Trattamento dati sensibili: guida GDPR per aziende 2025
Scopri come trattare correttamente le categorie particolari di dati personali secondo il GDPR: diritti, obblighi, deroghe e casi pratici per le imprese.
Il trattamento dei dati personali è uno degli aspetti più cruciali della conformità al Regolamento (UE) 2016/679 (GDPR). Tuttavia, all’interno di questa ampia categoria esiste un sottoinsieme di informazioni ancora più delicate: si tratta delle cosiddette categorie particolari di dati personali, note anche come dati sensibili.
Questi dati richiedono una protezione rafforzata, in quanto la loro diffusione o uso improprio può comportare rischi significativi per i diritti e le libertà fondamentali degli interessati.
In questo articolo vedremo:
- Che cosa si intende per dato personale;
- Quali sono le categorie particolari di dati;
- I diritti degli interessati;
- Gli obblighi per aziende e professionisti;
- Le condizioni e le deroghe che rendono lecito il trattamento.
Cosa si intende per dato personale?
Secondo l’art. 4, comma 1 del GDPR, un dato personale è qualunque informazione riguardante una persona fisica identificata o identificabile. Un soggetto è identificabile quando può essere riconosciuto direttamente o indirettamente, ad esempio tramite:
- Nome e cognome;
- Codice fiscale o numero di matricola;
- Email, indirizzo IP, dati di localizzazione;
- Immagini, audio o impronte digitali;
- Combinazioni di più dati che, aggregati, rendono univoco il soggetto.
Importante: il GDPR tutela solo le persone fisiche (individui), non le persone giuridiche (aziende, enti, associazioni).
Quando un dato è identificabile?
Un dato è personale anche se non permette da solo l’identificazione, ma lo fa in combinazione con altri elementi. Ad esempio:
- Un indirizzo IP dinamico può essere considerato personale, se chi lo tratta ha mezzi ragionevoli per collegarlo a una persona;
- Un nickname usato su un forum, se associato a un profilo social, può diventare identificabile.
La Corte di Giustizia dell’UE ha ribadito che anche dati apparentemente “neutri” possono diventare personali se associabili a un individuo con mezzi ragionevoli.
Categorie particolari di dati personali
L’art. 9 del GDPR introduce una lista di dati che, per la loro natura, richiedono una protezione rafforzata. Si tratta di:
| Tipologia di dato sensibile | Esempi concreti |
|---|---|
| Origine razziale o etnica | Informazioni su etnia, nazionalità, tratti somatici |
| Opinioni politiche | Affiliazione a partiti o movimenti |
| Convinzioni religiose o filosofiche | Credo religioso, orientamento spirituale |
| Appartenenza sindacale | Iscrizione a sindacati, partecipazione ad attività sindacali |
| Dati genetici | Test DNA, RNA, tratti ereditari |
| Dati biometrici per identificazione univoca | Riconoscimento facciale, impronte digitali, scansioni retiniche |
| Dati relativi alla salute | Diagnosi, referti, disabilità, dati sanitari |
| Vita sessuale e orientamento sessuale | Comportamenti sessuali, identità e preferenze |
Regola generale: il trattamento di questi dati è vietato, salvo casi eccezionali e ben regolati.
️ I diritti dell’interessato
Il GDPR riconosce agli interessati specifici diritti fondamentali, validi anche (e soprattutto) per i dati sensibili. Ecco i principali:
| Diritto | Significato |
|---|---|
| Diritto di accesso | Sapere se e come i propri dati sono trattati |
| Rettifica | Correggere dati errati o non aggiornati |
| Cancellazione (“oblio”) | Richiedere la cancellazione dei dati non più necessari |
| Limitazione del trattamento | Bloccare temporaneamente l’utilizzo dei dati |
| Portabilità | Ricevere i dati in formato strutturato per trasferirli ad altro titolare |
| Opposizione | Rifiutare il trattamento per motivi legittimi |
| Revoca del consenso | Annullare in ogni momento il consenso prestato |
L’azienda ha 30 giorni di tempo per rispondere a tali richieste e deve fornire canali semplici e gratuiti per l’esercizio di questi diritti.
⚖️ Obblighi di titolari e responsabili
Ogni soggetto che tratta dati personali sensibili ricopre uno specifico ruolo giuridico nel GDPR:
| Ruolo | Obblighi principali |
|---|---|
| Titolare del trattamento | Determina finalità e mezzi del trattamento, garantisce liceità, trasparenza e sicurezza |
| Responsabile del trattamento | Opera su istruzioni del titolare, implementa misure tecniche e organizzative adeguate |
Entrambi sono tenuti a valutare i rischi, documentare i trattamenti, notificare eventuali violazioni e formare il personale.
✅ Quando è lecito trattare dati sensibili?
Il GDPR consente il trattamento dei dati sensibili solo in presenza di specifiche basi giuridiche. L’art. 9, par. 2 del regolamento elenca i casi in cui il trattamento è ammesso:
| Lettera | Deroga al divieto | Esempi applicativi |
|---|---|---|
| a) | Consenso esplicito | Iscrizione volontaria a un’associazione religiosa |
| b) | Obblighi e diritti in ambito lavorativo | Certificati medici richiesti dal datore per motivi di salute |
| c) | Interesse vitale dell’interessato | Trattamento d’urgenza in ospedale |
| d) | Attività di fondazioni/associazioni no profit | Dati trattati internamente in associazioni religiose |
| e) | Dati resi pubblici dall’interessato | Post su social network con dettagli sanitari |
| f) | Difesa in sede giudiziaria | Utilizzo di documenti medici in un processo |
| g) | Interesse pubblico rilevante secondo il diritto UE | Registri sanitari pubblici |
| h) | Medicina preventiva, diagnosi, assistenza sanitaria | Cartelle cliniche, referti medici |
| i) | Sanità pubblica | Sorveglianza epidemiologica durante un’epidemia |
| j) | Ricerca scientifica o statistica | Studi universitari su dati sanitari, con adeguate misure di sicurezza |
☑️ In ogni caso, devono essere garantiti criteri di minimizzazione, sicurezza e necessità.
Dati non personali: cosa sono?
I dati anonimizzati o aggregati, che non consentono in alcun modo l’identificazione dell’interessato, non rientrano nel GDPR. Esempi:
- Dati statistici non riconducibili a soggetti;
- Report aziendali su preferenze di consumo generiche.
Tuttavia, la pseudonimizzazione (es. mascheratura dei dati) non esclude l’applicabilità del GDPR se la persona può essere reidentificata.
Conclusioni
Il trattamento dei dati appartenenti a categorie particolari è un’operazione ad alto rischio e deve avvenire solo in presenza di solide basi giuridiche, garantendo sempre la tutela degli interessati. La conoscenza approfondita della normativa è fondamentale per:
- Evitare sanzioni;
- Mantenere la fiducia dei clienti;
- Costruire una cultura della privacy aziendale.
LDG Service supporta le aziende nell’implementazione di sistemi conformi al GDPR, offrendo consulenza, formazione e strumenti pratici per la gestione responsabile dei dati personali.
Fonti e risorse utili:
