[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/02\/07\/rgpd-datos-sensibles\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2018\/02\/07\/rgpd-datos-sensibles\/","headline":"Los datos sensibles seg\u00fan el RGPD y c\u00f3mo tratarlos","name":"Los datos sensibles seg\u00fan el RGPD y c\u00f3mo tratarlos","description":"\u00bfTu empresa maneja datos sensibles? \u00bfNo tienes muy claro qu\u00e9 son? Te explicamos qu\u00e9 dice el RGPD al respecto de estas categor\u00edas especiales de datos \u2705","datePublished":"2018-02-07","dateModified":"2022-06-21","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2018\/02\/datos-sensibles-01.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2018\/02\/datos-sensibles-01.jpg","height":843,"width":1500},"url":"https:\/\/ayudaleyprotecciondatos.es\/2018\/02\/07\/rgpd-datos-sensibles\/","about":["LOPDGDD & RGPD"],"wordCount":2664,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } Desde que entr\u00f3 en vigor el RGPD existe el concepto de datos sensibles, una categor\u00eda especial de datos personales, que de acuerdo a la ley no se pueden tratar salvo que se re\u00fana alguna de las condiciones espec\u00edficas. En esta entrada vamos explicar en detalle qu\u00e9 son estos datos sensibles o especialmente protegidos y cu\u00e1ndo s\u00ed est\u00e1 permitido su tratamiento.\u00bfQu\u00e9 son los datos sensibles?Datos sensibles o especialmente protegidos en el RGPD\u00bfQu\u00e9 tipo de datos considera sensibles el RGPD?Datos personales que revelen el origen racial o \u00e9tnico, las opiniones pol\u00edticas, las convicciones religiosas o filos\u00f3ficasLa afiliaci\u00f3n sindicalDatos gen\u00e9ticos, datos biom\u00e9tricos tratados \u00fanicamente para identificar un ser humanoDatos relativos a la saludDatos relativos a la vida sexual u orientaci\u00f3n sexual de una personaAlgunos ejemplosRequisitos para tratar datos sensiblesCondiciones para su tratamientoMedidas obligatorias para poder tratar datos sensiblesRegistro de las Actividades de TratamientoElaboraci\u00f3n de una Evaluaci\u00f3n de ImpactoNombramiento del Delegado de Protecci\u00f3n de DatosMedidas de seguridadDiferencias entre datos sensibles y datos personalesResumen sobre tratamiento de datos personales sensibles\u00bfNecesitas cumplir el RGPD?\u00bfQu\u00e9 son los datos sensibles?Empecemos por definir qu\u00e9 son exactamente los datos sensibles, a los que tambi\u00e9n podr\u00e9is encontrar bajo la denominaci\u00f3n de \u00abcategor\u00edas especiales de datos\u00bb. Los datos sensibles de una persona son aquellos datos que est\u00e1n estrechamente relacionados con los derechos y las libertades fundamentales de las personas y cuyo tratamiento puede conllevar riesgos importantes para estos derechos y libertades.Los datos personales sensibles son aquellos que, por su especial importancia para la privacidad del individuo, deben ser almacenados y tratados siguiendo una serie de condiciones y requisitos especiales.Datos sensibles o especialmente protegidos en el RGPDLos datos sensibles en el RGPD est\u00e1n recogidos en el art\u00edculo 9, donde se exige una especial protecci\u00f3n de este tipo de datos personales, sujet\u00e1ndolos a disposiciones espec\u00edficas cuando su tratamiento pueda suponer alto riesgo en la protecci\u00f3n de datos.Es en el considerando 51 de este Reglamento donde encontramos esa categorizaci\u00f3n de datos especialmente sensible en relaci\u00f3n con los derechos y libertades fundamentales de los interesados y por tanto, estos datos no deben ser tratados, salvo que se permita su tratamiento en situaciones espec\u00edficas contempladas en el propio Reglamento.Estas excepciones deben establecerse de forma expl\u00edcita cuando el interesado de su consentimiento expl\u00edcito o concurran determinadas razones relacionadas con el inter\u00e9s p\u00fablico, cuestiones sanitarias, de seguridad o cuando sea necesario para permitir el ejercicio de libertades fundamentales por razones de inter\u00e9s p\u00fablico.Se\u00f1alamos que el RGPD solo trata sobre los datos sensibles de las personas f\u00edsicas, es decir, que no su normativa no es de aplicaci\u00f3n para los datos sensibles de una empresa.