Che fine hanno fatto i dati sensibili con l’avvento del GDPR?
Partiamo dal principio…C’erano una volta i dati sensibili. Erano nel Codice Privacy, ma ancor prima già figuravano nella Legge 31 dicembre 1996, n. 675 che tutt’ora troviamo invocata in alcune informative fin troppo old school o stravaganti firme e-mail.
Momento Superquark: la Direttiva 95/46/CE richiamava espressamente dati di natura delicata (considerando n. 34) e le categorie particolari di dati (art. 8), che all’interno della normativa italiana sono diventati dati sensibili:
dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale (art. 22 L. 675/96 e art. 4 D.lgs. 196/03)
andando così ad individuare quelle categorie di dati che possono avere un impatto considerevole nei confronti dell’interessato. Insomma: sono quella tipologia di dati personali che naturalmente comporta un rischio maggiormente elevato per la vita privata e i diritti fondamentali degli interessati.
Con il GDPR c’è un ritorno al nomen originario della Direttiva e tornano così le categorie particolari di dati:
dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (art. 9 GDPR)
ma la differenza non è soltanto cosmetica, dal momento che c’è un’estensione della tipologia dei dati meritevoli di specifica protezione. Figurano infatti anche i dati relativi all’orientamento sessuale, dati genetici e dati biometrici.
E quindi i dati sensibili sono scomparsi? Niente affatto!
Dove sono nel GDPR i dati sensibili?
All’interno del GDPR è possibile trovare solo nei considerando il riferimento ai dati sensibili, sia come sinonimo delle categorie particolari di dati personali:
Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali («dati sensibili»). (considerando n. 10 GDPR)
sia come parametro che fa riferimento ai rischi inerenti dei trattamenti:
Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. (considerando n. 51 GDPR)
(…) che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità (considerando n. 91 GDPR)
Avete presente il risk-based approach di cui parlano i parrucconi impomatati ai convegni? Sì, proprio la formuletta che il più delle volte viene buttata là senza spiegarne il significato in concreto. Praticamente si trova subito dopo accountability come frequenza d’impiego.
Ecco: a livello pratico, nel momento in cui si deve andare a valutare la natura del trattamento per valutare l’adeguatezza delle misure tecniche e organizzative si deve fare riferimento anche alla tipologia di dati coinvolti e alla loro sensibilità.
Questione di rischio.
La sensibilità del dato è dunque un elemento da considerare come un fattore di rischio. Questa è la conclusione che si ricava quando viene citata come uno dei criteri di rischio elevato dei trattamenti all’interno delle Linee guida WP248 in materia di valutazione d’impatto sulla protezione dei dati. O DPIA per gli amici anglofoni.
Ma il rischio è rischio e non è limitato esclusivamente all’obbligo di svolgere una DPIA (questa la metto per gli amici anglofoni). Anzi, deve essere continuamente valutato per determinare le misure da adottare per garantire conformità e sicurezza dei trattamenti in corso o in fase di progettazione. Se si vuole essere un po’ pessimisti, consente di comprendere quali azioni occorre adottare nelle ipotesi di violazione dei dati personali.
E per farlo, forse è bene saper classificare i dati. E farlo secondo la loro sensibilità.