idonei a rivelare il suo stato di salute e la vita sessuale.
Questo tipo di dati si differenzia dal concetto generale di dati personali, i quali consistono in una qualunque informazione che identifichi o renda identificabile una persona.
Un’ulteriore categoria è quella dei dati giudiziari, che sono quelle informazioni idonee a rivelare l’esistenza, in capo all’interessato, di determinati provvedimenti giudiziari o la sua qualità di imputato o di indagato.
Un’importante tipologia di dati di carattere sensibile include quei dati idonei a rivelare lo stato di salute e la vita sessuale di una persona.
Tali dati non possono essere trattati in assenza del consenso dell’interessato, a meno che non sia lo stesso Garante ad autorizzarne il trattamento, come avviene, in determinate condizioni, a favore degli esercenti le professioni sanitarie.
Dati sensibili, i dati personali che vanno protetti in maniera più rigorosa.
In particolare, il Codice della Privacy prevede che i dati sensibili, così come quelli giudiziari, quando sono contenuti in elenchi, registri o banche dati, tenuti con l’ausilio di strumenti elettronici, devono essere trattati con tecniche di cifratura o impiegando codici identificativi o altre soluzioni che li rendano temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.
Inoltre, i dati sensibili che includono i dati relativi allo stato di salute e la vita sessuale di un individuo, devono essere conservati separatamente dagli altri dati personali trattati per finalità che non richiedono il loro utilizzo.
È opportuno sottolineare che i dati da sottoporre a tale disciplina non devono necessariamente fornire in maniera diretta una determinata informazione, ma è sufficiente che siano idonei a rivelarne il contenuto.
Per tale motivo, nell’esempio sopra riportato si è definito “dato sensibile” anche il semplice dato riferito alla dieta del dipendente, poiché è potenzialmente idoneo a rivelare un’informazione più intima e riservata, qual è quella relativa alle sue convinzioni religiose.
Dubbi sul GDPR, adempimenti e cosa fare a riguardo?
Il difficile equilibrio tra le esigenze del dipendente e quelle del datore di lavoro
Nella ricerca di un bilanciamento tra le esigenze di riservatezza dei dipendenti e quelle di una corretta gestione del rapporto di lavoro da parte del datore di lavoro, il Garante ha adottato un apposito provvedimento con cui autorizza, con determinate cautele, il trattamento dei dati sensibili finalizzato alla gestione dei rapporti di lavoro.
Poiché vi sono dati la cui classificazione può essere incerta, il Garante ha specificato alcune categorie di dati che rientrano in tale autorizzazione. Nello specifico, si tratta di dati:
- che riguardano le convinzioni religiose, filosofiche o di altro genere;
- concernenti la fruizione di permessi e festività religiose o di servizi di mensa, nonché la manifestazione, nei casi previsti dalla legge, dell’obiezione di coscienza;
- idonei a rivelare le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere politico o sindacale;
- quelli concernenti l’esercizio di funzioni pubbliche e di incarichi politici, di attività o di incarichi sindacali, ovvero l’organizzazione di pubbliche iniziative;
- il trattamento dei dati idonei a rivelare lo stato di salute, o relativi ad invalidità, infermità, gravidanza, puerperio o allattamento, ad infortuni, ad esposizioni a fattori di rischio, all’idoneità psico-fisica a svolgere determinate mansioni o all’appartenenza a determinate categorie protette.
Dati sensibili GDPR: la necessità di ricondurre il trattamento a criteri di massimo rigore
Il trattamento dei dati sensibili per il GDPR rappresenta sicuramente uno degli aspetti più delicati nella gestione del lavoro e delle informazioni riguardanti i dipendenti, di cui entra in possesso il datore di lavoro.
Considerato il dettato dell’art. 2050 del Codice Civile, che stabilisce che chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee ad evitare il danno, il nostro consiglio, per i casi dubbi, è di attenersi al principio di cautela.