Dati sensibili e categorie particolari di dati: sei di uno e mezza dozzina dell'altro?

Osservatorio Legale n. 43 – Gennaio 2022

Dati sensibili e categorie particolari di dati: sei di uno e mezza dozzina dell'altro?. Quando si ha a che fare con dati relativi alla salute, alle opinioni politiche o religiose, la qualifica che viene subito in mente è quella di "dati sensibili".che necessitano di una protezione speciale ai sensi del Regolamento europeo sulla protezione dei dati.

La CNIL classifica inoltre i dati sensibili sul suo sito web come "categorie particolari di dati" regolamentate dal GDPR.

Ciò significa che queste due nozioni sono la stessa cosa?

La questione è importante perché la sua interpretazione comporta l'applicazione di una serie di disposizioni di legge vincolanti per il titolare del trattamento.

Il GDPR specifica che “i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo delle libertà e dei diritti fondamentali meritano una protezione specifica, perché il contesto in cui vengono trattati potrebbe presentare rischi significativi per tali libertà e diritti”.

È stata esplicitamente identificata una certa quantità di dati sensibili, il cui trattamento è vietato, salvo le eccezioni specificate nell'articolo 9 del GDPR.

Si tratta di categorie particolari di dati che rivelano la presunta origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché il trattamento di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all'orientamento sessuale della persona.

Considerati i rischi, in particolare di discriminazione, sollevati dal trattamento di tali dati, il Regolamento europeo impone una maggiore responsabilizzazione dei titolari del trattamento e un uso attento dei dati nel rispetto delle eccezioni previste dalla legge.

Si tratta principalmente di interessi pubblici vitali o importanti, che più probabilmente giustificano tale intrusione.

È opportuno precisare che sono soggetti a specifica tutela anche altri dati talvolta qualificati come sensibili, ma non compresi nell'elenco di cui all'art. 9 del GDPR..

La nozione di dati sensibili è quindi talvolta considerata, ad esempio nei documenti ufficiali delle autorità britanniche e belghe per la protezione dei dati, come se coprisse informalmente un insieme più ampio di dati il cui trattamento può essere considerato particolarmente dannoso per le persone interessate.

Oltre alle categorie speciali di dati di cui all'articolo 9, anche i dati relativi a condanne penali e reati (articolo 10), ma anche i dati di telecomunicazione o gli identificatori univoci possono essere soggetti a misure di protezione specifiche, nel contesto del GDPR o della direttiva ePrivacy.

La nomina di un DPO, la tenuta di un registro dei trattamenti e l'esecuzione di analisi d'impatto riguardano quindi sia le categorie particolari di dati di cui all'articolo 9 sia i dati giudiziari di cui all'articolo 10 del GDPR (in caso di trattamento su larga scala di tali dati).

Per evitare qualsiasi equivoco, si raccomanda di utilizzare i termini del GDPR e di fare riferimento alle categorie speciali di dati previste dall'articolo 9 o alle altre disposizioni del GDPR che proteggono altri dati specifici, identificando così chiaramente i principi applicabili..

Anche all'interno di categorie particolari di dati, determinare cosa rientri nell'ambito di applicazione del GDPR può talvolta rivelarsi una sfida.

Pertanto, se i risultati di un'analisi medica rientrano senza discussione nella categoria dei dati sanitari, potrebbero esservi reperite anche altre informazioni meno ovvie, indipendenti dal quadro dei professionisti sanitari e dai percorsi di cura.

Pensiamo, ad esempio, ai dati registrati da un orologio connesso, all'analisi della frequenza cardiaca o a possibili disturbi del sonno.

Tali dati trasmessi e analizzati online da una terza parte sono pertanto soggetti al rigoroso quadro normativo dell'articolo 9 del GDPR.

Diverso è il caso in cui le informazioni rimangano memorizzate nel terminale dell'utente e siano accessibili solo a lui.

Oltre alla natura dei dati, l'elemento determinante è il contesto in cui tali dati saranno elaborati e le informazioni che se ne dedurranno.

Una foto può quindi rivelare il colore della pelle della persona fotografata e costituire anche un dato biometrico.

Un cognome può essere utilizzato per dedurre, con un certo grado di probabilità, l'origine etnica della persona interessata.

Questi dati “grezzi”, tuttavia, non sono categorie speciali di dati.

A seconda delle finalità per le quali vengono trattati, possono diventarlo.

Sarà vietato un archivio che classifichi le persone elencate per nome in base alla loro probabile origine etnica (ad eccezione dell'eccezione di cui all'articolo 9 del GDPR), anche se non è garantita l'accuratezza delle deduzioni.

Allo stesso modo, il GDPR specifica che "il trattamento di fotografie non dovrebbe essere sistematicamente considerato come trattamento di categorie particolari di dati personali, dato che questi rientrano nella definizione di dati biometrici solo quando sono trattati utilizzando un metodo tecnico specifico che consente l'identificazione univoca o l'autenticazione di una persona fisica".

La portata delle disposizioni relative alle categorie particolari di dati è pertanto ampia e soggetta a interpretazione a seconda del contesto del trattamento.

In caso di dubbio, la natura discriminatoria di tali informazioni e lo scopo perseguito costituiscono utili elementi di valutazione.

E anche

Francia:

Il 30 dicembre, il Consiglio di Stato ha ritenuto infondato il ricorso presentato da Quadrature du Net e da altri ricorrenti contro un decreto del 27 marzo 2020 riguardante la banca dati DataJust..

Tale banca dati prevede l'elaborazione di dati giudiziari, anche sensibili, mediante un algoritmo, al fine di agevolare la valutazione del risarcimento in materia di responsabilità civile e amministrativa.

Il Consiglio di Stato ha inoltre respinto, il 28 gennaio, il ricorso di Google LLC e Google Ireland Limited contro la decisione della CNIL che, nel dicembre 2020, aveva inflitto alla società una multa di 100 milioni di euro per l'uso illegale di cookie.

Questa decisione conferma l'autorità della CNIL di adottare questo tipo di sanzioni nei confronti di società stabilite in altri paesi europei e conferma la natura proporzionata delle sanzioni.

Nella Gazzetta Ufficiale del 26 dicembre 2021 è stato pubblicato un decreto che autorizza la creazione di un file destinato a contrastare il ransomware, denominato “MISP-PJ”.

In questo file verranno conservati per sei anni i dati delle persone vittime di attacchi informatici, nonché informazioni tecniche relative all'attacco e al suo autore.

La Corte di Cassazione, con sentenza del 10 novembre, ha stabilito che le prove ottenute in violazione del diritto alla riservatezza di un dipendente possono comunque essere conservate in tribunale.

Anche se il trattamento che ha previsto il monitoraggio dei dipendenti a loro insaputa è illegittimo, spetta al giudice bilanciare il diritto alla prova e i diritti del dipendente e verificare caso per caso se sia stata rispettata l'equità della procedura.

Europa:

Google Analytics è nel mirino di diverse autorità per la protezione dei dati:

• L'Austria ha appena deciso che il suo utilizzo non è conforme ai requisiti del GDPR in materia di flussi transfrontalieri di dati, come specificato dalla Corte di giustizia europea nella sentenza Schrems II.
• Il Garante europeo della protezione dei dati ha sanzionato il Parlamento europeo sulla stessa base per aver trasferito illegalmente dati negli Stati Uniti.
• I Paesi Bassi, che stanno gestendo due reclami riguardanti Google Analytics, avvertono che il suo utilizzo potrebbe essere illegale, e il 26 gennaio la Norvegia ha annunciato che sta indagando sulla questione.

La questione dei trasferimenti verso gli Stati Uniti è al centro anche della sentenza del Tribunale di Stato di Monaco del 20 gennaio : Quando un utente scarica i font di Google, il suo indirizzo IP viene automaticamente trasmesso negli Stati Uniti.

Il tribunale ha ritenuto illegittimo questo trasferimento e ha concesso al ricorrente un risarcimento di 100 euro.

L'Autorità europea di vigilanza si è pronunciata il 20 gennaio su una proposta di regolamento sulla pubblicità politica.