\u00bfQu\u00e9 tipo de datos considera sensibles el RGPD?El art\u00edculo 9.1 del RGPD considera datos especialmente protegidos aquellos datos personales que revelen informaci\u00f3n de los interesados sobre:Origen \u00e9tnico o racialOpiniones pol\u00edticasConvicciones religiosas y filos\u00f3ficasAfiliaci\u00f3n sindicalGen\u00e9ticaBiom\u00e9tricosSaludVida sexualOrientaci\u00f3n sexualDatos personales que revelen el origen racial o \u00e9tnico, las opiniones pol\u00edticas, las convicciones religiosas o filos\u00f3ficasEstos datos son considerados sensibles porque pueden causar discriminaci\u00f3n de las personas en determinados procesos, como puede ser una entrevista de trabajo, en la concesi\u00f3n de un pr\u00e9stamo o la prestaci\u00f3n de servicio, al poder provocar prejuicios en base a la pertenencia a un determinado colectivo o etnia.La afiliaci\u00f3n sindicalConocerse los datos de afiliaci\u00f3n sindical de una persona tambi\u00e9n puede provocar discriminaci\u00f3n, por ejemplo, a la hora de buscar un nuevo empleo, puesto que el futuro empleador pueda juzgar problem\u00e1tico que un trabajador forme parte o haya formado parte de un sindicato, un comit\u00e9 de empresa o una agrupaci\u00f3n sindical.Datos gen\u00e9ticos, datos biom\u00e9tricos tratados \u00fanicamente para identificar un ser humanoLos datos gen\u00e9ticos son aquellos datos personales relacionados con caracter\u00edsticas gen\u00e9ticas, heredadas o adquiridas, de una persona f\u00edsica, que provienen del an\u00e1lisis de una muestra biol\u00f3gica de dicha persona, en concreto a trav\u00e9s de un an\u00e1lisis cromos\u00f3mico, un an\u00e1lisis del ADN o del ARN o de cualquier otro elemento que permita obtener informaci\u00f3n equivalente.Por su parte, los datos biom\u00e9tricos son aquellos datos personales obtenidos a partir de un tratamiento t\u00e9cnico espec\u00edfico, relativos a las caracter\u00edsticas f\u00edsicas, fisiol\u00f3gicas o conductuales de una persona f\u00edsica, con los que se pueda conformar la identificaci\u00f3n \u00fanica de dicha persona.Se reconocen dos tipos de datos biom\u00e9tricos:Los identificadores fisiol\u00f3gicos que incluyen el reconocimiento facial, las huellas dactilares, la geometr\u00eda de los dedos, el reconocimiento del iris, el reconocimiento de venas, el escaneo de retina, el reconocimiento de voz y la comparaci\u00f3n de ADN.Los identificadores de comportamiento que incluyen las formas \u00fanicas en las que act\u00faan las personas, como los patrones de escritura, la forma de caminar y los gestos.Datos relativos a la saludEl RGPD considera datos relativos a la salud aquellos datos personales sobre la salud f\u00edsica o mental de una persona f\u00edsica e incluyen la prestaci\u00f3n de servicios de atenci\u00f3n sanitaria, que revelen informaci\u00f3n sobre el estado de salud del interesado pasado, presente o futuro.Datos relativos a la vida sexual u orientaci\u00f3n sexual de una personaLos datos relativos a la vida sexual u orientaci\u00f3n sexual de una persona son aquellos datos personales que pudieran revelar este tipo de informaci\u00f3n relativa a una persona f\u00edsica y entre cuyas consecuencias se encuentra la posible discriminaci\u00f3n o riesgo para la persona.Algunos ejemplosVamos a citar algunos ejemplos de datos personales sensibles pertenecientes a las categor\u00edas anteriores para ilustrar un poco mejor qu\u00e9 son estos datos sensibles seg\u00fan la protecci\u00f3n de datos.Si tenemos un formulario en nuestra p\u00e1gina web, no podremos incluir una casilla en la que preguntemos por la raza de la persona. De la misma forma que no podemos inquirir por ideolog\u00eda pol\u00edtica o convicciones religiosas a la hora de recoger una suscripci\u00f3n a nuestra web.Aunque en principio, el tratamiento de fotograf\u00edas de personas no se considera sistem\u00e1ticamente tratamiento de categor\u00edas especiales de datos personales, debemos tener en cuenta que si sometemos a esas fotograf\u00edas a un tratamiento con un medio t\u00e9cnico espec\u00edfico que permite la identificaci\u00f3n inequ\u00edvoca de las personas, s\u00ed que estar\u00edamos hablando de datos especialmente protegidos.Cuando en nuestro trabajo se recoge nuestra huella dactilar para emplearla para tener acceso a las instalaciones, por ejemplo, estar\u00edamos ante el tratamiento de un