Che cos’è la Privacy ? I diritti e i doveri

Indice degli argomenti:


Print Friendly, PDF & Email

Il diritto alla Privacy

Il diritto alla Privacy è tutelato dal GDPR, ovvero dal Regolamento (UE) 2016/679 del 27 aprile 2016, e dal Codice in materia di protezione dei dati personali (Decreto Legislativo 30 giugno 2003, n. 196), adeguato alle disposizioni del Regolamento (UE) 2016/679 tramite il Decreto Legislativo 10 agosto 2018, n. 101.

I nostri articoli

Sul tema della Privacy abbiamo pubblicato sul nostro sito vari articoli:

  1. La privacy e i diritti dei pensionati e dei lavoratori
  2. Il Regolamento Europeo sulla Privacy – GDPR
  3. Il Codice italiano della Privacy – Decr. Leg.vo 196 del 2003

Il sito del Garante della Privacy, con tutta la normativa,le Newsletter e le  Decisioni del garante, è consultabile cliccando qui.

I riferimenti normativi

I principi generali del GDPR

Il principio fondamentale del GDPR è quello secondo cui, al di fuori dell’ambito personale e domestico, non è consentito detenere dei dati personali altrui senza che vi sia un valido motivo (che non può essere la mera utilità personale di chi li detiene), oppure delle finalità specifiche chiare e trasparenti.
Ogni trattamento dei dati deve essere lecito e giustificato, altrimenti si considera vietato.
Così si esprime la norma:

Art. 5 del GDPR – Principi applicabili al trattamento di dati personali

  1. I dati personali sono:
    1. trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
    2. raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; […] («limitazione della finalità»);
    3. adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
    4. esatti e, se necessario, aggiornati; […] («esattezza»);
    5. […] per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; […] («limitazione della conservazione»);
    6. trattati in maniera da garantire un’adeguata sicurezza dei dati personali […] («integrità e riservatezza»).

Le condizioni per il trattamento dei dati personali

Il trattamento dei dati personali quindi deve essere lecito e giustificato da un valido motivo (ovvero una “base giuridica”), che essenzialmente può essere:

  1. L’ esecuzione di un contratto (o di altro obbligo legale)
  2. Il consenso dell’ interessato per una specifica finalità.

Così infatti si esprime l’ art. 6 del GDPR:

Art. 6 – Liceità del trattamento

  1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
    1. l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
    2. il trattamento è necessario all’esecuzione di un contratto di cui l’interessato […];
    3. […]

La base giuridica doppia del trattamento dei dati

Qualche volta il valido motivo (ovvero la “base giuridica”) del trattamento dei dati può essere costituita congiuntamente da entrambe le ipotesi, ovvero:
– sia dalla stipulazione di un contratto, cui si aggiunge
– il consenso per un’altra e diversa finalità specifica.

Facciamo un esempio pratico.
Un consumatore acquista un cellulare, ed allora i suoi dati personali saranno certamente necessari per l’acquisto, la fatturazione, ecc.
Però l’azienda vuole anche inviargli delle mail, SMS, ecc. per finalità pubblicitarie, e magari addirittura vuole cedere i suoi dati personali ad altre aziende per scopi di marketing.

Qui allora si deve distinguere: i dati per l’acquisto del cellulare sono necessari per fare il contratto e senza di questi non si può procedere all’acquisto.
Le altre finalità di marketing, però, non sono affatto necessarie per l’acquisto, e sono aggiuntive, pertanto il consumatore dovrà dare in aggiunta il suo consenso per questa nuova e specifica finalità.

Il consenso del consumatore dovrà essere specifico, cioè con una separata dichiarazione, e non vi devono essere caselle di testo pre – spuntate, o approvate in modo implicito o presunto.

Inoltre prima di questa separata e specifica dichiarazione dovrà essere fornita al consumatore una chiara informativa sull’uso che verrà fatto dei suoi dati personali.

Infatti il GDPR così si esprime nel Regolamento (il c.d. “Considerando” al n. 32):
“(32) Il consenso dovrebbe essere prestato mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. […].
Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle.
Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità.
Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”.

Aggiunge ancora il GDPR, all’ art. 7, comma 2, che:
“2. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.[…].”

Il divieto di trattamento dei dati per motivi diversi

Naturalmente chi riceve (legittimamente) i dati personali rimane vincolato a non usare questi dati per scopi diversi, e se la finalità cambia rispetto a quella originaria, occorrerà allora comunicarlo all’interessato e richiedere un nuovo consenso.

Il dovere di informativa agli interessati

Chi raccoglie i dati deve fornire agli interessati una adeguata informativa sul loro uso.
Le norme essenziali del GDPR in proposito sono le seguenti:

Art. 12 – Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato

  1. Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato. [….].

Il contenuto dell’ informazione è regolato minutamente dal GDPR all’art. 13, che esige che vengano chiariti:

  1. Il motivo per cui dati vengono richiesti;
  2. Il titolare dei dati suddetti e suoi recapiti;
  3. Il Responsabile del trattamento dei dati;
  4. I diritti dell’interessato su questi dati (accesso, modifica, aggiornamento, cancellazione, durata del trattamento, ecc.).

Art.13 – Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato

  1. In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
    1. l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
    2. i dati di contatto del responsabile della protezione dei dati, ove applicabile;
    3. le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
    4. […];
    5. gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
    6. […]
  2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
    1. il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
    2. l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
    3. qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
    4. il diritto di proporre reclamo a un’autorità di controllo;
    5. se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
    6. l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
  3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.
  4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l’interessato dispone già delle informazioni.

A seguito di questa informativa, l’ interessato potrà quindi esercitare i suoi diritti.

I diritti degli interessati

Chi sono gli “interessati” ?

Per “interessati” (“Data Subject”) si intendono i soggetti cui i dati personali si riferiscono.
Purtroppo la traduzione italiana della terminologia europea è stata molto infelice.
Nel testo italiano si parla di “interessati”  per indicare in realtà i veri “titolari” dei dati, e quindi ad esempio deve essere chiaro il vero titolare dei miei dati personali sono ovviamente solo io.
Chi è autorizzato a trattare i miei dati, è solo il “titolare del trattamento (Data Controller”), ma ovviamente il titolare dei miei dati resto solo io, che però vengo definito nel GDPR in italiano solo “interessato”.

Vediamo ora quali sono i diritti degli interessati.

Il GDPR ha ampliato i diritti riconosciuti all’interessato, rendendoli maggiormente incisivi in una realtà permeata sempre più dal ricorso alle nuove tecnologie e all’utilizzo della rete.

Diritto di accedere ai propri dati personali

L’interessato ha il diritto di chiedere al titolare del trattamento (soggetto pubblico, impresa, associazione, partito, persona fisica, ecc.) se è in corso o meno un trattamento di dati personali che lo riguardano e:

  1. di ottenere una copia di tali dati;
  2. di essere informato su:
    1. le finalità del trattamento;
    2. le categorie di dati personali trattate;
    3. i destinatari dei dati;
    4. il periodo di conservazione dei dati personali;
    5. quale sia l’origine dei dati personali trattati;
    6. gli estremi identificativi di chi tratta i dati (titolare, responsabile, rappresentante designato nel territorio dello Stato italiano, destinatari);
    7. l’esistenza di un processo decisionale automatizzato, compresa la profilazione;
    8. i diritti previsti dal Regolamento.
  1.  

Diritto alla rettifica, alla cancellazione, alla limitazione del trattamento,
alla portabilità dei dati personali

L’interessato può richiedere a chi sta trattando i suoi dati personali che questi siano:

  1. rettificati (perché inesatti o non aggiornati), eventualmente integrando informazioni incomplete;
  2. cancellati, se:
    1. i dati non sono più necessari ai fini del perseguimento delle finalità per le quali sono stati raccolti o trattati;
    2. l’interessato revoca il consenso o si oppone al trattamento; oppure
    3. i dati sono trattati illecitamente o devono essere cancellati per adempiere a un obbligo legale.
  3. limitati nel relativo trattamento, se:
    1. i dati non sono esatti o sono trattati illecitamente e l’interessato si oppone alla loro cancellazione;
    2. nonostante il titolare non ne abbia più bisogno ai fini del trattamento, i dati sono necessari all’interessato per fare valere un diritto in sede giudiziaria;
    3. trasferiti ad un altro titolare (c.d. diritto alla portabilità), se il trattamento si basa sul consenso o su un contratto stipulato con l’interessato e viene effettuato con mezzi automatizzati.

Diritto di opposizione

E’ possibile opporsi al trattamento dei propri dati personali:

  1. per motivi connessi alla situazione particolare dell’interessato, da specificare nella richiesta;
  2. (senza necessità di motivare l’opposizione) quando i dati sono trattati per finalità di marketing diretto.

