Sicurezza Legale

Quali sono i vari tipi di dati nel GDPR

Scopri quali sono i vari tipi di dati citati nel GDPR, differenze tra dati comuni, sensibili e particolari, e regole per il loro trattamento.

dati personali

28 Novembre 2025

Indice dei contenuti

  • Cosa sono i dati personali nel GDPR
  • I dati particolari o sensibili
  • Dati genetici e biometrici
  • Dati relativi alla salute
  • Dati resi manifestamente pubblici
  • Quando i dati particolari possono essere trattati
  • Il ruolo del consenso
  • Senza il consenso: i casi ammessi
  • Le responsabilità dei titolari del trattamento

Quando si parla di GDPR (General Data Protection Regulation), uno dei primi interrogativi che emerge è: quali sono i vari tipi di dati citati nel GDPR?

La normativa europea, entrata in vigore nel 2018, non si limita a disciplinare genericamente il trattamento dei dati personali, ma distingue tra categorie diverse, con livelli di protezione più o meno elevati.

Comprendere queste differenze è fondamentale per aziende, enti pubblici, associazioni e persino per i singoli cittadini, perché le regole cambiano a seconda della tipologia di dato trattato.

In questo approfondimento analizzeremo in dettaglio i dati citati nel GDPR, chiarendo quali sono i vari tipi di dati citati nel GDPR, cosa li caratterizza e in quali circostanze possono essere trattati.

Approfondiremo i concetti di dati particolari, dati sensibili, dati relativi alla salute, dati biometrici intesi a identificare in modo univoco una persona fisica, e vedremo quando serve il consenso esplicito o quando la legge consente di procedere senza il consenso per motivi di sanità pubblica, ricerca scientifica o storica o a fini statistici, oppure per accertare esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali.

Cosa sono i dati personali nel GDPR

Il GDPR definisce i dati personali come qualsiasi informazione riguardante una persona fisica identificata o identificabile. L’identificazione può avvenire direttamente (ad esempio tramite nome e cognome) o indirettamente (tramite codice fiscale, indirizzo IP, geolocalizzazione, ecc.).

Un dato personale, dunque, è qualsiasi informazione che permette di identificare in modo univoco una persona o che, combinata con altri dati, rende possibile questa identificazione. Ad esempio:

  • Nome e cognome.
  • Numero di telefono.
  • Indirizzo email.
  • Codice fiscale.
  • Dati di localizzazione.
  • Identificativi online (come cookie e IP).

Questa prima categoria include informazioni che, seppur apparentemente innocue, possono essere utilizzate per ricondurre le attività a un individuo specifico.

I dati particolari o sensibili

Accanto ai dati personali “semplici”, il GDPR prevede una sottocategoria di informazioni che richiedono maggiore protezione: i dati particolari, spesso indicati anche come dati sensibili.

Secondo l’articolo 9 del regolamento, rientrano in questa categoria i dati personali che rivelano:

  • Origine razziale o etnica.
  • Opinioni politiche.
  • Convinzioni religiose o filosofiche.
  • Appartenenza sindacale o a altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali.
  • Dati genetici.
  • Dati biometrici intesi a identificare in modo univoco una persona fisica.
  • Dati relativi alla salute.
  • Vita sessuale o orientamento sessuale della persona.

Queste informazioni sono particolarmente delicate perché, se diffuse o utilizzate impropriamente, possono comportare discriminazioni o violazioni gravi dei diritti fondamentali della persona.

Dati genetici e biometrici

Tra i vari tipi di dati citati nel GDPR, una particolare attenzione è rivolta ai dati genetici e ai dati biometrici.

I dati genetici riguardano le caratteristiche ereditarie di una persona, ottenute tramite analisi di campioni biologici. Possono rivelare lo stato di salute, la predisposizione a malattie, o addirittura legami di parentela.

I dati biometrici intesi a identificare riguardano invece tratti unici dell’individuo, come impronte digitali, riconoscimento facciale, scansione dell’iride o della voce. Sono utilizzati per identificare in modo univoco una persona fisica, ad esempio nei sistemi di sicurezza o nei controlli di accesso.

Entrambe queste tipologie, sebbene utili in ambito medico, lavorativo o di sicurezza, richiedono garanzie aggiuntive perché possono essere sfruttate per scopi discriminatori o invasivi.

Dati relativi alla salute

I dati relativi alla salute costituiscono una delle categorie più protette dal GDPR. Si tratta di tutte le informazioni che descrivono lo stato di salute fisico o mentale di una persona, passata, presente o futura. Rientrano in questa categoria:

  • Referti medici.
  • Cartelle cliniche.
  • Informazioni su disabilità.
  • Terapie in corso.
  • Esiti di analisi.

La legge stabilisce che tali dati possono essere trattati solo in presenza di precise condizioni, come il consenso esplicito dell’interessato, oppure senza consenso quando si tratta di motivi di sanità pubblica o di trattamento effettuato da professionisti sanitari soggetti al segreto professionale.

resi manifestamente pubblici

Dati resi manifestamente pubblici

Un aspetto interessante riguarda i dati che la stessa persona ha resi manifestamente pubblici. In questi casi, il GDPR ammette che le informazioni possano essere trattate anche senza un consenso esplicito, se l’interessato ha volontariamente divulgato tali dati.

