I dati sensibili, definiti dal GDPR come dati particolari, sono dati personali a cui il regolamento europeo dedica una disciplina “particolare”. I dati sensibili sono quindi una sottocategoria dei dati personali.
I dati sensibili, o particolari, sono elencati nell’articolo 9 del Regolamento Europeo che stabilisce anche come e quando possono essere trattati.
Se sei un medico, ad esempio un dentista, tratti dati sanitari che sono dati sensibili. Il tuo adeguamento al GDPR prevede adempimenti diversi rispetto a quelli del titolare di un sito web vetrina.
Anche un datore di lavoro può dover trattare dati sanitari dei propri dipendenti, per cui dovrà utilizzare accortezze diverse rispetto al trattamento degli altri dati personali comuni.
L’intero ciclo di trattamento dei dati sensibili, dall’acquisizione alla cancellazione, deve essere caratterizzato dall’adozione di misure di sicurezza adeguate. Vediamo quali sono le 7 accortezze fondamentali per essere a norma di GDPR.
Ecco i 7 passaggi:
- Verificare come e quando la nostra azienda tratta dati particolari: privacy by default
- Acquisizione dell’autorizzazione al trattamento: consenso o legge
- Come trattare i dati sensibili: autorizzazioni e accessi di chi tratta i dati
- Gestione del rischio
- Conservazione dei dati sensibili: back-up
- Monitoraggio
- Contestualizzazione
CONTENUTO DELL'ARTICOLO
Quali sono i dati sensibili di una persona?
Guarda il video
La prima cosa da fare è identificare i dati sensibili che tratta la nostra azienda.
Ci rifacciamo all’elenco esaustivo, quindi non modificabile, che il GDPR fa all’articolo 9. Sono dati particolari
- i dati che rivelano l’origine etnica o razziale del soggetti;
- i dati attraverso cui si conosce l’orientamento politico, le convinzioni religiose o filosofiche dei soggetti. Ma anche quelli attraverso cui si conosce l’appartenenza ad un sindacato;
- i dati genetici: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica,
- i dati biometrici: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
- i dati relativi allo stato di salute;
- i dati attraverso cui si conoscono le abitudini sessuali o l’orientamento sessuale di un soggetto.
Prima cosa da fare: analizzare quali dati tratta la nostra azienda e per quali finalità. Capire il processo con cui vengono acquisiti e chi li tratta.
Ma capire prima di tutto se abbiamo la necessità di trattare quei dati: il primo principio da applicare è quello della privacy by default.
Lo strumento fondamentale per tenere traccia dei dati trattati è il registro del trattamento dati.
Il registro, che è un nuovo adempimento previsto dal Regolamento europeo, è obbligatorio in casi specifici. Uno di questi casi è quando il trattamento implica un rischi per la sicurezza e l’incolumità dell’interessato.
Questa definizione non si riferisce necessariamente al trattamento dei dati particolari, ma noi, come studio, quando ci occupiamo di adeguamento al GDPR per aziende che trattano dati particolari inseriamo sempre il registro.
Anche perché il registro trattamenti è il miglior strumento per tenere traccia di ogni attività, ed è fondamentale in caso di data breach. Infatti il registro trattamenti è come un diario da tenere aggiornato in merito ad ogni misura di sicurezza intrapresa.
Chi può trattare i dati sensibili?
La legge stabilisce che i dati personali sensibili non possono essere trattati.
Quindi vige il principio generale di divieto di trattamento dei dati sensibili: nessuno può trattare questo tipo di dati.
Tuttavia il GDPR prevede una serie di esenzioni al divieto. Grazie a queste esenzioni qualsiasi azienda può trattare i dati particolari o sensibili.
Quindi prima ancora di pensare a come trattare i dati, dobbiamo pensare ad avere l’autorizzazione al trattamento.
Corso sulla Privacy e Gdpr
24 lezioni teoriche e pratiche sul Gdpr
Con questo corso potrai imparare, tra l’altro:
- Tutti gli aspetti fondamentali del R.U. 679/2016
- Quali sono i dati personali e quali non rientrano nel GDPR
- Tipologie di dati personali e relative tutele
- I soggetti del GDPR e relative responsabilità
- Corretta gestione dei dati personali online e offline
Il nostro corso esclusivo su tutto quello che ti serve sapere gestire la privacy sui tuoi asset digitali in modo legale ma anche performante al fine di evitare multe salate e problemi con gli utenti e clienti.