L’istanza dell’interessato per l’accesso ai suoi dati

Ogni persona può tutelare i propri dati personali, in primo luogo, esercitando i diritti di accesso ai dati (nonché gli altri diritti) previsti dagli articoli da 15 a 22 del Regolamento (UE) 2016/679.
L’interessato può presentare un’istanza senza particolari formalità (ad esempio, mediante lettera raccomandata, telefax, posta elettronica, ecc.).
L’istanza può essere riferita a tutti o a parte dei dati personali

L’obbligo di riscontro del titolare del trattamento

All’istanza il titolare, deve fornire idoneo riscontro, ossia: 
– entro 1 mese dal suo ricevimento;
– tale termine può essere prorogato a 2 mesi, in casi complessi, ma comunicandolo entro un mese.

Per esaminare il diritto di accesso ai dati in materia di pensioni e di rapporto di lavoro vai all’apposito articolo: La privacy e i diritti dei pensionati e dei lavoratori.

La modulistica del Garante della Privacy

Il Garante della Privacy ha predisposto un modulo di base per chiedere l’accesso ai propri dati.
Il modulo può essere scaricato qui sia in formato PDF che in formato Word

A livello normativo, secondo il GDPR i diritti dell’ interessato sono testualmente questi:

Art. 15 – Diritto di accesso dell’interessato

  1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l‘accesso ai dati personali e alle seguenti informazioni:
    1. le finalità del trattamento;
    2. le categorie di dati personali in questione;
    3. i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
    4. quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
    5. l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
    6. il diritto di proporre reclamo a un’autorità di controllo;
    7. qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
    8. l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
  2. […].
  3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.
  4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.

Il reclamo al Garante

La doppia tutela

Se l’interessato non riceve risposta (o se la risposta è insufficiente) ha davanti due strade a sua tutela:

  1. Il ricorso all’Autorità Giudiziaria
  2. Il reclamo al Garante

Che  cosa è il Reclamo al Garante

Il reclamo è lo strumento che consente all’interessato di rivolgersi al Garante per la protezione dei dati personali per lamentare una violazione della disciplina in materia di protezione dei dati personali (art. 77 del Regolamento (Ue) 2016/679 e artt. da 140-bis a 143 del Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento) e di richiedere una verifica dell‘Autorità.

Si ricorda che chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti  o  documenti  falsi  ne  risponde  ai  sensi  dell’art.  168  del  Codice  in  materia  di  protezione dei dati personali (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei  compiti  o  dell’esercizio  dei  poteri  del  Garante),  salvo  che  il  fatto  non  costituisca  più  grave  reato.

Come si presenta il Reclamo al Garante

La sottoscrizione
Il reclamo può essere sottoscritto direttamente dall’interessato oppure, per suo conto, da un avvocato, un procuratore, un organismo, un’organizzazione o un’associazione senza scopo di lucro.
In tali casi, è necessario conferire una procura da depositarsi presso il Garante.

La spedizione
Il reclamante potrà far pervenire l’atto in vari modi assai semplici:

  1. consegnandolo a mano presso gli uffici del Garante (all’indirizzo di seguito indicato)
  2. con raccomandata A/R indirizzata a: Garante per la protezione dei dati personali, Piazza Venezia, 11 – 00187 Roma
  3. messaggio di posta elettronica certificata indirizzata a: protocollo@pec.gpdp.it (questo indirizzo è configurato per ricevere SOLO comunicazioni provenienti da posta elettronica certificata).

La autentica di firma
Il reclamo e l’eventuale procura dovranno essere sottoscritti con firma autenticata, ovvero:
– con firma digitale,
– ovvero con firma autografa (allegando però la copia di un documento di riconoscimento).

La modulistica del Garante della Privacy per il Reclamo

Il Garante della Privacy ha predisposto un modulo di base per presentare il Reclamo.
Il modulo può essere scaricato qui sia in formato PDF che in formato Word.

La normativa per il Reclamo

Il reclamo al Garante si propone ai sensi delle seguenti norme:
art. 77 del Regolamento (UE) 2016/679.
– da art. 140-bis ad art. 143 del Codice della Privacy.

La procedura per il Reclamo

La procedura per il Reclamo è stata regolata dal Garante della Privacy con la sua Delibera del 4 aprile 2019 (Regolamento sulle procedure interne) scaricabile cliccando qui.
Al reclamo segue un’istruttoria preliminare e un eventuale successivo procedimento amministrativo che può portare all’adozione dei Provvedimenti del Garante di cui all’articolo 58 del Regolamento.
Avverso la decisione del Garante è ammesso il ricorso giurisdizionale ai sensi degli articoli 143 ed articolo 152 del Codice e dell’articolo 78 del Regolamento.
La presentazione del reclamo è gratuita.

