Cosa dice l’articolo 9 del GDPR (e perché ti riguarda anche se pensi di no)

Prima di metterlo in discussione, mettiamo le cose in chiaro: l’articolo 9 del GDPR è una norma sensata, e il principio che difende è giusto. È l’articolo che prende un gruppo ristretto di dati personali, i più delicati, e li chiude in un cassetto a parte con la chiave. La legge li chiama “categorie particolari di dati personali”; fino a qualche anno fa li chiamavamo tutti “dati sensibili”, e quel nome rende meglio l’idea: sono i dati che, se finiscono dove non devono, possono fare male davvero alla persona.

Tradotto da imprenditore a imprenditore, l’articolo 9 mette dentro questo cassetto poche cose precise: i dati sulla salute di una persona, la sua origine etnica o razziale, le sue opinioni politiche, le sue convinzioni religiose o filosofiche, l’appartenenza a un sindacato, i dati genetici, i dati del corpo usati per riconoscerla in modo univoco (l’impronta, il volto) e i dati sulla sua vita o sul suo orientamento sessuale. Non sono dati “in più” rispetto al nome e all’email. Sono dati di un’altra categoria, perché parlano della parte più privata di una persona.

La regola di base te la dico subito, perché è la cosa che quasi nessuno sa: di norma trattare questi dati è vietato. Non “da maneggiare con cura”: vietato, salvo eccezioni precise. Le eccezioni esistono e sono quelle che ti permettono di lavorare, il consenso esplicito che la persona ti dà, un obbligo di legge sul lavoro o sulla sanità, e poche altre. Ma il punto di partenza dell’articolo 9 è il divieto, non il permesso. È il modo in cui la legge ti dice: questi non li tieni in giro come gli altri.

E qui arriva la parte che fa cadere le braccia alla maggior parte degli imprenditori: “io questi dati non li tratto”. Quasi sempre non è vero. Se hai dei dipendenti, hai in mano i loro certificati di malattia, e magari l’iscrizione di qualcuno a un sindacato che vedi in busta paga: dati sulla salute e appartenenza sindacale, articolo 9 in pieno. Se hai un centro estetico, una palestra, uno studio (medico, dentistico, fisioterapico, psicologico), tratti dati sulla salute ogni giorno, è il tuo mestiere. Se servi cibo e raccogli allergie e intolleranze dei clienti, stai raccogliendo dati sulla salute. Se gestisci un’associazione, una scuola, una parrocchia, tocchi convinzioni e appartenenze. La fotografia di un cliente che mostra una condizione fisica, la dieta che ti lascia, la richiesta di un permesso per motivi di salute: sono tutti dati particolari, e tu ne tratti più di quanti pensi.

Fin qui è tutto ragionevole, e un imprenditore serio è il primo a volere che la salute di un suo cliente o di un suo dipendente non finisca in mano a chiunque. Questo è il punto da cui partiamo: l’articolo 9 è giusto, e proteggere questi dati è sano. Il punto non è se la norma esista o se ti riguarda. Ti riguarda. Il punto è un altro, ed è il motivo per cui sei finito su questa pagina: dove vivono oggi, dentro la tua azienda, i dati più delicati che le persone ti hanno affidato?

I dati particolari non sono dati “in più”: sono dati che fanno più male se escono

Cominciamo dalla parte che cambia tutto il discorso. Se ti scappa l’email o il numero di telefono di un cliente, è una seccatura: gli arriverà un po’ di pubblicità indesiderata, si arrabbierà, e avrà ragione. Ma se ti scappa un dato sulla sua salute, la terapia che segue, una condizione che teneva per sé, o la sua appartenenza a un sindacato o a un credo, il danno è di un altro ordine. Non è un fastidio: è una cosa che può rovinare un rapporto, una reputazione, a volte una vita. Ecco perché la legge li mette in un cassetto a parte. Non per cattiveria burocratica, ma perché il peso di quei dati, per la persona, è diverso.

Ed è qui che casca l’asino. La legge tratta questi dati come una categoria speciale, con un livello di protezione più alto. La tua azienda, quasi sempre, li tratta esattamente come tutti gli altri: il certificato medico arriva via email e resta lì, la foto del cliente finisce nella chat, l’allergia viene segnata nel gestionale accanto all’indirizzo di consegna, il documento delicato viene salvato in una cartella sul portatile di chi gestisce l’amministrazione. Il dato che la legge vuole sottochiave vive insieme a tutti gli altri, sparso negli stessi sei posti, accessibile alle stesse persone. La carta dice “categoria particolare”, la realtà dice “una riga come le altre”.