Autorizzazione trattamento dati sensibili
Il trattamento dei dati sensibili è possibile solo se c’è il consenso esplicito dell’interessato.
Il consenso deve essere esplicito e specifico, cioè dato per specifiche finalità di trattamento. Quindi se chiedi il consenso al trattamento e lo chiedi per finalità generiche, o senza far riferimento ad alcuna finalità, allora sei a rischio di sanzioni.
Le caratteristiche che deve avere il consenso per essere valido sono le stesse che deve avere il consenso al trattamento dei dati personali comuni.
Ma poiché le eventuali ispezioni rispetto a questi dati saranno particolarmente accurate, si raccomanda che il consenso venga raccolto attraverso la forma scritta, per essere in grado di dimostrare che il consenso è stato acquisito.
Accanto alla richiesta del consenso ci deve sempre essere l’informativa privacy, ovviamente.
Grazie a questa esenzione una qualsiasi azienda che ha bisogno di trattare i dati particolari degli utenti a fini marketing può farlo. Quindi può, ad esempio, fare sondaggi.
Ma attenzione: come vedremo, non basta avere il consenso al trattamento per non rischiare sanzioni.
Trattamento dati sensibili senza consenso
Ci sono casi stabiliti dalla legge per cui il titolare del trattamento non è tenuto a richiedere il consenso per trattare i dati sensibili.
Prerequisito è sempre il rispetto del principio di privacy by default: la necessità del trattamento dei dati sensibili.
Vediamo i casi che possono essere di maggior interesse per noi. Anche per questo la disciplina è quella dell’art. 9 GDPR:
- datori di lavoro che devono trattare i dati particolari dei propri dipendenti a fini contrattuali
- casi in cui il trattamento del dato personale è necessario per l’incolumità dell’interessato al trattamento o di un terzo
Ascolta il podcast
Gestione dati sensibili acquisiti
Come anticipato non basta avere il consenso al trattamento per essere a norma di GDPR.
Una volta che siamo legittimati a trattare i dati sensibili grazie al consenso o per le previsioni di legge, bisogna pensare a come essere conformi al GDPR in virtù del principio di privacy by design.
Ricordiamo che in base a questo principio il titolare del trattamento è responsabile di strutturare l’azienda in modo da essere adeguata a tutelare al massimo i dati trattati.
Tornando all’esempio di prima, l’adeguamento GDPR del dentista, che tratta dati sanitari regolarmente, sarà diverso da quello del negozio di libri che, al limite, indaga sulle inclinazioni di gusti dei lettori a fini di profilazione marketing.
La prima cosa da fare una volta acquisito è definire le modalità di accesso ai dati sensibili: l’accesso non deve essere concesso a tutti e deve essere protetto con l’uso di password.
A tal fine il titolare del trattamento deve nominare gli incaricati al trattamento e deve definire le loro responsabilità.
Bisogna agire seguendo il principio di separazione dei ruoli, e fare in modo di poter tracciare sempre la cronologia degli accessi.
Valutazione d’impatto GDPR
La valutazione del rischio prevista dal GDPR è un’analisi che deve essere rinnovata periodicamente per verificare l’esistenza di potenziali pericoli per la sicurezza dei dati.
L’analisi prevede 4 fasi:
- Individuazioni dei rischi e dei pericoli, tenendo conto di ogni aspetto dell’attività: dal fattore umano, al tipo di tecnologia utilizzata
- Valutazione delle probabilità che un pericolo si realizzi
- Individuazione delle misure di prevenzione e protezione
- Attuazione delle misure.
Il ripetersi periodico dell’analisi è legato anche all’evoluzione tecnologica: il titolare del trattamento deve aggiornare i sistemi qualora l’evoluzione vada di pari passo con una maggior sicurezza dei dati.
Per agevolarne l’applicazione, l’art. 35 GDPR consente di esaminare anche “un insieme di trattamenti simili che presentano rischi elevati analoghi”.
Conservazione dei dati sensibili
Gli aspetti a cui bisogna fare attenzione sono sia il rischio di data breach, sia il rischio di perdita dei dati.
In base all’art. 32 del Regolamento Europeo il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.
Sono quindi coinvolti tutti quei sistemi che servono alla cifratura dei dati, nel caso di attacco hacker, sia i software incaricati di proteggere i sistemi operativi, quindi antivirus, firewall.
