Cosa sono i dati sensibili nel GDPR?

L'analisi dell'articolo 9, paragrafo 1, del GDPR dimostra che le "categorie particolari di dati personali"—comunemente definite dati personali sensibili—sono soggette a divieti espliciti di trattamento, a meno che non si applichi una delle eccezioni previste dall'articolo 9, paragrafo 2 (Voigt & Von dem Bussche, 2017). I risultati principali identificano i seguenti come dati sensibili ai sensi del GDPR:

• Origine razziale o etnica
• Opinioni politiche
• Convinzioni religiose o filosofiche
• Appartenenza sindacale
• Dati genetici
• Dati biometrici per l'identificazione univoca
• Dati relativi alla salute
• Dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica

Il trattamento di questi tipi di dati è fondamentalmente limitato. I risultati indicano che i titolari del trattamento devono garantire che:

• Sia ottenuto il consenso esplicito (a meno che non si applichi un'altra eccezione)
• Il trattamento sia strettamente limitato alle finalità indicate nell'articolo 9, paragrafo 2
• Siano implementate misure di sicurezza aggiuntive, tra cui la crittografia e la pseudonimizzazione, per proteggere questi tipi di dati. 

La discussione evidenzia inoltre che il rischio di danno in caso di divulgazione non autorizzata è notevolmente più elevato per i dati sensibili. Questo rischio è alla base del requisito del GDPR di "maggiore sicurezza e requisiti speciali di trattamento" (Voigt & Von dem Bussche, 2017). Ad esempio, i dati biometrici e genetici non solo identificano gli individui, ma possono anche rivelare relazioni familiari e predisposizioni, amplificando i rischi per la privacy (Kuner et al., 2020).

In sintesi, l'approccio del GDPR ai dati personali sensibili è caratterizzato da:

• Divieti severi sul trattamento senza una base giuridica qualificata
• Controlli di sicurezza obbligatori adeguati alla natura critica dei dati
• Obblighi speciali di trasparenza e responsabilità da parte dei titolari del trattamento

La ricerca mostra che le mancate conformità che coinvolgono dati personali sensibili comportano sanzioni significativamente più elevate e rischi per la reputazione.