Risposta
La tua azienda/organizzazione può trattare dati sensibili solo se si verifica una delle seguenti condizioni:
- è stato ottenuto il consenso esplicito della persona (in determinati casi una legge può escludere questa opzione);
- la legislazione unionale o nazionale o un contratto collettivo richiedono alla tua azienda/organizzazione di trattare i dati per ottemperare ai suoi obblighi e diritti e a quelli delle altre persone, nei settori dell’occupazione, della sicurezza sociale e della protezione sociale;
- sono in gioco gli interessi vitali della persona, o di una persona fisicamente o legalmente incapace di fornire il proprio consenso;
- sei una fondazione, un’associazione o un altro ente senza scopo di lucro con finalità politiche, filosofiche, religiose o sindacali, che tratta i dati relativi ai propri membri o alle persone in contatto regolare con l’organizzazione;
- i dati personali sono stati manifestamente resi pubblici dalla persona;
- i dati sono necessari per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
- i dati sono trattati per motivi di rilevante interesse pubblico ai sensi del diritto comunitario o nazionale;
- i dati sono trattati per le seguenti finalità: medicina preventiva o professionale; valutazione della capacità lavorativa del dipendente; diagnosi medica; fornitura di cure o trattamenti sanitari o sociali, oppure gestione di sistemi e servizi sanitari o sociali sulla base del diritto unionale o nazionale, o sulla base di un contratto in qualità di operatore sanitario;
- i dati sono trattati per motivi di interesse pubblico nel settore della sanità pubblica ai sensi del diritto unionale o nazionale;
- i dati sono trattati ai fini dell’archiviazione, della ricerca scientifica o storica o a fini statistici ai sensi del diritto unionale o nazionale.
Ulteriori condizioni possono essere imposte dalla legislazione nazionale per il trattamento di dati genetici, dati biometrici o relativi alla salute. Verifica con il Garante per la protezione dei dati personali.
Esempio
Puoi trattare dati sensibili
Un medico visita un certo numero di pazienti nella sua clinica e registra le visite in un database che include campi come il nome/cognome del paziente, la descrizione dei sintomi e i farmaci prescritti. Si tratta di dati sensibili. Il trattamento dei dati sanitari da parte della clinica è consentito dalla legge sulla protezione dei dati in quanto richiesto per la cura della persona e viene effettuato sotto la responsabilità di un medico soggetto all’obbligo del segreto professionale.
Non puoi trattare dati sensibili
La tua azienda vende abiti online. Per personalizzare i servizi in base agli interessi specifici dei clienti, chiedi di fornirti informazioni su taglia, colore preferito, metodo di pagamento, nome e indirizzo per la consegna del prodotto. Inoltre, la tua azienda chiede al cliente il suo orientamento politico. La maggior parte delle informazioni serve per adempiere alla tua parte del contratto, ma le opinioni politiche del cliente non sono un requisito necessario per realizzare e consegnare un abito. La tua azienda, pertanto, non può richiedere tali informazioni in base a questo contratto.
Riferimenti
Example
You can process sensitive data
A doctor sees a number of patients at his clinic. He logs the visit in a database that includes fields such as name/surname of patient, description of symptoms and medication prescribed. That is considered to be sensitive data. The processing of health data by the clinic is allowed under the data protection law because it is required to treat the person and is carried out under the responsibility of a doctor who is subject to an obligation of professional secrecy.
You can’t process sensitive data
Your company sells dresses online. In order to tailor the services to the specific interests of your clients, you ask them to provide you with information about sizes, preferred colour, payment method, name and the address so that the product can be delivered. In addition your company asks for your clients’ political views. You need the majority of the information to fulfil your side of the contract. However, clients’ political views are not a requirement to make and deliver their dresses. Your company cannot ask for that information under that contract.