Dati sensibili: cosa dice il GDPR?
Nel paragrafo 1 articolo 9 del GDPR (General Data Protection Regulation) c’è una definizione di dati sensibili. Questa definizione è affiancata al divieto di trattamento degli stessi:
È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Nel paragrafo 2, tuttavia, vengono elencate le circostanze in cui il trattamento dei cosiddetti dati sensibili è permesso.
Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;
c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;
e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;
j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Dati sensibili
Come accennato precedentemente, citando il regolamento Europeo, con dati sensibili ci si riferisce a ciò che di più intimo e privato si riferisce ad una persona. Delle categorie di dati citati dall’articolo, possiamo estrapolare due sottocategorie (vita sessuale e salute) che sono considerate supersensibili.
Stando a quanto riportato dal GDPR, in questa categoria rientrano anche i dati genetici e biometrici che hanno lo scopo di identificare una persona.
Dati sensibili: dati identificativi
Tutto ciò che permette l’identificazione di una persona (dati identificativi) vengono dette PII (PII, Personally identifiable information) e l’insieme racchiude: nome e cognome, indirizzo mail. indirizzo di casa, numero di passaporto, numero di targa del veicolo, numero identificativo personale, numero di patente, numero di passaporto, indirizzo IP (quando collegato ad altri dati), numero di carta di credito, data di nascita, volto, impronte digitali o calligrafia, luogo di nascita, identità digitale, account name o nickname, numero di telefonoe informazioni genetiche.
Dati sensibili: dati anonimi e pseudo-anonimi
I dati possono essere anonimizzati, questi dati vengono privati di ogni elemento qualificante come identificativo. Non sono quindi assoggettati alla normativa dei dati sensibili in quanto spogliati di identificatività.
Un dato pseudo-anonimo, invece, ha il suo elemento identificativo sostituito con un altro elemento che può essere una stringa di caratteri o un nickname. L’identificazione così risulta essere molto difficoltosa e diviene necessaria una chiave di decriptazione.
Questi, a differenza dei precedenti, vengono considerati come dati personali. La motivazione risiede nel fatto che – attraverso un altro dato – è possibile risalire all’interessato.
Dati sensibili: Swascan e il GDPR
Per far fronte al GDPR, Swascan offre prezioso materiale informativo e pratico in termini di Self-Assessment. Sono disponibili: l’ infografica registro delle attività di trattamento e l’articolo sul registro delle attività oltre a quello relativo al trattamento dati . Inoltre sono disponibili materiali riguardanti il DPO oltre ad un’ infografica DPO dedicata. Molto importante è l’articolo della norma UNI 11697:2017 inerente ai profili professionali regolamentati.
Oltre ad una guida GDPR , è disponibile una dettagliata documentazione riguardo ad uno dei nostri fondatori: Raoul Chiesa ( intervista Raoul Chiesa e video Raoul Chiesa ).
In modo da garantire al tuo business lo strumento più idoneo, Swascan ha sviluppato una speciale piattaforma di CyberSecurity. In Cloud, SaaS e Pay for Use. Puoi consultare immediatamente la nostra brochure: Piattaforma di CyberSecurity e dare un’occhiata più approfondita ai nostri servizi. I nostri quattro servizi coprono ogni bisogno in termini di gestione del rischio e valutazione periodica. In poche parole, se hai bisogno di capire in quali aree concentrare le risorse aziendali gli strumenti ideali sono il Vulnerability Assessment, Network Scan, Code Review e il GDPR Assessment ( infografica GDPR ): la nostra piattaforma è al 100% GDPR compliant e permette di valutare il livello di Compliance della propria azienda.