Per trattamento dei dati il legislatore intende qualunque operazione effettuata anche senza l'ausilio di strumenti elettronici – concernenti raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione di dati – anche se non registrati in una banca di dati.
In relazione a ciò, il titolo III della parte I del D.Lgs. n. 196/2003 detta le regole generali per il trattamento dei dati, distinguendo tra quelle per tutti i trattamenti (capo I), quelle per i soggetti pubblici (capo II), ed infine per privati ed enti pubblici economici (capo III).
Tale normativa disciplina i casi in cui la gestione dei dati sensibili è autorizzata in quanto legata prettamente ad attività finalizzate all'interesse pubblico e i tipi di dati trattabili e le operazioni eseguibili per ciascuna delle attività previste ed assicura a tutti i soggetti che concedono informazioni e dati personali qualificabili come dati sensibili opportune garanzie in ordine al trattamento degli stessi da parte degli operatori dell'Amministrazione Pubblica e di altri soggetti che per essa effettuino il relativo trattamento.
A tal proposito il legislatore ha previsto che i dati siano: trattati in modo lecito e secondo correttezza; raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; esatti e, se necessario, aggiornati; pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
Il Titolare del trattamento e il Responsabile dei sistemi informativi, devono quindi preventivamente adottare procedure organizzative, informatiche e materiali che permettano al singolo incaricato l'accesso nel database ai soli dati necessari alle sue specifiche mansioni.
Tale accesso è consentito, oltre al titolare ed al responsabile, soltanto ad incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di convalida relativa ad uno specifico trattamento o ad un insieme di trattamenti.
La disciplina normativa specifica che il titolare dei dati sensibili ed il Garante della Privacy debbano essere messi in grado di conoscere come un'azienda gestisca tali dati.
In particolare, il Garante emana delle Autorizzazioni Generali che debbono essere rinnovate con cadenza annuale, con cui si autorizza il trattamento dei dati sensibili e la relativa gestione.
I dati sensibili individuati attraverso tali procedure vengono trattati previa verifica della loro pertinenza, completezza e indispensabilità rispetto alle finalità perseguite nei singoli casi, specie nel caso in cui la raccolta non avvenga presso l'interessato.
Gli adempimenti principali che consentano al Garante e ai terzi di conoscere esattamente se, perché e come una determinata azienda o ente gestisca dati sensibili sono: la notificazione all'Autorità Garante; l'informativa all'interessato; la raccolta dei consensi; la suddivisione dei compiti con l'attribuzione delle relative responsabilità all'interno dell'organizzazione del Titolare; l'adozione delle misure di sicurezza.Â
E’ previsto l'obbligo di notifica al Garante per il Titolare che esegue il trattamento di: dati genetici, dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; dati idonei a rivelare lo stato di salute e la vita sessuale; dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo; dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione; dati registrati in apposite banche dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni.