DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI DEL LIECHTENSTEIN: Categorie particolari di dati personali (art. 9 GDPR) e dati personali su condanne penali e reati (art. 10 GDPR)

Oltre alle “normali” categorie di dati personali, esiste anche una serie di dati personali sensibili, particolarmente sensibili. Da un lato, si tratta di categorie speciali di dati personali come dati sanitari, opinioni politiche, dati genetici e biometrici, origine etnica, orientamento sessuale, ecc. (Art. 9 GDPR) e, dall’altro, dati personali su reati condanne (art. 10 GDPR).

Ciò che tutti questi dati hanno in comune è che sono di natura altamente personale o addirittura hanno un carattere di formazione dell’identità e che il loro uso improprio può avere un grave effetto discriminatorio o stigmatizzante su coloro che ne sono colpiti. Poiché il trattamento di questi dati è associato a un rischio elevato per i diritti e le libertà dell’interessato,

Oltre alle “usuali” categorie di dati personali (es. Nome, indirizzo, ecc.) Esistono anche categorie sensibili di dati personali, come dati sanitari, opinioni politiche, origine etnica o dati su condanne penali e reati.

A causa della natura più sensibile, altamente personale e spesso di creazione di identità di questi dati, il loro trattamento comporta rischi considerevoli per i diritti e le libertà fondamentali dell’interessato o è associato a un grande potenziale di danno (ad esempio rischio di discriminazione).

Sono quindi particolarmente degni di protezione. Secondo l’approccio basato sul rischio del Regolamento generale sulla protezione dei dati (GDPR), al trattamento di tali categorie speciali di dati personali si applicano requisiti più rigorosi (articoli 9 e 10 GDPR).

Divieto con riserva di autorizzazione (art. 9 GDPR):

Un divieto generale di trattamento si applica alle categorie speciali di dati personali elencate nell’art. 9 comma 1 GDPR . Tuttavia, possono ancora essere elaborati in determinate condizioni. Queste necessità non solo una giustificazione di Art. 6 par. 1 DSGVO presente, ma anche da una delle eccezioni in conformità Art. 9 par. 2 DSGVO essere soddisfatte ¹ . È evidente che l’articolo 9, paragrafo 2, del GDPR non consente il trattamento per adempiere a contratti o basati su interessi legittimi.

Il rapporto tra Art. 6 e Art. 9 GDPR non è stato ancora del tutto chiarito nell’insegnamento e nella pratica. Tuttavia, il DSS è del parere che affinché il trattamento di categorie speciali di dati personali sia consentito, deve esserci sia un’autorizzazione dall’articolo 6 paragrafo 1 GDPR sia un’eccezione dall’articolo 9 paragrafo 2 GDPR.

Le categorie speciali (art. 9 cpv. 1 GDPR)

All’art. 9 comma 1 GDPR sono elencate in modo esaustivo tutte le categorie di dati che il legislatore ha ritenuto particolarmente meritevoli di protezione. ¹ I dati individuali possono anche appartenere a più categorie speciali contemporaneamente (ad esempio i dati genetici possono anche essere dati sanitari). Di volta in volta, tuttavia, ci sono domande su come differenziarli dai dati personali “ordinari”.

È quindi anche il contesto, il tipo e la finalità del trattamento o il collegamento con altri dati personali che determinano se i dati trattati rientrano o meno in categorie speciali ai sensi dell’art. 9 comma 1 GDPR o meno (es. Trattamento di foto solo a scopo illustrativo). scopi o per identificare chiaramente una persona fisica utilizzando speciali ausili tecnici e biometrici). In linea di principio, tuttavia, è sufficiente che le informazioni sensibili elencate nell’articolo 9 paragrafo 1 GDPR siano almeno indirettamente emergono dai dati elaborati.

Nello specifico, le categorie di dati particolarmente meritevoli di protezione ai sensi dell’art. 9 comma 1 GDPR sono:

• origine razziale ed etnica;
• opinioni politiche;
• credenze religiose o ideologiche;
• Appartenenza sindacale;
• dati genetici;
• dati biometrici a fini di identificazione;
• Dati sanitari ² ;
• Dati sulla vita sessuale o sull’orientamento sessuale.