Non hai un problema con l’articolo 9. Hai un problema con dei dati che la legge vuole sottochiave e che la tua azienda tiene nel cassetto di tutti: il certificato medico vive accanto alla lista della spesa dei contatti.

E qui c’è una distinzione che ti toglie metà delle preoccupazioni, se la conosci. Un avvocato o un consulente bravo fa un lavoro vero: capisce quali dati particolari tratti, ti dice su quale base puoi trattarli (il consenso esplicito, l’obbligo di legge), scrive l’informativa che lo dichiara e ti copre sul piano del diritto. È il loro mestiere e lo fanno bene. Ma c’è una cosa che il documento non può fare: spostare i dati. L’avvocato descrive dove dovrebbero stare e con quale permesso; non va a vedere che la foto è ancora su WhatsApp, che il certificato è in tre cartelle diverse, che al file ci arriva chiunque accenda quel computer. Il diritto descrive, non sistema. E con i dati particolari la distanza tra quello che la carta dichiara e dove i dati vivono davvero non è un dettaglio: è esattamente la cosa che ti espone di più.

Lo stesso certificato medico vive in cinque posti, e nessuno sa più dove

Mettiamo che tu abbia tutto in regola sulla carta: l’informativa giusta, il consenso esplicito raccolto come si deve, la base giuridica corretta. Resta il fatto che quei dati delicati, una volta entrati in azienda, non stanno fermi in un posto solo. Si muovono, si copiano, si spargono, esattamente come tutti gli altri. Ed è qui che nasce il guaio vero, quello operativo, di cui l’articolo 9 è solo lo specchio.

Segui un solo certificato medico di un dipendente, dal momento in cui entra. Arriva come allegato a una email, e lì resta, nella casella di posta. Viene stampato e messo in un raccoglitore in ufficio. Qualcuno lo fotografa col telefono per girarlo al consulente del lavoro, e ora vive anche in una chat. Viene salvato come file in una cartella sul portatile dell’amministrazione, “per averlo a portata di mano”. L’originale finisce in un cassetto. Lo stesso dato sulla salute di una persona, dopo un solo passaggio, vive in cinque posti diversi, e almeno uno di questi (la chat sul telefono) non è nemmeno sotto il tuo controllo. È la definizione di un Frankenstein operativo: pezzi cuciti a mano, ognuno con la sua copia, nessuno che parla con gli altri. Solo che qui i pezzi cuciti insieme non sono contatti qualsiasi: sono i dati che la legge voleva sottochiave.

Il risultato lo conosci anche se non l’hai mai chiamato così. Quel dipendente, un domani, ti chiede di cancellare i suoi dati sanitari ora che il rapporto è chiuso. Tu cancelli dalla cartella sul portatile e ti senti a posto. Ma il certificato è ancora nella casella email, è ancora nella chat di chi l’ha girato al consulente, è in un raccoglitore di carta che nessuno ha più aperto. Hai cancellato da un posto e lasciato acceso negli altri quattro. La stessa scena vale quando un cliente ti chiede dove sono finiti i suoi dati e chi li ha visti: per i dati normali è già difficile rispondere, per i dati particolari è il momento in cui ti accorgi che non lo sai proprio.

E c’è il lato proprietà, che con questi dati pesa il doppio. La foto del cliente, il documento sanitario, il dato delicato vivono spesso su strumenti che non sono tuoi: una chat su un’app altrui, un account in affitto, il telefono personale di chi lavora con te. Il giorno che quella persona se ne va, una parte di quei dati delicati se ne va con il suo telefono. Non è un’ipotesi da paranoici: è come funziona oggi in quasi tutte le PMI italiane.

Il modo più rapido per dirlo: l’articolo 9 non ti chiede una carta più severa, ti chiede che i dati più delicati vivano in un posto solo, tuo, dove può aprirli solo chi deve e resta scritto chi li ha toccati. Lo si ottiene facendo confluire i dati di clienti, dipendenti e contatti in un archivio unico dove ogni persona vive una volta sola: un database tuo, sotto il tuo controllo, dove il dato delicato non è una riga uguale alle altre ma una riga con un accesso ristretto e tracciato. Da lì, quando arriva la richiesta di vedere o cancellare, c’è un posto solo dove andare. È lo stesso principio che vale per cosa significa davvero il GDPR per la tua azienda: non una carta più bella, un sottosuolo dove la carta diventa vera.

