Il nuovo Regolamento UE sulla privacy riprende i concetti già presenti nel Dlgs 196/03 relativamente ai dati sensibili ed ai dati relativi alla salute.
Lo fa nell’Articolo 4 Definizioni
12) “dati relativi alla salute“: i dati attinenti alla salute fisica o mentale di una persona, che rivelano informazioni relative al suo stato di salute;
e nell’ Articolo 9 Trattamento di categorie particolari di dati personali
È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, come pure trattare dati genetici o dati relativi alla salute e alla vita sessuale (…).
Il confronto con l’attuale definizione del Dlgs 196/03 evidenzia sia delle differenze, sia delle affinità.
Art.4 Definizioni 1. Ai fini del presente codice si intende per:
d) “dati sensibili”, i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
La nuova definizione appare più circostanziata rispetto a quella attuale italiana, che introducendo nel concetto di dato sensibili le convinzioni di altro genere apre il campo a rilevanti estensioni in quanto applicabile a qualunque convinzione.
Permane invece l’uso del termine rivelino, per l’individuazione di tali categorie di dati.
Il concetto di rivelino o l’ancora più esteso concetto di idonei a rivelare della attuale normativa italiana è radicalmente diverso dal concetto di relativi, che il Regolamento usa nel caso dei dati relativi alla salute.
L’attuale definizione italiana di dato sensibile comprende infatti in via estensiva non solo una informazione precisa e circostanziata (ad esempio essere iscritto ad uno specifico sindacato), ma anche una informazione molto più generica (ad esempio essere iscritto ad un sindacato, come si desume dalla trattenuta sulla busta paga).
Questa linea non è stata invece mantenuta per quanto attiene i dati relativi alla salute, che appunto nella nuova formulazione sono dati relativi, mentre nell’attuale definizione italiana sono comunque dati idonei a rivelare, con tutte le conseguenze estensive dal caso.
Al riguardo il Regolamento definisce puntualmente una serie di possibili dati relativi alla salute.
Infatti nel considerando (26) recita:
Nei dati personali relativi alla salute dovrebbero rientrare (…) i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse alla salute fisica o mentale passata, presente o futura dell’interessato, comprese le informazioni sulle richieste di prestazione di servizi sanitari (…), un numero, simbolo o elemento specifico attribuito per identificare l’interessato in modo univoco a fini sanitari, (…) le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; (…) qualsiasi informazione riguardante, ad esempio, una malattia, l’invalidità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o l’effettivo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, ad esempio un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro.
Il Regolamento introduce anche la definizione di 2 nuove categorie di dati che nel Dlgs 196/03 non erano citati:
(2) “dati genetici“: tutti i dati personali riguardanti le caratteristiche genetiche di una persona fisica che siano ereditarie o acquisite (…) che forniscono informazioni uniche sulla fisionomia o sulla salute dell’individuo considerato, ottenuti in particolare dall’analisi di un campione biologico della persona in questione;
11) “dati biometrici“: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i rilievi dattiloscopici;
Al riguardo, aveva provveduto il Garante per la protezione dei dati personali; in particolare per quanto attiene i dati genetici:
Autorizzazione al trattamento dei dati genetici – 22 febbraio 2007* Gazzetta Ufficiale n. 65 del 19 marzo 2000
a) dato genetico, il dato che, indipendentemente dalla tipologia, riguarda la costituzione genotipica di un individuo, ovvero i caratteri genetici trasmissibili nell’ambito di un gruppo di individui legati da vincoli di parentela;
e per quanto attiene i dati biometrici:
Provvedimento generale prescrittivo in tema di biometria – 12 novembre 2014
(Pubblicato sulla Gazzetta Ufficiale n. 280 del 2 dicembre 2014)
Sono considerati dati biometrici nel presente contesto, coerentemente con i pareri del WP29, i campioni biometrici, i modelli biometrici, i riferimenti biometrici e ogni altro dato ricavato con procedimento informatico da caratteristiche biometriche e che possa essere ricondotto, anche tramite interconnessione ad altre banche dati, a un interessato individuato o individuabile.
Molta attenzione va quindi dedicata alla interpretazione delle nuove definizioni per individuare correttamente il proprio perimetro di riferimento.