I dati sensibili dovrebbero essere conservati in una forma che permetta di identificarli solo se si utilizzano determinate procedure, affinché, anche in caso di furto, i dati rimangano anonimizzati.
Gli antivirus poi dovrebbero essere attivi h24.
Guida gratuita GDPR
39 pagine formative gratuite sul GDPR
SFOGLIA L’ANTEPRIMA
Una Guida esclusiva di 39 pagine per adeguarti al GDPR, evitare sanzioni e aumentare le tue performance legali.
Lo strumento gratuito migliore per affacciarsi al mondo del GDPR!
Monitoraggio dei dati sensibili
Più volte abbiamo detto che l’adeguamento al GDPR non viene fatto una tantum, ma è un processo. Una cosa è un adeguamento puramente formale, altra cosa è un adeguamento sostanziale, che è ciò a cui mira la normativa europea.
Il GDPR stesso puntualizza questo aspetto: le misure di sicurezza adottate devono essere sostituite con quelle più avanzate tecnologicamente, e aggiornate in base al contesto.
Le aziende devono quindi dotarsi di sistemi che periodicamente effettuano test, verifica, e valutazione periodica dell’efficacia delle misure adottate.
Uno strumento molto utile in tal senso è l‘audit. Questa analisi non può essere effettuata da chiunque: l’auditor deve essere una persona competente nella materia. Ad esempio noi, come studio, lo facciamo come attività preliminare all’adeguamento al GDPR. Poi può essere ripetuto periodicamente, a maggior ragione se l’azienda tratta dati sensibili.
Contestualizzazione del processo di adeguamento
Il processo di adeguamento al GDPR non è uguale per tutti e non è uguale in tutte le epoche. Questa è una regola che vale per il trattamento di dati personali comuni, ed è massimizzata se si trattano dati particolari, in cui le misure di sicurezza devono essere rafforzate.
I controlli sono volti a capire se l’adeguamento al GDPR è effettivo. Quindi si andrà a verificare, ad esempio, quali sono le finalità di trattamento dei dati e a verificare se in relazione a quei dati e a quelle finalità i soggetti addetti al trattamento hanno una formazione adeguata. Chi tratta dati sensibili deve essere formato. La situazione attuale con il trattamento dei dati sanitari su così larga scala, dimostra quanto questo sia importante.
E non dimentichiamo di cancellare i dati sensibili quando si esaurisce la finalità per cui sono stati raccolti.
Purtroppo, soprattutto quando i dati sono raccolti per finalità di marketing, si tende a pensare che si possano conservare all’infinito, invece non è così!
Brunella Martino
Avvocato specializzato in privacy e proprietà intellettuale con 18 anni di esperienza, DPO, arbitro in materia societaria, autrice Flaccovio Editore, formatrice aziendale, socia FederPrivacy, già componente Aiga nazionale Dipartimento Diritto delle nuove tecnologie, Founder Legal for Digital studio dell'anno per il Sole 24 Ore e Corriere della Sera
Avvocato GDPR: cinque motivi per sceglierlo e adeguare la privacy
19 Maggio 2023Quando il 25 maggio 2018 venne approvata in Italia la normativa Europea 2016/679 in riferimento al Regolamento Generale sulla Protezione dei Dati – l’ormai famoso GDPR – nell’ambiente legale fu subito caos.
Era necessario avere a disposizione nuove figure – gli Avvocati GDPR -, specializzata nella normativa sulla privacy, che desse una consulenza completa sull’interpretazione e l’applicazione della legge nei contesti aziendali.
Leggi altro
Garante Privacy blocca ChatGPT: cause, problemi e conseguenze
8 Aprile 2023Sui temi Intelligenza Artificiale, Chat-GPT e Garante della privacy abbiamo letto online molteplici notizie che affermano tutto, nulla e il contrario di tutto.
Prima di scrivere questo articolo ci siamo documentati, abbiamo preso del tempo per riflettere.
Vorremmo condividere la nostra visione del problema per darti un valore aggiunto sui temi del GDPR, della privacy e dei consensi, argomenti che sono spesso oggetto dei nostri contenuti.
Leggi altro
Quali sono i dati personali e come sono tutelati secondo il GDPR
11 Gennaio 2024Il concetto di dato personale, secondo GDPR, si riferisce a qualsiasi informazione che può essere utilizzata per identificare direttamente o indirettamente una persona.
L’obiettivo di questo articolo è offrire una guida essenziale per chiunque desideri comprendere le implicazioni legali e pratiche legate ai dati personali.