In sintesi
- L'art. 9 GDPR vieta in via generale il trattamento di categorie particolari: salute, biometrici, genetici, opinioni, sindacali, sessuali.
- Il par. 2 elenca dieci deroghe tassative: consenso esplicito, lavoro, vitale, associazioni, dati pubblici, giustizia, interesse pubblico, sanità, sanità pubblica, archiviazione.
- Il consenso esplicito è qualificato: dichiarazione espressa, non desumibile da silenzio.
- I dati di salute e biometrici sono il fronte applicativo più critico.
- Gli SM possono introdurre ulteriori condizioni per dati genetici, biometrici, salute (par. 4).
- In Italia, regole nazionali nel D.Lgs. 196/2003 e provvedimenti del Garante (deontologiche, garanzia).
Testo dell'articoloVigente
Articolo 9 del Regolamento (UE) 2016/679 (GDPR) — Trattamento di categorie particolari di dati personali.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
Il regime speciale dei dati sensibili
L'art. 9 GDPR costruisce un regime speciale per i dati personali che, per loro natura, espongono l'interessato a rischi più gravi di discriminazione, stigmatizzazione o violazione della dignità. La logica è quella del divieto generale con deroghe tassative: il trattamento è ammesso solo se ricorre una delle ipotesi del par. 2 (e, dove pertinente, anche una base dell'art. 6, come precisato dall'EDPB). La nozione di categoria particolare comprende dati che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale; dati genetici, biometrici intesi a identificare in modo univoco una persona, dati relativi alla salute, alla vita sessuale e all'orientamento sessuale.
La doppia base e il consenso esplicito (lett. a)
La giurisprudenza CGUE e l'EDPB hanno chiarito che, per trattare dati di categoria particolare, occorre cumulativamente una base dell'art. 6 e una deroga dell'art. 9, par. 2. La lett. a) prevede il consenso esplicito dell'interessato: deve essere dichiarazione espressa, in forma scritta o equivalente (digitale firmata, doppia opt-in con OTP), non desumibile da comportamento concludente. Il consenso è soggetto a tutte le condizioni dell'art. 7: libertà, granularità, revocabilità simmetrica. Per i minori, soglia art. 8 (14 anni in Italia). Il consenso esplicito è la base più frequente per ricerca clinica con pazienti non legati a struttura sanitaria.
Deroghe lavoristiche, vitali, associative (lett. b-d)
La lett. b) ammette il trattamento necessario all'esecuzione di obblighi e diritti del titolare o dell'interessato in materia di diritto del lavoro e della sicurezza sociale, nella misura in cui sia autorizzato dal diritto UE o degli SM. In Italia, il Codice Privacy art. 88 disciplina i dati nei rapporti di lavoro. La lett. c) copre l'interesse vitale di interessato o di altra persona fisica quando l'interessato non è in grado di prestare consenso (emergenze sanitarie, incapacità). La lett. d) tutela le attività di associazioni, fondazioni e organismi senza scopo di lucro con finalità politica, filosofica, religiosa o sindacale, per la gestione interna di membri ed ex membri.
Dati pubblici, giustizia (lett. e-f)
La lett. e) ammette il trattamento di dati personali resi manifestamente pubblici dall'interessato. La nozione è restrittiva: deve esserci atto consapevole di rendere pubblico il dato, non semplice pubblicazione su social per cerchia ristretta. La CGUE ha precisato che la pubblicazione di dati sensibili su social a accesso aperto non equivale automaticamente a manifestazione pubblica ai fini dell'art. 9. La lett. f) consente trattamenti necessari per accertare, esercitare o difendere un diritto in sede giudiziaria, o quando le autorità giurisdizionali esercitano le loro funzioni giurisdizionali. La lett. g) copre i trattamenti necessari per motivi di interesse pubblico rilevante.
Sanità e sanità pubblica (lett. h-i)
Le lett. h) e i) sono il fulcro applicativo nella sanità. La lett. h) ammette i trattamenti necessari per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa, diagnosi, assistenza o terapia sanitaria o sociale, gestione dei sistemi e servizi sanitari, sulla base del diritto UE o dello SM. Il par. 3 richiede che il trattamento sia effettuato sotto la responsabilità di un professionista soggetto al segreto professionale. La lett. i) copre i trattamenti per sanità pubblica (epidemie, sicurezza farmaceutica): è stata fondamento delle misure di tracciamento contagi durante l'emergenza COVID-19.