Esistono solo definizioni legali per i dati genetici, biometrici e sanitari nell’articolo 4, clausole 13, 14 e 15 del GDPR stesso. Le stesse categorie di dati sono anche coperte dalla clausola di apertura di cui all’articolo 9, paragrafo 4, del GDPR .

Ad esempio, gli Stati membri sono esplicitamente autorizzati a prevedere condizioni o restrizioni aggiuntive (più rigorose) dalla legislazione nazionale per il trattamento dei dati genetici, biometrici o sanitari (ad es. Legge sull’ingegneria genetica). Tuttavia, non è consentito abbassare il livello di protezione.

Il legislatore ha basato questo elenco su altri cataloghi di diritti fondamentali e divieti di discriminazione, come l’articolo 6 della Convenzione sulla protezione dei dati n. 108 del Consiglio d’Europa, l’articolo 14 della Convenzione europea dei diritti dell’uomo (CEDU), Art. 8 della ex Direttiva sulla Protezione dei Dati 95/46 / CE dell’Unione Europea o Art. 21 della Carta dei Diritti Fondamentali dell’Unione Europea.

Il termine dati sanitari deve essere interpretato in senso ampio.

Le eccezioni (art. 9 cpv. 2 GDPR)

All’Art. 9 Paragrafo 2 GDPR sono previsti dieci permessi, qualora esistano, le categorie speciali di dati personali definite al Paragrafo 1 possono comunque essere trattate in via eccezionale ¹ . I fatti possono essere approssimativamente suddivisi in due gruppi: quelli in let. I requisiti di ammissibilità elencati c, d, e ed f sono tutti standardizzati in modo definitivo; mentre in let. a, b, g, h, i e j sono subordinati all’esistenza (non ² ) di una base giuridica specifica nell’Unione o negli Stati membri. Tutte le eccezioni devono essere interpretate in modo restrittivo.

1.     Consenso espresso (lettera a)

Rispetto alla giustificazione per il consenso di cui all’articolo 6 capoverso 1 lit. a GDPR si applicano al consenso ai sensi dell’articolo 9 capoverso 2 lit. a requisiti più severi del GDPR. Ad esempio, deve essere esplicito e con riferimento al trattamento di categorie speciali di dati personali. È pertanto escluso un consenso meramente implicito.

Inoltre, l’Unione e gli Stati membri possono generalmente vietare determinati trattamenti di dati personali ai sensi dell’articolo 9 paragrafo 1 GDPR mediante una base giuridica adeguata e quindi l’applicazione dell’articolo 9 paragrafo 2 lett. un GDPR o un consenso come giustificazione del tutto impossibile. Sono inoltre possibili regolamenti corrispondenti con requisiti aggiuntivi per il consenso per determinate operazioni di trattamento (ad esempio requisiti formali aggiuntivi, condizioni, ecc.).

2.     Diritto del lavoro, sicurezza sociale, protezione sociale (lettera b)

L’eccezione all’art. 9 cpv. 2 lett. b GDPR non esiste in modo indipendente, ma deve derivare da una corrispondente base giuridica separata dell’Unione o degli Stati membri nel campo del diritto del lavoro, della sicurezza sociale o della protezione sociale (compresi i contratti collettivi e aziendali). Il trattamento di categorie speciali di dati personali deve essere necessario per soddisfare tali standard affinché sia consentito.

3.     Tutela degli interessi vitali (lettera c)

Per l’esistenza di questa eccezione elaborazione must di categorie particolari di dati necessari per essere per gli interessi vitali della persona interessata o di un’altra persona per la protezione o il pericolo per la vita e l’incolumità fisica ward ³ . Il presupposto è comunque che l’interessato non sia fisicamente o legalmente in grado di acconsentire espressamente al trattamento, ma dal suo presunto consenso può essere assunto (es. in una situazione di emergenza, in caso di incoscienza, nel caso in cui non sia possibile raggiungere il legale rappresentante, ecc.). Un trattamento di categorie speciali di dati personali dovrebbe essere giustificato solo con la protezione di interessi vitali se ovviamente non può essere basato su un’altra circostanza eccezionale di cui all’articolo 9, paragrafo 2, del GDPR (considerando 46).

