Ce sunt datele sensibile în GDPR?

Analiza articolului 9(1) din GDPR demonstrează că „categoriile speciale de date cu caracter personal”—denumite în mod obișnuit date cu caracter personal sensibile—sunt supuse unor interdicții explicite de prelucrare, cu excepția cazului în care se aplică una dintre excepțiile prevăzute la articolul 9(2) (Voigt & Von dem Bussche, 2017). Principalele constatări identifică următoarele date ca fiind sensibile în conformitate cu GDPR:

• Originea rasială sau etnică
• Opiniile politice
• Convingerile religioase sau filosofice
• Apartenența la sindicate
• Datele genetice
• Datele biometrice pentru identificarea unică
• Datele privind sănătatea
• Datele privind viața sexuală sau orientarea sexuală a unei persoane fizice

Prelucrarea acestor tipuri de date este fundamental restricționată. Rezultatele indică faptul că operatorii de date trebuie să se asigure că:

• Se obține consimțământul explicit (cu excepția cazului în care se aplică o altă excepție)
• Prelucrarea este strict limitată la scopurile menționate în articolul 9(2)
• Sunt implementate măsuri de securitate suplimentare, inclusiv criptarea și pseudonimizarea, pentru a proteja aceste tipuri de date. 

Discuția evidențiază în plus că riscul de vătămare în cazul unei divulgări neautorizate este semnificativ mai mare pentru datele sensibile. Acest risc stă la baza cerinței GDPR pentru „securitate sporită și cerințe speciale de prelucrare” (Voigt & Von dem Bussche, 2017). De exemplu, datele biometrice și genetice nu numai că identifică persoanele, dar pot dezvălui și relații de familie și predispoziții, amplificând riscurile de confidențialitate (Kuner et al., 2020).

În concluzie, abordarea GDPR cu privire la datele cu caracter personal sensibile se caracterizează prin:

• Interdicții stricte privind prelucrarea fără un temei juridic corespunzător
• Controale de securitate obligatorii adaptate la natura critică a datelor
• Obligații speciale de transparență și responsabilitate pentru operatorii de date

Cercetările arată că nerespectarea conformității în ceea ce privește datele cu caracter personal sensibile atrage sancțiuni de executare semnificativ mai mari și riscuri reputaționale.