Discrezionalità nazionale (par. 4)
Il par. 4 consente agli Stati membri di mantenere o introdurre ulteriori condizioni, comprese limitazioni, in relazione al trattamento di dati genetici, biometrici o di salute. L'Italia ha esercitato la facoltà: art. 2-septies D.Lgs. 196/2003 (regole deontologiche e misure di garanzia su categorie particolari), provvedimenti del Garante su biometrici nei rapporti di lavoro, riconoscimento facciale, ricerca medica, cartella sanitaria elettronica, fascicolo sanitario elettronico. Le regole deontologiche e di garanzia approvate dal Garante hanno valore precettivo: la conformità è condizione di liceità per i trattamenti delle categorie particolari nei settori coperti.
Regola pratica e checklist operativa
Per ogni progetto che tocca categorie particolari: (i) verificare la doppia base (art. 6 + art. 9, par. 2); (ii) redigere DPIA ex art. 35 (i trattamenti su larga scala di categorie particolari sono nell'elenco obbligatorio); (iii) adottare misure di sicurezza rafforzate (cifratura, accessi profilati, log audit); (iv) per la sanità, garantire responsabilità professionale e segreto; (v) per il lavoro, applicare art. 88 D.Lgs. 196/2003 e provvedimenti del Garante; (vi) per biometrico, valutare necessità stringente e sostituibilità con badge. La conformità si misura sulla documentazione.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Prassi e linee guida
Garante per la protezione dei dati personali
Garante per la protezione dei dati personali
Leggi il documento su www.garanteprivacy.itCasi pratici
Caso 1: Tizio: clinica e cartelle cliniche
Tizio, direttore clinica, tratta dati di salute. Base: art. 9, par. 2, lett. h) (assistenza) combinata con art. 6, lett. c/e. Non serve consenso esplicito ma segreto professionale e regole deontologiche del Garante.
Caso 2: Caio: PMI e biometrico timbratura
Caio vuole impronta digitale per presenze. Biometrico è categoria particolare. Il Garante ha sanzionato: serve necessità stringente non sostituibile con badge, proporzionalità ex art. 88 D.Lgs. 196/2003, DPIA (art. 35).
Caso 3: Sempronio: associazione sindacale
Sempronio, segretario sindacale, gestisce elenco iscritti. Base: art. 9, par. 2, lett. d. Non serve consenso esplicito per finalità interne, ma diffusione esterna richiede consenso esplicito lett. a).
Caso 4: Commento applicativo
L'art. 9 è il fronte di rischio più alto. Sanità, ricerca, lavoro con biometrico: ogni progetto richiede doppia base (art. 6 + art. 9, par. 2), DPIA (art. 35), policy di sicurezza rafforzata (art. 32), formazione del personale.
Domande frequenti
Quali sono le categorie particolari?
Origine razziale/etnica, opinioni politiche, convinzioni religiose/filosofiche, appartenenza sindacale, dati genetici, biometrici per identificazione, salute, vita e orientamento sessuali (par. 1).
Posso trattare dati di salute con il solo consenso?
Il consenso esplicito (lett. a) è una deroga. Per la sanità si usa più spesso la lett. h) (assistenza, cura) o lett. i) (sanità pubblica), che non richiedono consenso ma altre garanzie e responsabilità professionale.
Cos'è il consenso esplicito?
Manifestazione espressa, scritta o equivalente (firma digitale, doppia opt-in con OTP), non desumibile da comportamento concludente. Si applicano le condizioni dell'art. 7.
Posso trattare dati pubblicati sui social?
Solo se manifestamente resi pubblici dall'interessato (lett. e). Nozione restrittiva: la pubblicazione su profilo social non integra automaticamente la deroga, soprattutto se cerchia ristretta.
L'Italia ha regole particolari?
Sì. L'art. 2-septies D.Lgs. 196/2003 prevede regole deontologiche e misure di garanzia per categorie particolari, oltre ai provvedimenti del Garante su biometrici, FSE, ricerca medica.
Vedi anche