Nel comune sentire, con il termine dati sensibili, si fa concettualmente riferimento ad informazioni personali che si ritengono particolarmente “delicate” o “riservate” e che non si desidera circolino pubblicamente o vengano liberamente conosciute da soggetti non autorizzati.
Questa pubblica concezione di dati sensibili, tuttavia, non coincide con la definizione di legge di dati personali sensibili così come prevista dal Codice Privacy.
L’art. 4 del D.lgs. 196/03 (Codice Privacy), infatti, definisce come “dati sensibili” solo i dati personali idonei a rivelare:
- origine razziale ed etnica
- convinzioni religiose, filosofiche o di altro genere
- opinioni politiche
- adesione a partiti e sindacati
- adesione ad associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale
- stato di salute
- vita sessuale
L’elenco delle fattispecie considerate dati sensibili dal Codice Privacy, è a numero “chiuso” in quanto non possono essere considerati dati sensibili, informazioni non direttamente o indirettamente ricomprese nella definizione dell’art. 4 del D.lgs. 196/03.
Tuttavia, perché un’informazione possa essere considerata dato sensibile è sufficiente che risulti idonea a rivelare una delle fattispecie previste dall’art. 4 del D.lgs. 196/03.
A titolo esemplificativo, devono essere considerati dati sensibili: le trattenute sindacali, le prescrizioni mediche, l’iscrizione ad un partito politico; mentre non possono essere fatte rientrare nel novero dei dati sensibili: il reddito, le coordinate bancarie, il numero di carta di credito…
I dati sensibili per loro natura presentano dei rischi specifici per l’interessato, in quanto potrebbero essere utilizzati per finalità discriminatorie o diverse da quelle autorizzate dall’interessato.
Per tale motivo i dati sensibili hanno bisogno di un livello di protezione maggiore rispetto ai dati personali comuni e necessitano di particolari accorgimenti per il loro trattamento.
In particolare l’art. 26 del D.lgs. 196/03 prevede che i soggetti privati possano trattare dati sensibili solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, mentre l’art. 20 del D.lgs. 196/03 dispone che i soggetti pubblici possano trattare dati sensibili solo se autorizzati da un’espressa disposizione di legge.
Essendo la violazione delle suddette disposizioni del Codice Privacy considerata reato e punita con una sanzione penale di reclusione da uno a tre anni, è necessario che ogni Titolare del Trattamento presti particolare attenzione alle modalità di raccolta dei dati personali in azienda al fine di identificare e classificare a priori i possibili dati sensibili e definire idonee procedure aziendali e specifiche misure di sicurezza per il loro trattamento.
Dr. Eric Falzone – eLaw Compliance Advisor – Partner EUCS
Dr. Matteo Angi – Legal Compliance Advisor – Consulente EUCS