Cosa chiede l’articolo 9 in più, e cosa fa il tuo backend sotto

L’articolo 9 non aggiunge solo “stai più attento”. Aggiunge obblighi concreti, e ognuno di questi diventa impossibile da rispettare quando i dati delicati sono sparsi. Messi a confronto si vede subito dove si rompe il giocattolo.

Dati particolari sparsi nei sei postiDati particolari in un posto solo, tuo
Chi può aprirliChiunque abbia il file o la chatSolo chi deve, l’accesso è ristretto
Il consenso esplicito che hai raccoltoDichiarato sulla carta, ingovernabile nei fattiLegato al dato, in un punto solo
Chi li ha vistiImpossibile da ricostruireRegistrato: si sa chi ha aperto cosa
Cancellazione su richiestaCaccia al tesoro su cinque postiUn’azione sola, su un dato solo
Dove vivono fisicamenteEmail, chat, portatili, fogli, cartaUn archivio tuo, sotto il tuo controllo
Se uno se ne va con il telefonoUna parte dei dati delicati se ne va con luiNiente: il dato non vive sui dispositivi personali
Cosa rischi se esconoIl livello di danno e di sanzione più pesanteUn perimetro chiuso, tracciato, difendibile

Letta così, sparisce la domanda sbagliata (“ho l’informativa giusta sui dati particolari?”) e resta quella giusta: i dati più delicati che custodisco vivono in un posto solo dove controllo chi li apre e cosa ne faccio, o sono sparsi insieme a tutti gli altri, dove la carta promette una protezione che il sottosuolo non mantiene?

Testa la tua azienda →

Prima di rifare l’informativa o raccogliere l’ennesimo consenso, scopri dove vivono davvero i dati delicati della tua azienda: il voto di conformità in pochi minuti, gratis e senza carta di credito.

Trattare dati delicati nel disordine ti costa due volte: in rischio e in fiducia

Tenere i dati particolari sparsi insieme a tutti gli altri, mentre la legge li vuole in un cassetto a parte, ti presenta il conto da due lati nello stesso momento.

Dal lato del rischio concreto: i dati dell’articolo 9 sono quelli su cui la legge è più severa, e il giorno in cui qualcosa va storto (una richiesta di un cliente a cui non sai rispondere, un dato delicato che finisce dove non doveva, una verifica) la distanza tra quello che la carta promette e dove i dati vivono davvero diventa visibile tutta insieme. Una fuga di dati normali è un problema; una fuga di dati sanitari o di una qualunque di queste categorie ricade nella fascia più seria, sia per il danno alla persona sia per il livello di sanzione che il GDPR collega a questi trattamenti. E se quel dato è uscito perché viveva su un telefono personale o in una chat fuori dal tuo controllo, sei tu a dover spiegare come è potuto succedere, in una procedura da seguire entro tempi stretti che è già difficile da affrontare a freddo, figurarsi mentre cerchi in cinque posti dove fosse finito il dato.

Dal lato della fiducia, che con questi dati è la posta vera: quando una persona ti lascia un dato sulla sua salute, una sua fragilità, una cosa che racconta solo a chi si fida, ti sta consegnando la parte più privata di sé. Tenerla nel cassetto di tutti, accessibile a chiunque accenda un computer, fotografata in una chat, non è solo un rischio legale: è tradire, senza neanche accorgersene, la fiducia che ti ha permesso di lavorare con quella persona. Un cliente perdona un disservizio. Fa molta più fatica a perdonare di aver scoperto che il suo dato più delicato girava libero. E quella fiducia, una volta incrinata, non te la ridà nessuna informativa scritta bene.

Qui l’articolo 9 smette di essere un argomento da avvocati e diventa un pezzo del tuo backend operativo, cioè della macchina che fa girare l’azienda sotto le carte. Il principio è lo stesso che applico ovunque, solo applicato ai dati che pesano di più: il dato vive in un posto solo, tuo, con un registro di chi lo tocca, e per i dati particolari l’accesso è ristretto a chi davvero deve. Da lì discendono in automatico le cose che l’articolo 9 ti chiede e che sparso non puoi mantenere: poter dimostrare le misure di sicurezza che hai adottato, tenere il registro che il regolamento pretende, e, quando il trattamento di questi dati è su larga scala, affrontare la valutazione d’impatto che la legge richiede partendo da un quadro chiaro invece che da sei isole. Non una carta migliore: un sottosuolo dove la carta diventa vera.

