Con l’entrata in vigore del GDPR, è stato introdotto il concetto di “dato particolare” (art. 9 paragrafo 1 del GDPR) che dovrebbe sostituire il vecchio termine usato dalla 196/2003 “dato sensibile”. Tuttavia i due termini non sono veri e propri sinonimi e presentano alcune differenze.
Definizione di “dato sensibile” nel d.lgs 196/2003
Nel vecchio codice privacy, all’art.4 comma 1 lettera d viene resa la definizione di “dato sensibile”:
“d)”dati sensibili”, i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;”
Definizione di “dato particolare” nel Regolamento UE 679/2016 (GDPR)
Sebbene nell’articolo 4 “Definizioni” del Regolamento non esista la definizione di “dato particolare”, questo concetto viene espresso successivamente nell’art. 9 “Trattamento di categorie particolari di dati” e precisamente al paragrafo 1: “ È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.”
Cosa cambia?
Analizzando le due definizioni possiamo dire che i dati particolari del Regolamento Europeo GDPR sono i vecchi dati sensibili arricchiti dai dati genetici e quelli biometrici.
Le disposizioni del D.Lgs 101/2018
Il D.Lgs 101/2018 (di cui abbiamo parlato in questo articolo https://www.compet-e.com/il-decreto-legislativo-101-2018-litalia-verso-il-gdpr/ ), entrato in vigore lo scorso settembre, ha avuto il compito di emendare il d.lgs. 196/2003 per comprendere quali punti sono stati effettivamente superati e adeguare gli altri al nuovo Regolamento Europeo.
Con l’articolo 22 di tale decreto si dichiara che:
“A decorrere dal 25 maggio 2018 le espressioni «dati sensibili» e «dati giudiziari» utilizzate ai sensi dell’articolo 4, comma 1, lettere d) ed e), del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, ovunque ricorrano, si intendono riferite, rispettivamente, alle categorie particolari di dati di cui all’articolo 9 del Regolamento (UE) 2016/679 e ai dati di cui all’articolo 10 del medesimo regolamento.”
Ciò significa che l’utilizzo del termine “dato sensibile” è consentito, ma deve essere chiaro che la definizione cambia, poiché dal 25 maggio 2018 nella categoria di dati sensibili non rientrano solo quelli definiti nell’art. 4 comma 1 lettera d del d.lgs 196/2003 ma ci si riferirà direttamente alla definizione del Regolamento resa all’art. 9 paragrafo 1 . Lo stesso discorso varrà per i “dati giudiziari”, la cui nuova definizione sarà quella resa nell’art. 10 del Regolamento Europeo GDPR “Trattamento dei dati personali relativi a condanne penali e reati”.