dato sensible, concretamente, biom\u00e9trico, que deber\u00e1 estar justificado entre las excepciones que permiten su tratamiento.Requisitos para tratar datos sensiblesComo ya hemos dicho, el RGPD proh\u00edbe el tratamiento de los datos personales sensibles salvo que concurra alguno de los siguientes requisitos:El interesado haya dado su consentimiento expl\u00edcito para fines espec\u00edficos, salvo que est\u00e9 prohibido por la legislaci\u00f3n vigente.Sea necesario para proteger los intereses vitales del interesado, en casos en que est\u00e9 incapacitado para otorgar su consentimiento.El tratamiento lo realiza leg\u00edtimamente una organizaci\u00f3n sin \u00e1nimo de lucro con finalidad pol\u00edtica, filos\u00f3fica, religiosa o sindical con relaci\u00f3n a sus fines.El interesado ha hecho manifiestamente p\u00fablicos sus datos.Cuando el tratamiento est\u00e9 fundamentado en la legislaci\u00f3n vigente, siempre que concurran unas circunstancias:Bajo la responsabilidad de personas sujetas a la obligaci\u00f3n del secreto profesional.Para fines de asistencia sanitaria o social, medicina preventiva o laboral o diagn\u00f3stico m\u00e9dico incluida la evaluaci\u00f3n de la capacidad laboral del trabajador.Para procedimientos judiciales.Cuando sea imprescindible para cumplir la legislaci\u00f3n laboral, o la de seguridad o protecci\u00f3n social o la de convenios colectivos.Sea preciso por razones de inter\u00e9s p\u00fablico en el \u00e1mbito de la salud p\u00fablica o la asistencia sanitaria.Si es necesario para fines de archivo en inter\u00e9s p\u00fablico en investigaciones cient\u00edficas, hist\u00f3ricas o estad\u00edsticas.Condiciones para su tratamientoComo ya hemos dicho, como regla general el RGPD proh\u00edbe el tratamiento de las categor\u00eda de datos especiales, salvo que se de alguna de las excepciones o requisitos que hemos visto en el punto anterior. Adem\u00e1s, tambi\u00e9n se habr\u00e1 de cumplir el resto de la normativa de protecci\u00f3n de datos, especialmente con el principio de licitud.Medidas obligatorias para poder tratar datos sensiblesLos responsables o encargados que traten datos personales sensibles deben de tomar una serie de medidas obligatorias de acuerdo don el RGPD.Registro de las Actividades de TratamientoResponsables o encargados deber\u00e1n elaborar un registro de actividades de tratamiento de estos datos sensibles, en el que se incluya la siguiente informaci\u00f3n:La identidad del responsable del fichero,La identificaci\u00f3n del fichero,Finalidades y los usos previstos,El mecanismo de tratamiento utilizado en su organizaci\u00f3n,El grupo de personas sobre el que se obtienen los datos,El origen de los datos,Las categor\u00edas de datos,El servicio o unidad de acceso,La informaci\u00f3n sobre el nivel de medidas de seguridad b\u00e1sico, medio o alto exigible, yLa identidad del encargado del tratamiento en donde se encuentre ubicado el fichero a qui\u00e9n se realizar\u00e1n las cesiones y transferencias internacionales de datos.Elaboraci\u00f3n de una Evaluaci\u00f3n de ImpactoLos Responsables que realicen tratamientos a gran escala de categor\u00edas especiales de datos tendr\u00e1n la obligaci\u00f3n de realizar una evaluaci\u00f3n de impacto relativa a la protecci\u00f3n de datos.Se trata de una herramienta esencial a trav\u00e9s de la cual las entidades pueden evaluar previamente las vicisitudes a las que se ver\u00e1n sometidos los datos personales seg\u00fan los tratamientos previstos.Este informe debe incluir:Una especificaci\u00f3n general de las actividades de tratamiento previstas.Una evaluaci\u00f3n de los riesgos para los derechos y libertades de los interesados.Las medidas contempladas para hacer frente a los riesgos y amenazas.Garant\u00edas, medidas de seguridad y mecanismos destinados a garantizar la protecci\u00f3n de datos personales y a demostrar la conformidad con el RGPD.Nombramiento del Delegado de Protecci\u00f3n de DatosLos Responsables o Encargados que realicen tratamientos a gran escala de categor\u00edas especiales de datos tendr\u00e1n la obligaci\u00f3n de designar un DPO.Esta figura es uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protecci\u00f3n de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.Al Delegado de Protecci\u00f3n de