Senza alcuna intenzione di voler trattare in modo organico e completo la materia, in questo breve articolo preme fare una riflessione sulle modalità di trattamento dei dati che, fino a poco tempo fa, venivano definiti “sensibili” (dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale).

L’art. 22, comma 2 del D.lgs. 101/2018 prevede che, a decorrere dal 25 maggio 2018, le espressioni “dati sensibili” e “dati giudiziari”, ovunque ricorrano, si intendono riferite, rispettivamente, alle categorie particolari di dati di cui all’art. 9 e 10 del Regolamento (UE) 2016/679.

L’art. 9 del GDPR prevede che “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.” Tuttavia, ai sensi del successivo par. 2 dello stesso articolo, sono previste una serie di circostanze al verificarsi delle quali tale divieto non si applica. Prima fra tutte è quella in cui l’interessato abbia prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche.

Quindi, nella sostanza, i dati indicati all’art. 9 del GDPR (quelli che in precedenza venivano chiamati “dati sensibili”) possono essere sempre trattati con il consenso esplicito dell’interessato, salvo nei casi in cui il diritto dell’Unione o degli Stati membri disponga esplicitamente che l’interessato non può revocare il divieto di cui sopra.

A livello nazionale, il nuovo art. 2-septies del D.lgs. 196/2003 richiama l’art. 9 del GDPR, prevedendo che i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni previste dal GDPR, ma stabilisce anche che il trattamento deve avvenire in conformità alle misure di garanzia disposte dal Garante della privacy, misure che, per il momento, non sono state ancora adottate (in particolare, il Garante dovrà precisare le misure di sicurezza da adottare, incluse quelle tecniche di cifratura e di pseudonimizzazione, le misure di minimizzazione, le specifiche modalità di accesso selettivo ai dati, nonché eventuali ulteriori misure volte a garantire i diritti degli interessati).

L’art. 27, comma 1, lett. a), n. 2), del D.lgs. 101/2018 ha abrogato, fra l’altro, l’intero Titolo III del D.lgs. 196/2003; pertanto, anche l’art. 26, che prevedeva che i dati sensibili potevano essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante della privacy, è stato abrogato. Quindi, allo stato attuale, l’autorizzazione preventiva del Garante per il trattamento dei dati indicati all’art. 9 del GDPR (gli ex “dati sensibili”) non è più richiesta. Con il nuovo regolamento europeo, infatti, l’Autorità di controllo interviene principalmente ex post.

Da segnalare anche che l’art. 24, comma 1 del D.lgs. 101/2018 stabilisce che le disposizioni del decreto che, mediante abrogazione, sostituiscono sanzioni penali con le sanzioni amministrative previste dal GDPR, si applicano anche alle violazioni commesse anteriormente alla data di entrata in vigore del decreto stesso, sempre che il procedimento penale non sia stato definito con sentenza o con decreto divenuti irrevocabili. Ai sensi del successivo comma 3, ai fatti commessi prima della data di entrata in vigore del D.lgs. 101/2018 non può essere applicata una sanzione amministrativa pecuniaria per un importo superiore al massimo della pena originariamente prevista o inflitta per il reato, tenuto conto del criterio di ragguaglio di cui all’art. 135 del codice penale. A tali fatti non si applicano le sanzioni amministrative accessorie introdotte dal D.lgs. 101/2018, salvo che le stesse sostituiscano corrispondenti pene accessorie.

Infine, si richiama l’attenzione sul fatto che tutta la disciplina comunitaria e nazionale ha l’obiettivo di tutelare i dati delle persone fisiche. I dati delle persone giuridiche, degli enti e delle associazioni non sono quindi oggetto di tutela. E’ tuttavia necessario fare attenzione ai dati delle persone fisiche che, in qualità di dipendenti, collaboratori, rappresentanti legali, ecc. di organizzazioni di qualunque tipo, possono finire negli archivi di un’azienda.

L'articolo Le modalità di trattamento dei “dati sensibili” dopo l’adeguamento del D.lgs. 196/2003 alla nuova disciplina del GDPR proviene da Alessandro Manetti - Dottore Commercialista e Revisore Legale.