A suo parere, raccomanda il divieto totale del micro-targeting nel marketing politico, che mira a influenzare gruppi specifici di elettori in base al loro profilo online.

Propone inoltre restrizioni sulle categorie di dati che possono essere utilizzate per tali scopi di marketing.

Il 27 gennaio la Commissione europea e la rete delle autorità nazionali per la tutela dei consumatori hanno inviato una lettera a WhatsApp chiedendo all'azienda di informare più chiaramente gli utenti sui termini di utilizzo dei loro dati..

La società è tenuta a specificare le modifiche apportate alle sue condizioni generali, alla sua politica di protezione dei dati e a conformarsi alla normativa europea.

L'Istituto europeo di innovazione e tecnologia (EIT) ha pubblicato il 20 gennaio uno strumento pensato per promuovere l'uso dell'intelligenza artificiale da parte delle aziende europee.

Lo "strumento di maturità dell'intelligenza artificiale" dovrebbe consentire alle aziende di valutare il loro grado di preparazione all'uso dell'IA, nel rispetto del quadro giuridico europeo.

Il 15 dicembre 2021 la Commissione europea ha avviato un progetto consortile per sostenere lo sviluppo di tecnologie di prossima generazione.

Denominato "European Alliance for Industrial Data, Edge and Cloud", il consorzio prende il posto del progetto Gaia-X ed è aperto anche alle aziende straniere, a condizione che rispettino i requisiti di sicurezza europei (proprietà intellettuale, appalti, informazioni) e gli obiettivi chiave dell'Unione Europea in questo ambito.

Il Comitato europeo per la protezione dei dati ha adottato linee guida sul diritto degli individui di accedere ai propri dati nella sessione plenaria del 18 gennaio..

Per rispondere alle richieste di un'interpretazione uniforme delle norme relative all'uso dei cookie, il Comitato annuncia la creazione di un gruppo di lavoro sull'argomento.

La Corte di giustizia dell'Unione europea ha ritenuto, nella sentenza del 25 novembre scorso, che, nell'ambito di un servizio di messaggistica gratuito finanziato dalla pubblicità, tale pubblicità visualizzata automaticamente in una casella di posta elettronica può essere considerata un'e-mail di prospezione ed è pertanto soggetta alla condizione del previo consenso dell'utente, come previsto dalla direttiva europea sulla privacy elettronica.

L'Autorità Garante per la protezione dei dati personali ha imposto a Enel Energia diverse misure correttive e una sanzione di oltre 26.000 euro. per il trattamento illecito dei dati di milioni di utenti a fini di telemarketing.

L'autorità norvegese per la protezione dei dati ha multato l'amministrazione stradale pubblica per 400.000 euro. per la conservazione impropria dei dati relativi ai valichi di pedaggio.

In Portogallo, l'autorità per la protezione dei dati ha multato la città di Lisbona di 1.250.000 euro per aver condiviso i dati personali e sensibili dei manifestanti.con terze parti, tra cui le ambasciate e i ministeri degli esteri dei paesi presi di mira dai manifestanti.

La corte amministrativa suprema della Baviera ha stabilito che l'obbligo per gli studenti non vaccinati di presentare un certificato di test negativo al Covid o per sottoporsi a un test in loco è giustificato dall'articolo 9(2)(i) del GDPR, che consente il trattamento di dati sensibili per motivi di interesse pubblico relativi alla salute.

Internazionale:

La Conferenza delle autorità tedesche per la protezione dei dati ha pubblicato un rapporto datato 15 novembre, che riassume i risultati di un'analisi condotta da SI Vladeck sulla quadro giuridico per le misure di sorveglianza negli Stati Uniti.

Contiene informazioni utili sulle condizioni di applicazione della legge americana alle società e alle filiali europee. 

Sempre Negli Stati Uniti, quattro procuratori generali accusano Google di aver ingannato i suoi utenti, continuando a monitorare coloro che hanno modificato le preferenze di tracciamento e rifiutato la raccolta dei loro dati.

Le cause legali sono state intentate dagli stati del Texas, di Washington, dell'Indiana e del Distretto di Columbia.

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.