Datos, que deber\u00e1 tener conocimientos especializados del Derecho y obviamente en protecci\u00f3n de datos, y que realizar\u00e1 sus funciones de forma independiente, se le atribuyen una serie de funciones, entre las que destacan informar y asesorar, as\u00ed como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.Medidas de seguridadA la hora de tratar datos sensibles se debe tener en cuenta los principios de confidencialidad, integridad y disponibilidad de la informaci\u00f3n.As\u00ed mismo, se debe tener presente que los datos sensibles, si llegan a ser comprometidos, pueden tener un impacto negativo en los interesados, pudiendo causarles estr\u00e9s, p\u00e9rdidas econ\u00f3micas o incluso llega a poner en riesgo sus derechos fundamentales de primera generaci\u00f3n, como la vida o la integridad f\u00edsica.Por ello, se deben implementar las medidas de seguridad adecuadas que prevengan y eviten cualquier tipo de brecha de seguridad.Si bien, el RGPD no especifica qu\u00e9 medidas de seguridad en concreto deben adoptar las empresas para proteger los datos especialmente protegidos, s\u00ed que reconoce que una forma de minimizar estos riesgos pasa por clasificar la informaci\u00f3n.Si tomamos el marco de la ISO 27001, para hacer una correcta clasificaci\u00f3n de la informaci\u00f3n lo primero que hay que hacer es definir las directrices para clasificar dicha informaci\u00f3n, para despu\u00e9s clasificarla por niveles y etiquetarla. Tambi\u00e9n es necesario definir c\u00f3mo ser\u00e1 el manejo de esa informaci\u00f3n seg\u00fan el nivel de clasificaci\u00f3n, incluyendo restricciones de acceso, protecci\u00f3n de las copias, el almacenamiento y la desclasificaci\u00f3n y destrucci\u00f3n.As\u00ed mismo, ser\u00e1 obligaci\u00f3n de los responsables y encargados definir los plazos de conservaci\u00f3n de los datos sensibles, puesto que estos no deben conservarse m\u00e1s tiempo del estrictamente necesario.Diferencias entre datos sensibles y datos personalesHemos visto que estos datos de categor\u00edas especiales, pero \u00bfqu\u00e9 diferencias hay entre datos sensibles y datos personales?Mientras que los datos personales son aquellos datos que incluyen informaci\u00f3n de identificaci\u00f3n directa del interesado (nombre, apellidos, n\u00famero de tel\u00e9fono, etc.), as\u00ed como aquellos datos seudonimizados (informaci\u00f3n no directa que no permite la identificaci\u00f3n de interesados, pero s\u00ed individualizar comportamientos) y pueden ser tratados bajo la normativa de protecci\u00f3n de datos, los datos sensibles no solo pueden identificar directamente a una persona, sino que adem\u00e1s, y como ya hemos se\u00f1alado, pueden poner en riesgo sus derechos libertades fundamentales.Por lo tanto, la principal diferencia est\u00e1 en el grado de protecci\u00f3n, puesto que no todos los datos de car\u00e1cter personal son iguales ante la Ley, y aunque los datos sensibles son datos personales, su protecci\u00f3n debe ser mayor.Resumen sobre tratamiento de datos personales sensiblesFinalmente, os resumimos los pasos que deb\u00e9is contemplar a la hora de tratar datos personales sensibles:Analiza el tipo de datos que est\u00e1s tratando y si pertenece a una categor\u00eda especialmente protegida o no.Si es un dato personal sensible, comprueba si puedes aplicar alguna de las excepciones a la prohibici\u00f3n del tratamiento.En cualquier caso, solicita el consentimiento expl\u00edcito del interesado o interesados.Informa sobre cada una de las finalidades del uso de esos datos.Realiza una evaluaci\u00f3n de impacto antes de iniciar cualquier tratamiento de estos datos.Realiza un registro de actividades de tratamiento.Implementa y aplica las medidas de seguridad necesarias para salvaguardar estos datos sensibles.Espero que este post te haya dado una visi\u00f3n general de la regulaci\u00f3n de los datos sensibles y de tus obligaciones, en caso de que trates datos especialmente protegidos por el RGPD.\u00bfTienes alguna pregunta? Comp\u00e1rtela con nosotros en comentarios. \u00bfNecesitas cumplir el RGPD? Solicita varios presupuestos "},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/02\/07\/rgpd-datos-sensibles\/#breadcrumbitem","name":"Los datos sensibles seg\u00fan el RGPD y c\u00f3mo tratarlos"}}]}]