4.     Organizzazioni a orientamento politico, ideologico, religioso e sindacale (lettera d)

Art. 9 cpv. 2 lett. d DSGVO permette la lavorazione di categorie particolari di dati personali da parte di commercio politico, ideologico, religioso o orientati, organizzazioni non-profit (ad esempio, le chiese, partiti politici, sindacati, ecc), a meno che il trattamento all’interno delle loro attività lecite è richiesto (scopo organizzativo), e internamente ⁴  ha luogo e le organizzazioni forniscono adeguate garanzie per questo. Inoltre, i dati trattati ai sensi di questa eccezione possono riguardare solo persone che sono (ex) membri dell’organizzazione o (in relazione al loro scopo) contatti regolari intrattenerla (ad esempio donatori regolari o partecipanti a eventi, ecc.).

5.     Dati auto-pubblicati (lettera e)

L’eccezione all’art. 9 cpv. 2 lett. e DSGVO spiega il trattamento di categorie speciali di dati quindi ammissibili se la persona che hanno ovviamente e deliberatamente, anche (o da un agente sulla sua persona) ha pubblicato.

Il pubblico deve essere inteso qui come un gruppo indefinito di persone a cui i dati sono resi accessibili (ad esempio liberamente su Internet o tramite media generali). La semplice partecipazione a un evento pubblico soddisfa i requisiti di cui all’articolo 9 capoverso 2 lett. e GDPR, tuttavia, e nemmeno il semplice fatto che le informazioni possano essere trovate su Internet utilizzando un motore di ricerca.

6.     Reclami legali e azioni legali (lettera f)

Per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria 5 sono necessarie categorie speciali di trattamento dei dati personali ai sensi dell’articolo 9 capoverso 2 lettera. f GDPR consentito. È irrilevante se i procedimenti sono giudiziari, extragiudiziali o amministrativi (considerando 52). Il trattamento è consentito anche per esigenze connesse ad atti giudiziari nell’ambito della loro attività giudiziaria .

L’eccezione all’art. 9 cpv. 2 lett. f GDPR rappresenta quindi un’estensione della corrispondente giustificazione di cui all’articolo 6 capoverso 1 lit. f GDPR (interesse legittimo) per i dati sensibili.

7.     Interesse pubblico significativo (lettera g)

L’eccezione all’art. 9 cpv. 2 lett. g GDPR è formulato in modo relativamente aperto (in contrasto con gli specifici interessi pubblici di cui alle lettere h, i e j) e si riferisce, in modo simile all’articolo 6 paragrafo 1 lettera. e e Art. 6 comma 3 GDPR, semplicemente su un interesse pubblico significativo , che richiede il trattamento di categorie speciali di dati personali (es. prevenzione del pericolo, applicazione dello Stato di diritto, finalità umanitarie, ecc.).

Un interesse pubblico così importante del pubblico in generale deve, tuttavia, essere codificato in una norma giuridica a livello di Unione o di Stato membro , che, nel senso di una ponderazione degli interessi, soddisfi determinati requisiti devo incontrare. Il regolamento deve essere proporzionato all’obiettivo perseguito (proporzionalità), salvaguardare l’essenza del diritto alla protezione dei dati e prevedere misure adeguate e specifiche per salvaguardare i diritti e gli interessi fondamentali dell’interessato (ad esempio informazioni, diritti degli interessati).

Nel caso dell’articolo 9 cpv. 2 lett. g GDPR è quindi una clausola di apertura con la quale il legislatore può prevedere deroghe al divieto generale di trattamento di categorie particolari di dati personali.

8.     Settore sanitario e sociale (lettera h)

L’eccezione all’art. 9 cpv. 2 lett. h GDPR si riferisce al trattamento dei dati che, in senso lato, riguarda l’assistenza sanitaria di un individuo . Consente il trattamento eccezionale di categorie speciali di dati personali, nella misura in cui sono ai fini di

• Assistenza sanitaria ,
• Medicina del lavoro ,
• Valutazione della capacità lavorativa di un dipendente,
• diagnostica medica ,
• Assistenza o trattamento nel settore sanitario o sociale, nonché
• Gestione di sistemi e servizi nel settore sanitario o sociale ⁶

è richiesto . È irrilevante se i servizi sono di carattere preventivo, diagnostico, curativo o di follow-up. Rientrano in questa eccezione anche, ad esempio, la conservazione prescritta dalla legge di cartelle cliniche (documentazione) per i medici, il trattamento dei dati sensibili da parte delle farmacie o dei centri di consulenza e dei servizi sociali.

