Que la preocupación por la Protección de Datos personales está creciendo es algo de lo que no hay duda. En el 2017 ya se percibía un cambio: tanto los ciudadanos como las empresas empiezan a ser conscientes de la importancia de proteger los datos personales.

Estamos viviendo un interesante cambio de mentalidad en la protección de la privacidad a nivel europeo y mundial. Por eso te voy a contar cómo se regulan los datos sensibles en el RGPD y cuáles son las diferencias con el resto de datos personales.

Datos personales según el RGPD

Se consideran datos personales los referidos a todo aquello que incluye:

  • Información de identificación directa como el nombre, el apellido, el número de teléfono, etc.
  • Datos seudonimizados o información de identificación no directa, que no permite la identificación directa de los usuarios pero sí permite individualizar comportamientos.

Seudonimización en el RGPD

El RGPD distingue claramente entre la información de identificación directa y los datos seudonimizados. Impulsa el uso de información seudonimizada e indica expresamente que “el uso de seudonimización en datos personales puede reducir el riesgo asociado a la gestión de datos y ayudar a los responsables y encargados del tratamiento a cumplir con sus obligaciones de protección de datos”.

La seudonimización no supone una completa anonimización o disociación completa de los datos o imposibilidad de reversión de los mismos, ya que existe siempre la posibilidad de identificar al interesado a través de información adicional. A diferencia de la anonimización, sí es considerada como un dato personal por el RGPD.

Mediante este proceso se pretende garantizar un mayor respeto a la privacidad de los afectados, ya que, a pesar de considerarse datos personales, el responsable limita el acceso a determinadas personas autorizadas, y por tanto minimiza el riesgo en el tratamiento.

Datos sensibles según el RGPD

El Reglamento establece en el artículo 9 las categorías especiales de datos mencionando los datos sensibles que exigen una especial protección, ya sea por su naturaleza o por la relación que puedan tener con los derechos y las libertades fundamentales de las personas, y les sujeta a disposiciones específicas cuando su tratamiento pueda suponer alto riesgo en la protección de datos.

Esta nueva normativa europea considera datos sensibles los referidos a:

  • Origen racial o étnico
  • Opiniones políticas
  • Creencias religiosas o filosóficas
  • Afiliación sindical
  • Los datos genéticos
  • Datos biométricos con el objetivo de identificar de manera exclusiva a un individuo
  • Aquellos datos relativos a la salud o la vida sexual y/o la orientación sexual

Inhabilitación para tratar datos sensibles

El RGPD establece por defecto la prohibición del tratamiento de estas categorías de datos sensibles con excepciones específicas:

  • en caso de que el interesado haya dado su consentimiento explícito
  • en el marco de actividades legítimas realizadas por asociaciones o fundaciones cuyo objetivo sea posibilitar el ejercicio de las libertades fundamentales
  • cuando exista un interés público fundamentado en la legislación vigente de cada país de la UE. Por ejemplo en el ámbito laboral, protección social, pensiones, sanidad u otras amenazas graves para la salud

Requisitos para poder tratar datos sensibles

Como excepción a la prohibición por defecto establecida, el reglamento permite tratar categorías especiales de datos cuando:

  • El interesado haya dado su consentimiento explícito para fines específicos, salvo que esté prohibido por la legislación vigente.
  • Sea necesario para proteger los intereses vitales del interesado, en casos en que esté incapacitado para otorgar su consentimiento.
  • El tratamiento lo realiza legítimamente una organización sin ánimo de lucro con finalidad política, filosófica, religiosa o sindical con relación a sus fines.
  • El interesado ha hecho manifiestamente públicos sus datos.
  • Cuando el tratamiento esté fundamentado en la legislación vigente, siempre que concurran unas circunstancias:
    • Bajo la responsabilidad de personas sujetas a la obligación del secreto profesional.
    • Para fines de asistencia sanitaria o social, medicina preventiva o laboral o diagnóstico médico incluida la evaluación de la capacidad laboral del trabajador.
    • Para procedimientos judiciales.
    • Cuando sea imprescindible para cumplir la legislación laboral, o la de seguridad o protección social o la de convenios colectivos.
    • Sea preciso por razones de interés público en el ámbito de la salud pública o la asistencia sanitaria.
    • Si es necesario para fines de archivo en interés público en investigaciones científicas, históricas o estadísticas.

Obligaciones en el tratamiento de datos sensibles

cuales son las obligaciones si tratamos datos sensibles

Los Responsables o Encargados que traten categorías especiales de datos deberán ajustarse a las siguientes obligaciones específicas que establece el RGPD:

Registro de actividades

Los Responsables o Encargados que traten datos sensibles deben llevar un Registro de actividades de tratamiento. En este registro debe incluirse información respecto a:

  • la identidad del responsable del fichero,
  • la identificación del fichero,
  • finalidades y los usos previstos,
  • el mecanismo de tratamiento utilizado en su organización,
  • el grupo de personas sobre el que se obtienen los datos,
  • el origen de los datos,
  • las categorías de datos,
  • el servicio o unidad de acceso,
  • la información sobre el nivel de medidas de seguridad básico, medio o alto exigible, y
  • la identidad del encargado del tratamiento en donde se encuentre ubicado el fichero a quién se realizarán las cesiones y transferencias internacionales de datos.

Evaluación de impacto

Los Responsables que realicen tratamientos a gran escala de categorías especiales de datos tendrán la obligación de realizar una evaluación de impacto relativa a la protección de datos.

Se trata de una herramienta esencial a través de la cual las entidades pueden evaluar previamente las vicisitudes a las que se verán sometidos los datos personales según los tratamientos previstos.

Este informe debe incluir:

  • Una especificación general de las actividades de tratamiento previstas.
  • Una evaluación de los riesgos para los derechos y libertades de los interesados.
  • Las medidas contempladas para hacer frente a los riesgos y amenazas.
  • Garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales y a demostrar la conformidad con el RGPD.

Delegado de Protección de Datos

Los Responsables o Encargados que realicen tratamientos a gran escala de categorías especiales de datos tendrán la obligación de designar un DPO.

Esta figura se convierte en uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.

Al Delegado de Protección de Datos, que deberá tener conocimientos especializados del Derecho y obviamente en protección de datos, y que realizará sus funciones de forma independiente, se le atribuyen una serie de funciones, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.

Especial referencia a datos genéticos y biométricos

El RGPD introduce nuevas definiciones en las categorías especiales de datos, como son los datos genéticos y biométricos.

  • Datos genéticos son “datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona”.
  • Datos biométricos se definen como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.

Estas dos categorías serán tratadas conforme lo indicado para las categorías de datos sensibles y será necesario encajarlo en alguno de los supuestos en los que dicho tratamiento tenga base de legitimación, ya sea mediante el consentimiento explícito del interesado o mediante alguno de los supuestos de dicho tratamiento recogidos en el artículo 9 del RGPD (por ejemplo, para proteger intereses vitales del interesado o de otra persona física, por razones de interés público esencial, etc).

Espero que este post te haya dado una visión general de la regulación de los datos sensibles por el RGPD y de tus obligaciones, en caso de que trates ese tipo de datos.

¿Tienes alguna pregunta? Compártela con nosotros en comentarios.

¿Necesitas cumplir la LOPD?

¿Por qué 2018 será el año de los datos sensibles?
4.6 (92.73%) 11 votos