La domanda non è “ho il consenso giusto sui dati sensibili”. È: quei dati, oggi, li può aprire solo chi deve, e li so cancellare davvero quando me lo chiedono, o sono sparsi in cinque posti che non controllo del tutto?

Cinque domande oneste sui dati delicati che custodisci

Non serve una consulenza da migliaia di euro per capire se i dati particolari della tua azienda sono protetti come l’articolo 9 pretende, o solo sulla carta. Bastano cinque domande.

  1. Sai dire, di getto, quali dati particolari tratta oggi la tua azienda (salute, allergie, certificati, appartenenze, immagini che rivelano una condizione), o non ci avevi mai pensato in questi termini?
  2. Quei dati, adesso, in quanti posti diversi vivono: email, chat, gestionale, fogli, cartelle sui portatili, carta?
  3. Chi, tra chi lavora con te, può aprire un dato sanitario di un cliente o di un dipendente: solo chi deve, o di fatto chiunque abbia accesso a quel file?
  4. Se un dipendente domani esercita il diritto di cancellare i suoi dati sulla salute, lo puoi fare in tutti i posti dove sono finiti, o ne resterebbe qualche copia accesa da qualche parte?
  5. Se chi gestisce quei documenti se ne andasse domani con il suo telefono e il suo portatile, quali dati delicati se ne andrebbero con lui?

Se a queste domande hai risposto con un sospiro, non sei nei guai: sei nella situazione di quasi tutte le PMI italiane, che trattano dati particolari senza un posto dove tenerli al sicuro davvero. La differenza non la fa sapere a memoria il testo dell’articolo 9, ma sapere con precisione dove vivono oggi quei dati e chi può aprirli. E questo lo puoi misurare adesso, da solo, in pochi minuti.

GDPR Quick Audit · il voto di conformità del tuo sito

Rispondi a poche domande sulla tua azienda (cosa raccogli, dove tieni davvero i dati dei clienti, chi vi accede, come gestisci consenso e richieste) e in pochi minuti hai un voto chiaro su quanto sei a posto e dove sei più scoperto, a partire dai dati che pesano di più. Niente gergo da avvocato, solo dove intervenire per primo.

Inserisci i dati e parti. Senza carta di credito. Il risultato lo salvi nella tua Officina con la sola email, se vuoi tenertelo.

Calcola il tuo voto GDPR · gratis →

Il voto è il punto di partenza. Dice quanto i tuoi dati delicati sono davvero al sicuro; cosa farne, lo decidi tu.

Le domande che ti stai facendo adesso

Cosa sono i dati sensibili secondo l’articolo 9 del GDPR?

Sono un gruppo ristretto di dati personali, i più delicati, che il GDPR chiama “categorie particolari” e che fino a qualche anno fa chiamavamo “dati sensibili”. L’articolo 9 ci mette dentro: i dati sulla salute, l’origine etnica o razziale, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, i dati del corpo usati per riconoscere una persona in modo univoco (impronta, volto), e i dati sulla vita o l’orientamento sessuale. La regola di base è che trattarli è vietato, salvo eccezioni precise come il consenso esplicito o un obbligo di legge. Il senso è semplice: sono i dati che, se escono, fanno più male alla persona, quindi vanno protetti di più.

Qual è la differenza tra dati personali e dati particolari?

I dati personali sono tutto ciò che riguarda una persona riconoscibile: nome, email, telefono, indirizzo, abitudini d’acquisto. I dati particolari (gli ex sensibili) sono un sottoinsieme più piccolo e più delicato: parlano della salute, delle convinzioni, dell’origine, della sfera più intima. La differenza pratica è il livello di protezione: i dati personali “normali” li tratti con le regole generali del GDPR; i dati particolari partono da un divieto, e per trattarli ti serve una base più solida, come il consenso esplicito. Tradotto: gli uni li tieni in ordine, gli altri li tieni in ordine e sottochiave.

La mia azienda tratta dati particolari anche se non è uno studio medico?

Quasi sicuramente sì, e quasi sempre senza averci pensato. Se hai dei dipendenti, gestisci certificati di malattia e magari iscrizioni a un sindacato: salute e appartenenza sindacale, articolo 9. Se raccogli allergie o intolleranze dei clienti, tratti dati sulla salute. Se hai un centro estetico, una palestra, uno studio professionale, è il tuo pane quotidiano: ne parlo nel pezzo dedicato ai dati particolari di centri estetici e palestre. Le cliniche e gli ambulatori hanno un livello in più, che trovi nell’articolo sui dati sanitari per chi lavora nella sanità. Il punto è che “non tratto dati sensibili” è quasi sempre falso: il primo passo è accorgersi di averli.

