I dati sensibili, nel diritto italiano, sono dati personali la cui raccolta e trattamento sono soggetti sia al consenso dell’interessato sia all’autorizzazione preventiva del Garante per la protezione dei dati personali. Secondo il Codice sulla protezione dei dati personali (D. Lgs. n. 196/2003, art. 4), sono considerati dati sensibili i dati personali idonei a rivelare: l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale Tale elenco viene considerato chiuso, nel senso che non è lecito procedere per analogia. Per esempio, è stato chiarito che la condizione sociale, le prestazioni sociali ricevute, titoli di studio formazione ed esperienze di lavoro, la solvibilità del debitore, il reddito percepito o il patrimonio posseduto non rientrano nel trattamento severo riservato ai dati sensibili (ma sono comunque tutelati dalla legge sulla privacy). Il legislatore stesso, all’articolo 27, ha trattato in modo severo anche i dati giudiziari. Inoltre, l’articolo 17 prevede la possibilità che il “Garante per la protezione dei dati personali” fissi specifiche modalità di trattamento in ulteriori casi non esplicitamente previsti dal legislatore nell’ambito di tutela previsto per i dati sensibili, quando ciò si renda necessario in ragione di un trattamento caratterizzato da rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare. Tale norma offre uno strumento sufficientemente elastico in un contesto molto dinamico da un lato (soprattutto tecnico ed economico) e ancora sconosciuto dall’altro lato (soprattutto giuridico), il tutto senza perdere di vista le finalità della legge sulla privacy, rimanendo comunque fermo il rispetto delle “misure ed accorgimenti a garanzia dell’interessato”, ove prescritti. Per quanto riguarda il trattamento dei dati sensibili da parte di soggetti privati il codice prevede che possano essere trattati “solo con il consenso scritto dell’interessato e previa autorizzazione del Garante”. La norma dunque richiede “ad substantiam” la forma scritta del consenso ai fini della validità del consenso stesso. Per quanto riguarda invece il trattamento dei dati sensibili da parte di soggetti pubblici il Codice prevede che il trattamento dei dati sensibili è consentito “solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite”. L’Unione Europea ha in corso di emanazione un nuovo regolamento che il Garante per la Privacy italiana, Pizzetti ha giudicato dettagliato ma poco flessibile. Valuta, invece, favorevolmente l’introduzione della privacy by design (la privacy va tutelata anche in fase di elaborazione del software) e quella del principio del carattere personale dell’indirizzo IP.