La segnalazione al Garante

Chiunque può rivolgere, ai sensi dell’art. 144 del Codice, una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’art. 58 del Regolamento (indirizzo).
Questa è la norma:

Articolo 144
(Segnalazioni)

  1. Chiunque può rivolgere una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’articolo 58 del Regolamento.
  2. I provvedimenti del Garante di cui all’articolo 58 del Regolamento possono essere adottati anche d’ufficio.

I vari soggetti indicati dal GDPR

Il GDPR indica una articolata serie di definizione dei soggetti indicati.
Per semplificare abbiamo così sintetizzato la norma di cui all’ art. 4:

Art. 4 – Definizioni

Ai fini del presente regolamento s’intende per:
1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»);[…]
2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali […];
3) […];
7) «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; […];
8) «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
9) «destinatario»: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. […];

Il “titolare del trattamento” (“Data Controller”)

Il “titolare del trattamento” (“Data Controller”) sarà ad esempio la società in persona del suo Presidente. 
Aggiungiamo ancora che la parola inglese “Data Controller” è infelicemente tradotta in italiano con “titolare del trattamento”.
Titolare ha, nella lingua italiana, un significato evocativo che può trarre in inganno; il Data Controller non è infatti titolare, padrone, dei dati, ma solamente del trattamento dei dati, i quali restano però di esclusiva ‘proprietà’ del soggetto a cui si riferiscono, che in termini privacy si definisce l’interessato (in inglese è il Data Subject).
La caratteristica fondamentale del titolare è la capacità di “determinare  finalità e mezzi del trattamento” (art. 4 del Gdpr).

L’ interessato o “Data Subject”

L’interessato o il Data Subject è la persona fisica titolare dei dati forniti, ovvero il consumatore/cliente.

Il “responsabile del trattamento” o “Data Processor”

Il “responsabile del trattamento” sarà colui tratta i dati per conto del titolare, ovvero sotto le concrete direttive del Presidente, il quale esprime la volontà dell’ Associazione.Il “responsabile del trattamento” corrisponde all’ inglese “Data Processor”, che è stato tradotto in italiano in modo fuorviante: quello che si vuole definire è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati per conto del titolare” (art. 4 del GDPR). Il responsabile quindi entra in gioco quando il titolare decide di delegare parte del trattamento ad un soggetto esterno e può quindi essere definito come la longa manus del titolare: esso è privo di autonomia nel decidere come e per quali ragioni può trattare i dati degli interessati.

Gli addetti al trattamento

Gli “addetti al trattamento” saranno coloro che collaborano per il trattamento dei dati, sotto la direzione del Presidente. Sono previsti dall’ art. 29: “Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento. Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento.

Il responsabile della protezione dei dati – DPO

Il GDPR prevede anche la figura non obbligatoria, ma solo eventuale, del responsabile della protezione dei dati (in lingua inglese data protection officer – DPO), che deve avere le necessarie qualità professionali, che nell’ art. 37 sono così descritte:

“5. Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.

6. Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi”.

Questo soggetto non va assolutamente confuso con il “responsabile del trattamento”, ed è un consulente qualificato che serve a fornire consulenza ai “titolari del trattamento dei dati”, ma senza per questo esonerarlo da alcuna responsabilità. Deve trattarsi di un professionista molto qualificato (avvocato specializzato in materia o ingegnere informatico con specifica esperienza di protezione dei dati) ed il suo nominativo va comunicato al Garante della privacy.

I dati sensibili

Un discorso ulteriore va fatto per i cosiddetti dati sensibili, che sono definiti nell’articolo 9, che così li elenca:

Art. 9 – Trattamento di categorie particolari di dati personali

  1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
  2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
    • a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, […]
    • d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato; […]

In pratica è possibile trattare questi dati sensibili in due ipotesi essenziali:

  1. Il consenso specifico per finalità specifiche;
  2. Il trattamento è effettuato da parte di un’Associazione che persegue finalità sindacali, purché il trattamento riguardi unicamente i suoi membri, gli ex membri o le persone che hanno regolari contatti con […] l’associazione. Il problema è significativo soprattutto per i congiunti degli iscritti, nell’ipotesi che vengano acquisiti i loro dati sensibili, come quelli in materia di salute, In questo caso sarà necessario acquisire lo specifico consenso dei congiunti dell’iscritto.