I dati personali e i dati sensibili sono spesso presenti nei documenti che conserviamo ogni giorno. Comprendere la differenza è fondamentale per gestirli correttamente secondo il GDPR.
Il Regolamento Europeo sulla Protezione dei Dati, stabilisce che tutte le informazioni che permettono di identificare una persona sono soggette a tutela. Questa tutela non è sempre uguale: diventa più rigorosa a seconda del tipo di dato trattato.
In particolare, è fondamentale distinguere tra dati personali e dati sensibili (oggi definiti “categorie particolari di dati”), perché a ciascuna tipologia corrispondono obblighi diversi in termini di gestione, conservazione e distruzione.
Cosa sono i dati personali?
Un dato personale è qualsiasi informazione che identifica, o rende identificabile, una persona fisica. Rientrano in questa categoria, ad esempio:
- nome e cognome
- indirizzo e-mail
- numero di telefono
- codice fiscale
- indirizzo IP
Anche un insieme di informazioni, se combinato, può rendere identificabile una persona e quindi essere considerato dato personale. Gestire dati personali significa assumersi una responsabilità: chi li raccoglie deve – informare chiaramente – l’interessato su:
- come verranno utilizzati
- per quali finalità (ad esempio marketing o gestione del servizio)
- se verranno condivisi con terze parti
Il tema del consenso dei dati personali
Il consenso per l’utilizzo dei dati personali, non è sempre necessario: il GDPR prevede infatti diverse basi giuridiche per il trattamento dei dati. In quei casi che cponvolgono , ad esempio, per obblighi di legge o esecuzione di contratti, i dati possono essere utilizzati senza richiedere un consenso esplicito. Quando invece, i dati vengono utilizzati per attività di marketing o profilazione il consenso è richiesto e deve essere:
- libero
- informato
- specifico
- dimostrabile
Il consenso può essere raccolto in diversi modi:
- firma su modulo cartaceo
- spunta su un sito web
- conferma tramite email
- registrazione digitale
Ciò che conta davvero, secondo il GDPR, è che sia sempre possibile dimostrare che il consenso è stato dato.
Esempi concreti di dati personali nei documenti
Nella vita quotidiana, i dati personali sono presenti in molti documenti, spesso conservati senza pensarci:
bollette e fatture
contratti di fornitura
buste paga
documenti di identità (anche in copia)
email stampate
moduli compilati
Questi documenti, anche quando non servono più, continuano a contenere informazioni identificative e devono essere gestiti con attenzione.
Conservazione e distruzione dei dati
Il GDPR stabilisce anche un principio fondamentale: i dati personali non possono essere conservati per sempre. Devono essere:
conservati solo per il tempo necessario alle finalità per cui sono stati raccolti
protetti durante tutto il loro ciclo di vita
eliminati in modo sicuro quando non sono più necessari ( qui la tabella scadenze)
Questo ultimo punto è spesso sottovalutato: la fase di distruzione è parte integrante della tutela dei dati. Un documento che contiene dati personali non smette di essere delicato quando non serve più: diventa, anzi, un potenziale rischio se non viene smaltito correttamente.
Cosa sono i dati sensibili?
I dati sensibili (oggi definiti “categorie particolari di dati” dal Regolamento UE 2016/679 – GDPR) sono una particolare tipologia di dati personali che riguardano gli aspetti più intimi della vita di una persona.
Si tratta di informazioni che, se divulgate o utilizzate in modo improprio, possono esporre un individuo a discriminazioni o compromettere la sua libertà personale. Rientrano in questa categoria i dati che rivelano:
l’origine razziale o etnica
le opinioni politiche
le convinzioni religiose o filosofiche
l’appartenenza sindacale
i dati relativi alla salute
la vita o l’orientamento sessuale
i dati genetici
i dati biometrici (come impronte digitali o riconoscimento facciale)
Perché i dati sensibili richiedono una tutela maggiore
Proprio per la loro natura particolarmente delicata, il GDPR stabilisce che il trattamento dei dati sensibili è vietato, salvo specifiche eccezioni previste dalla legge.
In molti casi è necessario il consenso esplicito dell’interessato, ma il trattamento può essere consentito anche in assenza di consenso quando ricorrono determinate condizioni, ad esempio:
obblighi di legge
finalità sanitarie e assistenziali
motivi di interesse pubblico rilevante
difesa di un diritto in sede giudiziaria
Questo significa che i dati sensibili sono soggetti a regole più stringenti rispetto ai dati personali “comuni”, sia nella fase di raccolta che in quella di gestione e conservazione.
Esempi concreti di documenti con dati sensibili
Nella pratica quotidiana, i dati sensibili sono presenti in molti documenti, spesso conservati in archivi domestici o aziendali:
referti medici e cartelle cliniche
certificati di malattia o invalidità
documenti sindacali
pratiche assicurative con dati sanitari
documentazione giudiziaria
moduli con indicazione di appartenenze religiose o associative
Questi documenti richiedono un livello di attenzione ancora maggiore, proprio per la natura delle informazioni che contengono.
Conservazione e distruzione: una fase spesso sottovalutata
I dati sensibili, come tutti i dati personali, non possono essere conservati indefinitamente.
Devono essere:
protetti durante tutto il loro ciclo di vita
accessibili solo a soggetti autorizzati
eliminati in modo sicuro quando non sono più necessari
La fase di distruzione è particolarmente critica: un documento con dati sensibili, se smaltito in modo improprio, può esporre a rischi concreti per la persona interessata. I dati raccontano molto più di quanto immaginiamo: abitudini, scelte, aspetti personali della vita.Per questo proteggerli non significa solo conservarli con attenzione, ma anche sapere quando e come eliminarli. È in questo passaggio che si completa davvero la tutela della privacy.