Esempio
Un individuo pubblica spontaneamente il proprio stato di salute su un social network. Tecnicamente quel dato sensibile è reso pubblico e, seppur restando protetto, può essere trattato in condizioni meno stringenti rispetto a dati non divulgati.

Quando i dati particolari possono essere trattati

La regola generale del GDPR è che i dati particolari non possono essere trattati senza una specifica base giuridica. Tuttavia, il regolamento prevede delle eccezioni.

I casi principali in cui il trattamento è lecito:

  • Con il consenso esplicito dell’interessato.
  • Per motivi di interesse pubblico rilevante, come la sanità pubblica.
  • Quando i dati sono stati resi manifestamente pubblici dall’interessato.
  • Per motivi di ricerca scientifica o storica o a fini statistici, purché siano garantite adeguate misure di tutela.
  • Per adempiere a obblighi in materia di diritto del lavoro o protezione sociale.
  • Per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali.

Questi scenari mostrano che, pur essendo “blindati” da tutele rafforzate, i dati sensibili non sono completamente intoccabili: ci sono situazioni in cui il loro trattamento è non solo possibile, ma necessario.

Il ruolo del consenso

Uno degli elementi cardine del GDPR è il consenso esplicito. A differenza del semplice consenso (che può essere implicito o generico), il consenso esplicito deve essere:

  • Libero.
  • Specifico.
  • Informato.
  • Inequivocabile.

Ad esempio, un paziente deve firmare un modulo che lo informa chiaramente su come verranno trattati i suoi dati relativi alla salute. Non è sufficiente una casella pre-selezionata o un’informativa vaga: l’utente deve sapere esattamente a cosa acconsente.

Senza il consenso: i casi ammessi

In alcune circostanze, però, il trattamento di dati sensibili è consentito anche senza il consenso dell’interessato. È il caso, ad esempio, di:

  • Emergenze sanitarie che richiedono la gestione di dati per tutelare la sanità pubblica.
  • Indagini giudiziarie che necessitano di raccogliere dati per accertare, esercitare o difendere un diritto in sede giudiziaria.
  • Attività di ricerca scientifica o storica o a fini statistici, con misure adeguate di anonimizzazione e sicurezza.

Queste eccezioni dimostrano come il GDPR cerchi un equilibrio tra la protezione della privacy e la necessità di perseguire interessi collettivi o legali.

Le responsabilità dei titolari del trattamento

Chiunque tratti i dati citati nel GDPR aziende, enti pubblici, associazioni o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali deve essere consapevole delle proprie responsabilità.

Il titolare del trattamento deve:

  • Definire chiaramente le finalità.
  • Minimizzare i dati raccolti.
  • Garantire misure di sicurezza adeguate.
  • Consentire l’esercizio dei diritti dell’interessato (accesso, rettifica, cancellazione, limitazione).

Per concludere

Capire quali sono i vari tipi di dati citati nel GDPR significa andare oltre la semplice distinzione tra dati personali e dati sensibili. La normativa europea ha introdotto categorie specifiche come i dati genetici, i dati biometrici intesi a identificare, i dati relativi alla salute e i dati resi pubblici dall’interessato, ognuna con regole precise.

Il principio fondamentale resta sempre lo stesso: i dati devono essere trattati con trasparenza, minimizzazione e sicurezza, e possono essere trattati solo in presenza di basi giuridiche solide, con il consenso esplicito o nei casi previsti dalla legge.

La sfida per imprese e organizzazioni è garantire il massimo livello di tutela, non solo per rispettare gli obblighi normativi, ma per costruire fiducia nei confronti degli utenti e dei cittadini.

Domande e risposte

  1. Quali sono i vari tipi di dati citati nel GDPR?
    Il GDPR distingue tra dati personali comuni e dati particolari o sensibili, come quelli genetici, biometrici e relativi alla salute.
  2. Cosa si intende per dati particolari?
    Sono dati che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose, appartenenza sindacale, dati genetici, biometrici e sanitari.
  3. Quali dati sensibili non possono essere trattati senza consenso?
    Dati relativi alla salute, genetici, biometrici e altri dati particolari richiedono sempre una base giuridica, spesso il consenso esplicito.
  4. I dati resi manifestamente pubblici hanno meno tutele?
    Hanno comunque protezione, ma possono essere trattati più facilmente se la persona li ha divulgati volontariamente.
  5. Quando è obbligatorio il consenso esplicito?
    Sempre quando si trattano dati sensibili come salute, religione, genetica o biometria.
  6. È possibile trattare dati senza il consenso?
    Sì, in casi specifici come sanità pubblica, ricerca scientifica o giudiziaria.
  7. Cosa sono i dati genetici?
    Informazioni ottenute da campioni biologici che rivelano caratteristiche ereditarie o predisposizioni a malattie.
  8. Cosa sono i dati biometrici intesi a identificare una persona?
    Sono caratteristiche fisiche o comportamentali uniche usate per identificare in modo univoco una persona fisica.
  9. Quali responsabilità hanno le aziende sui dati?
    Devono garantire sicurezza, minimizzazione dei dati e rispetto dei diritti degli interessati.
  10. Cosa prevede il GDPR per la ricerca scientifica o statistica?
    Consente il trattamento di dati sensibili senza consenso, purché con misure adeguate di sicurezza e anonimizzazione.
1
To top