Il GDPR tutela i dati personali delle persone fisiche, ma nella macro-categoria dei dati personali vi sono dei sottoinsiemi di dati che devono essere tutelati in modo più attento.
La macro-categoria dei dati personali, come definiti dal Regolamento UE, risponde alla definizione di “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.
In questa definizione rientrano tutti i dati personali, dal nome allo stato di salute, ma quando si parla di dati personali di solito si fa riferimento ai soli dati quali il nome, il cognome, la data di nascita, etc, che altro non sono che i vecchi dati “comuni”, senza includere i dati particolari, giudiziari, genetici e biometrici.
Dati personali: i dati particolari [Privacy]
Nell’insieme della famiglia dei dati personali, quali sono allora i dati particolari? Sarebbe più corretto chiamarli particolari categorie di dati in quanto si tratta sempre di dati personali, ma di quei dati che devono essere trattati in modo più attento. Anzi, addirittura il GDPR ne vieta il trattamento (art 9.1) salvo non si rientri nelle eccezioni previste dallo stesso articolo al secondo paragrafo (ossia le basi giuridiche che né permettono il trattamento).
All’interno di questa sotto-categoria rientrano anche i dati genetici e biometrici, ossia i “dati relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione” e i “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche o comportamentali di una persona fisica che né consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”
Qualche esempio per capire meglio. Solitamente quando ci si riferisce ai dati particolari, il riferimento va ai dati relativi alla salute, quindi senza pensare troppo lontano, se una persona ha contratto il Covid19, oppure se ha la febbre, al contrario anche sapere che una persona sta bene è un dato relativo alla salute.
I dati genetici, invece, riguardano, proprio come dice la parola stessa, le caratteristiche genetiche di ognuno (quindi sono quelli che si possono ottenere tramite esami specifici), ovvero se è presente nel nostro DNA un gene particolare.
I dati biometrici, infine, fanno riferimento a caratteristiche fisiche o comportamentali di un soggetto, i più semplici sono le impronte digitali e i caratteri del volto, spesso utilizzati per sbloccare i nostri dispositivi.
Dati personali: i dati giudiziari [Privacy]
Si tratta di tutti i “dati personali relativi a condanne penali e ai reati o a connesse misure di sicurezza” (art 10 GDPR). Questi dati, come afferma lo stesso articolo, possono essere trattati sulla base dell’art. 6.1, ma tale trattamento può avvenire solamente se fatto sotto il controllo dell’autorità pubblica o se tale trattamento è autorizzato dal diritto dell’UE o degli Stati membri che, in ogni caso, prevedano garanzie appropriate per i diritti e le libertà degli interessati.
Qualche esempio per capire meglio. Il certificato del casellario giudiziario o il certificato dei carichi pendenti, che contengono i precedenti penali e civili dei cittadini non possono essere richiesti da tutti, ma solo da alcune categorie di persone.
Il trattamento dei dati personali [Privacy]
Per quanto possa sembrare semplice, il trattamento dei dati personali (in generale) deve sottostare a regole specifiche. In particolare tali dati non possono essere trattati se non nei casi previsti dagli art. 6 e 9 del GDPR, i quali determinano le basi giuridiche sulle quali il titolare del trattamento dovrà basare i propri trattamenti.
Nello specifico, l’art 6 “Liceità del trattamento” prevede che il trattamento sia lecito esclusivamente nei 6 casi (basi giuridiche) individuati, tra i quali rientrano il consenso, gli obblighi contrattuali e gli obblighi legali; al di fuori di questi casi, che comunque coprono ogni aspetto, il trattamento non può definirsi lecito.
Con riguardo alle categorie particolari di dati, quindi dati relativi alla salute, i dati biometrici e genetici, la questione è un po’ più delicata. Vista la loro natura strettamente intima il Regolamento ne vieta il trattamento, ma vi sono delle eccezioni, che sono previste dallo stesso art. 9 al secondo paragrafo.
Tali eccezioni, che sono le basi giuridiche su cui potrà basarsi il trattamento, sono diverse da quelle previste dall’art 6 (con esclusione del consenso, presente in entrambi gli articoli) e, in particolare, alcune di esse prevedono che il trattamento sia fatto da soggetti qualificati (come il medico) o dallo Stato (come nel caso della sanità pubblica).
Un esempio per capire meglio. Con riferimento in generale alle categorie particolari di dati, il trattamento corretto è quello del medico di famiglia, che deve conoscere della vostra situazione e del vostro storico sulla salute; nel caso di dati genetici un corretto trattamento potrebbe essere fatto dall’istituto medico al fine di stabilire quale percentuale vi sia in riferimento a una determinata malattia o se questa è stata trasmessa ai discendenti.
Dati personali: è possibile trattare i dati particolari?
La risposta breve è sì.
La risposta più lunga, invece, dice che bisogna considerare molti fattori. In altri termini, per poter trattare i dati diversi da quelli comuni è necessario rientrare in una delle categorie di eccezione previste dall’art. 9.2, mentre per i dati giudiziari è necessario che siano trattati sotto il controllo dell’autorità pubblica (ossia lo Stato) o che lo Stato o il diritto dell’UE permetta il loro trattamento.
Riccardo Ajassa è Dottore in giurisprudenza. Dal 2018 è Consulente della privacy e studia la normativa in materia di protezione dei dati personali. Dopo aver visto moltissime realtà e aumentato la sua esperienza in campo privacy, da alcuni mesi si sta specializzando anche in tema di cyber security.