Il trattamento sulla base di questa eccezione deve anche essere basato su una base giuridica nel diritto dell’Unione o dello Stato membro o essere giustificato da un contratto con un membro di una professione sanitaria .

Infine, per il trattamento di categorie speciali di dati personali sulla base dell’Art. 9 Par. h GDPR, le condizioni e le garanzie di cui all’articolo 9 comma 3 GDPR sono rispettate. Esse richiedono o che il trattamento sia effettuato da personale specializzato o sotto la loro supervisione e che tale personale specializzato sia soggetto al segreto professionale (es. Segreto del medico) oppure, qualora il trattamento sia effettuato da altre persone, sono anche soggetti all’obbligo di riservatezza . ^{7 °}

9.     Salute pubblica (lett. I)

L’eccezione all’art. 9 cpv. 2 lett. i DSGVO mira a mettere in discussione l’intero problema di salute e il rischio legale dagli aspetti. Categorie speciali di dati personali possono essere trattate se esiste un interesse pubblico nel settore della salute pubblica (ad esempio protezione contro gravi minacce per la salute transfrontaliera, garanzia di standard di alta qualità e sicurezza nell’assistenza sanitaria e per prodotti farmaceutici e dispositivi medici, ecc.), che rende necessaria tale elaborazione.

Anche in questo caso il presupposto è che vi sia una base giuridica nel diritto dell’Unione o dello Stato membro, che Fornisce misure appropriate e specifiche per salvaguardare i diritti e le libertà dell’interessato, in particolare il segreto professionale (ad esempio legge sulle epidemie, legge sugli agenti terapeutici, ecc.). Inoltre, con tale elaborazione deve essere osservata una rigorosa limitazione dello scopo .

10. Archiviazione, ricerca e finalità statistiche (lettera j)

Ai sensi dell’articolo 9 capoverso 2 lett. j GDPR, il trattamento di categorie speciali di dati personali per scopi di archiviazione nell’interesse pubblico , per scopi di ricerca scientifica e storica e per scopi statistici è consentito, a condizione che il trattamento sia necessario a tal fine .

Elaborazione basata sull’art. 9 cpv. 2 lett. j Il GDPR deve essere incorporato in uno standard legale a livello di Unione o Stato membro deve essere proporzionato all’obiettivo perseguito (proporzionalità), salvaguardare l’essenza del diritto alla protezione dei dati e fornire misure appropriate e specifiche per salvaguardare i diritti e gli interessi fondamentali dell’interessato (ad esempio informazioni, pseudonimizzazione, ecc.). Art. 9 cpv. 2 lett. j GDPR fa riferimento anche all’art. 89 comma 1 GDPR , che fornisce adeguate garanzie per i diritti e le libertà degli interessati per il trattamento dei dati per le finalità citate.

1 Per il rapporto con l’art. 6 GDPR, si vedano le spiegazioni di cui sopra nel capitolo “Divieto con riserva di autorizzazione (art. 9 GDPR)” alla nota 1.

2 let. a dipende dal fatto che non esiste una regola generale di divieto che escluda il consenso.

3 Non deve essere necessariamente una questione di vita o di morte.

4 La comunicazione all’esterno richiede il consenso espresso delle persone interessate.

5 La nozione di rivendicazioni legali deve essere interpretata in senso ampio.

6 “Amministrazione di sistemi e servizi nel settore sanitario o sociale” si riferisce anche all’area amministrativa (es. Archivio pazienti, statistiche, assicurazione della qualità, fatturazione dei sistemi di assicurazione sanitaria, ecc.). Tuttavia, l’esecuzione delle richieste di pagamento rientra nell’eccezione dell’articolo 9 capoverso 2 lettera lit. f RGPD e ricerca medica ai sensi dell’articolo 9 cpv. 2 lett. j GDPR.

7 Sia il segreto professionale che il dovere di riservatezza devono essere giustificati dal diritto dell’Unione, dal diritto di uno Stato membro o dalle disposizioni delle autorità nazionali competenti.