Serve il consenso per trattare i dati sensibili?

Spesso sì, ma non sempre, ed è qui che serve un professionista vero. L’articolo 9 parte dal divieto e poi elenca le eccezioni che ti permettono di trattare questi dati: la più comune per chi vende un servizio è il consenso esplicito, cioè un “sì” chiaro e specifico della persona, non una casella spuntata di nascosto. Ma ci sono casi in cui la base è un’altra, per esempio gli obblighi di legge sul lavoro per i certificati dei dipendenti. Capire quale base si applica alla tua situazione è il mestiere di un consulente o di un avvocato, e fanno bene a curarlo loro. Quello che resta a te, in ogni caso, è far vivere quei dati in un posto solo dove il consenso che hai raccolto sia davvero collegato al dato giusto, invece che dichiarato su una carta e perso nei fatti.

Cosa rischio se i dati sensibili dei miei clienti finiscono in giro?

Il rischio è di due tipi, e arrivano insieme. C’è il rischio legale: una fuga o un uso scorretto di dati particolari ricade nella fascia più seria del GDPR, e da cosa dipende davvero quanto rischi lo spiego in un articolo a parte, ma in sintesi pesa più di un problema sui dati comuni. E se c’è una violazione, scatta una procedura a tempo per gestirla. Poi c’è il rischio che fa più male nel lungo periodo: la fiducia. Un cliente che scopre che il suo dato più privato girava libero difficilmente torna. Il modo per ridurre entrambi è lo stesso: non lasciare quei dati sparsi, ma tenerli in un posto solo, con accesso ristretto e tracciato.

Da dove inizio, senza impegno?

Dagli strumenti diagnostici gratuiti: misuri in pochi minuti quanto sei a posto sui dati che pesano di più (cosa raccogli, dove vivono, chi può aprirli), senza carta di credito e senza parlare con nessuno. Poi, se ha senso, ne parliamo.

Puoi continuare a tenere i dati più delicati dei tuoi clienti e dei tuoi dipendenti nel cassetto di tutti, sparsi in cinque posti, sperando che non li guardi nessuno. Oppure puoi sapere, con un numero, quanto sono davvero al sicuro oggi.

Smetti di tenere i dati più delicati nel cassetto di tutti. Dagli un posto solo, tuo.

La maggior parte degli imprenditori che mi scrive non ha un problema con l’articolo 9 come norma. Spesso non sa nemmeno di trattarne, di dati particolari, e quando se ne accorge scopre che vivono dove vivono tutti gli altri: il certificato nella email e nella chat, la foto sul telefono, l’allergia segnata accanto all’indirizzo, il documento delicato in una cartella su un portatile. La legge li voleva sottochiave; la realtà li tiene nel cassetto comune.

Una carta più severa non lo risolve, perché il buco non è nell’informativa: è in dove finiscono a vivere i dati che la carta promette di proteggere. Lo risolve far confluire tutto in un posto solo che è tuo, un archivio unico dove i dati delicati hanno un accesso ristretto e resta scritto chi li ha aperti, così che il consenso che hai raccolto, il diritto di cancellare i dati di una persona quando te lo chiede e gli obblighi dell’articolo 9 diventino cose che puoi davvero mantenere. Poi l’avvocato scrive un’informativa che descrive un sistema in ordine, invece di rincorrere un caos. Se vuoi vedere il percorso intero, passo per passo, c’è la guida all’adeguamento GDPR per le PMI: si parte sempre da dove vivono i dati, non dalla carta.

Non ti chiedo di firmare niente e non ti chiedo di credermi. Non sono un avvocato e non ti vendo la conformità garantita: l’interpretazione legale la cura chi di dovere, e fa un mestiere vero. Io sigillo i buchi operativi sotto le carte: metto i dati in un posto solo, tuo, con un registro di chi li tocca e l’accesso ristretto sui più delicati. Ti chiedo solo di guardare il voto della tua azienda, gratis, in pochi minuti. Se quello che vedi ti suona familiare, andiamo avanti. Se non fa per te, chiudiamo qui senza rancore.

La legge vuole i tuoi dati più delicati sottochiave. Adesso scopri se quella chiave esiste davvero, o se sono ancora in giro per cinque posti!

Testa la tua azienda →

Strumenti gratuiti. Senza carta di credito. Senza parlare con nessuno.