Cosa sono i dati sensibili? Quali sono alcuni esempi? È possibile trattare i dati sensibili secondo le leggi sulla privacy, come il GDPR e il CPRA?
In questo post rispondiamo a tutte queste domande e spieghiamo cosa devi fare per raccogliere ed elaborare i dati personali sensibili in linea con le normative.
I dati sensibili sono categorie speciali di informazioni personali, che devono essere trattate con maggiore attenzione dal titolare del trattamento.
Si tratta di informazioni come l’origine razziale o etnica, l’orientamento sessuale, le convinzioni religiose, ma anche informazioni sulla salute dell’utente.
La differenza principale tra i normali dati personali e i dati sensibili è che i dati sensibili possono potenzialmente portare alla discriminazione dell’utente, se condivisi.
Le leggi internazionali sulla privacy concordano sul fatto che la raccolta e il trattamento dei dati sensibili può avvenire solo se sono realmente necessari per la tua attività. Inoltre, quando questo avviene, è necessario conservare i dati in modo sicuro e con la massima cura.
Ecco alcuni esempi di dati sensibili, secondo l’articolo 9 del GDPR:
Le diverse leggi sulla privacy possono avere una definizione diversa di dati particolari, ma in generale questa lista rappresenta in modo esaustivo cosa sono i dati sensibili.
Come abbiamo detto, la raccolta e il trattamento di dati sensibili è generalmente consentita se i dati sono necessari alla tua attività. Tuttavia, potrebbe essere necessario applicare ulteriori livelli di sicurezza. Diamo uno sguardo più da vicino alle principali legislazioni e ai loro requisiti specifici:
AAi sensi dell’Art.9 GDPR, è possibile trattare i dati sensibili solo se l’utente ha prestato il suo consenso esplicito e informato, il che significa che deve capire chiaramente a cosa sta acconsentendo.
Il trattamento è consentito anche nel caso in cui i dati siano di importanza vitale per questioni di interesse pubblico, sicurezza sociale, salute, ecc. Se raccogli e tratti dati personali, e in particolare se si tratta di un trattamento su larga scala, dovi nominare un Responsabile della protezione dei dati (DPO) ed effettuare una Valutazione d’impatto sulla protezione dei dati (DPIA).
Mentre con la precedente versione del CCPA i dati sensibili rientravano nella stessa categoria dei dati personali normali, or con l’aggiornamento dovuto al California Privacy Rights Act (CPRA) è stata introdotta una nuova categoria di informazioni personali sensibili (SPI).
Le aziende che trattano dati sensibili devono mostrare ai loro utenti un avviso sul diritto alla limitazione dell’uso e la diffusione dei dati personali sensibili e fornire un link con la dicitura “Limita l’uso dei miei dati personali sensibili”.
Come il GDPR, la LGPD brasiliana consente il trattamento dei dati personali solo se gli utenti hanno dato il loro consenso o se si applicano eccezioni al consenso.
Se la tua azienda raccoglie ed elabora dati sensibili, potresti aver bisogno di adottare misure supplementari per assicurarti di conservarli in modo sicuro.
Ecco cosa potrebbe essere necessario fare:
Fai questo quiz di 1 minuto per scoprire quali leggi si applicano alla tua attività e quali requisiti devi rispettare!
Ecco come le soluzioni di iubenda possono essere di grande aiuto quando si trattano dati sensibili:
Soluzioni pensate da un team di avvocati per adeguare i tuoi siti web e le tue app alle normative di più Paesi e legislazioni.