Dati personali su condanne penali e reati (art. 10 GDPR)

I dati personali relativi a condanne penali e reati non appartengono alle attuali categorie speciali ai sensi dell’articolo 9 GDPR. Tuttavia, il loro trattamento improprio può anche avere conseguenze gravi e stigmatizzanti per le persone colpite (ad es. Rischio di discriminazione), motivo per cui sono particolarmente bisognosi di protezione e il loro trattamento è specificamente regolato dall’art. 10 GDPR. In linea di principio, tali dati possono essere trattati da enti privati ​​o pubblici sulla base di una base giuridica ai sensi dell’articolo 6 capoverso 1 GDPR .

Tuttavia, l’articolo 10 GDPR postula inoltre che ciò può essere fatto solo alle condizioni rigorose di una supervisione ufficiale ¹ o da altre garanzie adeguate per i diritti e le libertà degli interessati stabiliti in una base giuridica nell’Unione o nello Stato membro (ad esempio §1173a Art. 28a ABGB in Liechtenstein per il trattamento di estratti del casellario giudiziario da parte di datori di lavoro privati).

Registri completi delle condanne penali possono anche essere tenuti esclusivamente sotto la supervisione ufficiale e non sotto la responsabilità privata (ad esempio casellario giudiziario nazionale per la fornitura di informazioni sulle condanne penali). ²  Art. 10 GDPR, a differenza dell’articolo 9 GDPR, non contiene un divieto generale di elaborazione, ma aumenta semplicemente i requisiti di elaborazione per quella particolare categoria di dati.

Art. 10 GDPR raccoglie dati personali su reati ³ , condanne penali e relative misure di sicurezza . Ciò include anche sanzioni pronunciate e quindi misure comparabili. L’ambito di applicazione dell’articolo 10 GDPR copre i dati personali di autori, istigatori e assistenti, ed eventualmente di sospettati ⁴ , ma non di testimoni, vittime o altri partecipanti a procedimenti penali. Per questi ultimi valgono “solo” le regole generali del GDPR (es. Accuratezza dei dati, proporzionalità, ecc.).

Soprattutto il principio di proporzionalità tuttavia, nel trattamento dei dati personali ai sensi dell’articolo 10 GDPR, grande importanza deve essere attribuita all’elevato rischio di discriminazione (ad es. per quanto riguarda i possibili destinatari, i periodi di conservazione, la minimizzazione dei dati, ecc.).

A titolo di demarcazione , va notato che i registri, le banche dati o anche i record di dati individuali (ad esempio sugli indagati) utilizzati dalle autorità competenti allo scopo di prevenire, indagare, accertare o perseguire reati o l’esecuzione di condanne , compresa la protezione contro e scongiurare il pericolo per la sicurezza pubblica, sono trattati, non rientrano nell’ambito di applicazione del GDPR o dell’articolo 10 GDPR (art. 2 comma 2 GDPR). Sono disciplinati dalla direttiva (UE) 2016/280 ⁵  , che è stata trasferita nel diritto del Liechtenstein dall’art. 45 e seguenti DSG.

1 Per vigilanza ufficiale non si intende un controllo statale indiretto tramite associazioni di categoria, ecc., Ma richiede una responsabilità relativa al contenuto per il trattamento, che spetta in tutto o in parte a un’autorità pubblica.

2 I registri completi contengono tutte le condanne penali di un gran numero di interessati in uno Stato membro. I database che contengono solo incidentalmente informazioni sui reati non sono inclusi.

3 Non deve essere necessariamente una condanna per un reato commesso (ad es. Per incapacità). Inoltre, sulla base di una base giuridica corrispondente, gli Stati membri possono anche applicare sanzioni amministrative e di diritto civile nell’ambito di applicazione dell’articolo 10 GDPR.

4 Nell’insegnamento è controverso se anche i dati personali degli indagati rientrino nell’ambito di applicazione dell’articolo 10 GDPR. Tuttavia, sembra, tuttavia, ad esempio, la segnalazione pubblica di un caso giudiziario suggerisca una protezione speciale dei dati personali degli indagati, indipendentemente dal fatto che il procedimento porti alla fine a una condanna sulla base del presunto reato o meno. Gli Stati membri possono anche regolamentare questa questione per legge.

5 Direttiva (UE) 2016/680 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativa alla protezione delle persone fisiche nel trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o l’esecuzione di condanne nonché per la libertà di circolazione e che abroga la decisione quadro del Consiglio 2008/977 / GAI.