I dati personali, cosa sono e come si tutelano

Cosa sono i dati personali

Con l’espressione dato personale ci si riferisce a tutte le informazioni riferite al soggetto persona fisica quali ad esempio il nome, il cognome, l’identificativo mail, che sono di per sè  idonee a renderlo riconoscibile ovvero ad identificarlo. Da qui la necessità di garantire la riservatezza del soggetto imponendo che   il trattamento dei dati personali venga eseguito con particolare cautela, adottando misure organizzative e di sicurezza finalizzate sempre ad evitare la violazione della riservatezza  o peggio la causazione di un danno economico in capo all’interessato.

A chi appartengono

La norma parla di dati personali quindi è intuitivo associare i dati ai soggetti persone fisiche, agli individui di cui si intendono tutelare i diritti  e le libertà fondamentali. Nel nostro ordinamento coesistono sia le persone fisiche che le persone giuridiche, ovvero  gli Enti, le società, le imprese che sembrano essere escluse dalle tutele garantite dal GDPR; è un nonsenso parlare di dato personale riferendosi ad una realtà  diversa dalla persona fisica quindi i dati delle persone giuridiche non sono tutelati dal Regolamento, Le persone giuridiche non hanno diritto al rilascio dell’informativa piuttosto che all’esercizio dei diritti di cui agli artt. 15-22 del Regolamento nemmeno  nel caso in cui la denominazione aziendale contenga riferimenti espressi al titolare. Almeno questa è la situazione normativa attuale.

La persona giuridica di contro ha l’obbligo di adeguarsi alle disposizioni del GDPR  qualora effettui trattamento dati garantendo l’applicazione di tutte le misure richieste dal Regolamento.

Tipologia di dati: dati comuni e dati sensibili

La definizione di dato personale ” comune” è piuttosto generica riferendosi alle informazioni relative alla persona fisica e può essere specificata  considerando la natura delle informazioni e l’ambito sul quale incidono; per esempio l’art. 9 del Regolamento definisce espressamente i dati sensibili  come i  dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale.  Ulteriori specificazioni della categoria sono i dati genetici, i dati biometrici intesi ad identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale  o all’orientamento sessuale della persona.

La distinzione si rende necessaria poiché gli obblighi di legge per il trattamento dei dati sensibili sono più rigidi in considerazione della natura delle informazioni e dei rischi certamente più elevati connessi al trattamento di tale tipologia di dato che impongono al titolare di adottare misure di sicurezza più rigide.

In particolare i dati sanitari

Con tale espressione  si  indicano i  dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

Sembra che i dati sanitari possano essere facilmente inquadrati solo nel contesto medico; ed era così fino all’entrata in vigore del D. Lgs 101/2018 che ha riformato il Codice privacy; infatti in base alla vecchia disciplina  il trattamento  dei dati  sanitari  era una prerogativa dei soli esercenti professioni sanitarie e/o organismi sanitari pubblici ( secondo il dettato degli artt. 75 e 76 della vecchia versione del Codice privacy) quindi tutti i soggetti che non esercitavano professioni sanitarie  qualificate come tali in base alle vigenti disposizioni di legge non erano abilitati a trattare dati sanitari.

I soggetti che trattano dati sanitari

A seguito dell’abrogazione di tali disposizioni con l’entrata in vigore del D. Lgs. 101/2018 ad integrazione del Regolamento europeo il concetto di dato sanitario è diventato più ampio in relazione anche all’estensione del concetto di dato relativo alla salute  inteso come dato personale attinente alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute  (Così recita l’art 4 punto 15) del recentissimo Regolamento UE.

Di fatto non  esiste una definizione legislativa del concetto di dato sanitario; pertanto debbono applicarsi i principi elaborati dal Gruppo di Lavoro 29 (anche WP 29) che nel documento del 5 Febbraio  2015  adotta un’ interpretazione estensiva del concetto di dato sanitario, non più limitata all’ambito medico ma debba essere esteso anche ad un  contesto diverso riferendosi anche a tutti quei dati generati da dispositivi o applicazioni utilizzati per una conoscenza sul proprio stato di salute, indipendentemente dalla qualificazione di “dispositivo medico” ed indipendentemente dalla circostanza che gli stessi siano o meno utilizzati da personale medico. Per esempio possono ricomprendersi  in tale nozione  i dati relativi a differenti contesti informativi, quali, ad esempio: la frattura di un arto (CGCE-caso Lindqvist); l’utilizzo di protesi visive (occhiali e lenti a contatto); consumo di alcol o fumo; i dati sulle allergie comunicati a soggetti privati (come le compagnie aeree) o ad enti pubblici (come le scuole); l’appartenenza ad un gruppo di supporto per patologia (cancro, disturbi dell’alimentazione, dipendenze..). Si evince come gli ambiti dai quali desumere i “dati sanitari” siano ampi e variegati, e vadano da quelli lavorativi professionali (comunicazioni di giorni di malattia al proprio datore di lavoro; richieste per usufruire dei permessi annui retribuiti) a quelli amministrativi (richieste di detrazioni fiscali o altre indennità).

Obblighi connessi al trattamento di dati sensibili

Il titolare del trattamento ha obblighi più stringenti nel caso in cui si cimenti nel trattamento di dati sensibili  nelle accezioni sopra descritte che gli impongono di innalzare i livelli di sicurezza adottati stante che la violazione della riservatezza di tali dati, inseriti in contesti di particolare attenzione e cura,  assume un  livello di gravità più elevato e quindi espone l’interessato ad un  danno le cui conseguenze possono essere in linea di massima più gravi rispetto a quello conseguente la violazione di dati comuni.

Per qualsiasi chiarimento non esitare a contattarci