Desde que entró en vigor el RGPD existe el concepto de datos sensibles, una categoría especial de datos personales, que de acuerdo a la ley no se pueden tratar salvo que se reúna alguna de las condiciones específicas. En esta entrada vamos explicar en detalle qué son estos datos sensibles o especialmente protegidos y cuándo sí está permitido su tratamiento.
¿Qué son los datos sensibles?
Empecemos por definir qué son exactamente los datos sensibles, a los que también podréis encontrar bajo la denominación de «categorías especiales de datos». Los datos sensibles de una persona son aquellos datos que están estrechamente relacionados con los derechos y las libertades fundamentales de las personas y cuyo tratamiento puede conllevar riesgos importantes para estos derechos y libertades.
Los datos personales sensibles son aquellos que, por su especial importancia para la privacidad del individuo, deben ser almacenados y tratados siguiendo una serie de condiciones y requisitos especiales.
Datos sensibles o especialmente protegidos en el RGPD
Los datos sensibles en el RGPD están recogidos en el artículo 9, donde se exige una especial protección de este tipo de datos personales, sujetándolos a disposiciones específicas cuando su tratamiento pueda suponer alto riesgo en la protección de datos.
Es en el considerando 51 de este Reglamento donde encontramos esa categorización de datos especialmente sensible en relación con los derechos y libertades fundamentales de los interesados y por tanto, estos datos no deben ser tratados, salvo que se permita su tratamiento en situaciones específicas contempladas en el propio Reglamento.
Estas excepciones deben establecerse de forma explícita cuando el interesado de su consentimiento explícito o concurran determinadas razones relacionadas con el interés público, cuestiones sanitarias, de seguridad o cuando sea necesario para permitir el ejercicio de libertades fundamentales por razones de interés público.
Señalamos que el RGPD solo trata sobre los datos sensibles de las personas físicas, es decir, que no su normativa no es de aplicación para los datos sensibles de una empresa.
¿Qué tipo de datos considera sensibles el RGPD?
El artículo 9.1 del RGPD considera datos especialmente protegidos aquellos datos personales que revelen información de los interesados sobre:
- Origen étnico o racial
- Opiniones políticas
- Convicciones religiosas y filosóficas
- Afiliación sindical
- Genética
- Biométricos
- Salud
- Vida sexual
- Orientación sexual
Datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas
Estos datos son considerados sensibles porque pueden causar discriminación de las personas en determinados procesos, como puede ser una entrevista de trabajo, en la concesión de un préstamo o la prestación de servicio, al poder provocar prejuicios en base a la pertenencia a un determinado colectivo o etnia.
La afiliación sindical
Conocerse los datos de afiliación sindical de una persona también puede provocar discriminación, por ejemplo, a la hora de buscar un nuevo empleo, puesto que el futuro empleador pueda juzgar problemático que un trabajador forme parte o haya formado parte de un sindicato, un comité de empresa o una agrupación sindical.
Datos genéticos, datos biométricos tratados únicamente para identificar un ser humano
Los datos genéticos son aquellos datos personales relacionados con características genéticas, heredadas o adquiridas, de una persona física, que provienen del análisis de una muestra biológica de dicha persona, en concreto a través de un análisis cromosómico, un análisis del ADN o del ARN o de cualquier otro elemento que permita obtener información equivalente.
Por su parte, los datos biométricos son aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física, con los que se pueda conformar la identificación única de dicha persona.
Se reconocen dos tipos de datos biométricos:
- Los identificadores fisiológicos que incluyen el reconocimiento facial, las huellas dactilares, la geometría de los dedos, el reconocimiento del iris, el reconocimiento de venas, el escaneo de retina, el reconocimiento de voz y la comparación de ADN.
- Los identificadores de comportamiento que incluyen las formas únicas en las que actúan las personas, como los patrones de escritura, la forma de caminar y los gestos.
Datos relativos a la salud
El RGPD considera datos relativos a la salud aquellos datos personales sobre la salud física o mental de una persona física e incluyen la prestación de servicios de atención sanitaria, que revelen información sobre el estado de salud del interesado pasado, presente o futuro.
Datos relativos a la vida sexual u orientación sexual de una persona
Los datos relativos a la vida sexual u orientación sexual de una persona son aquellos datos personales que pudieran revelar este tipo de información relativa a una persona física y entre cuyas consecuencias se encuentra la posible discriminación o riesgo para la persona.
Algunos ejemplos
Vamos a citar algunos ejemplos de datos personales sensibles pertenecientes a las categorías anteriores para ilustrar un poco mejor qué son estos datos sensibles según la protección de datos.
Si tenemos un formulario en nuestra página web, no podremos incluir una casilla en la que preguntemos por la raza de la persona. De la misma forma que no podemos inquirir por ideología política o convicciones religiosas a la hora de recoger una suscripción a nuestra web.
Aunque en principio, el tratamiento de fotografías de personas no se considera sistemáticamente tratamiento de categorías especiales de datos personales, debemos tener en cuenta que si sometemos a esas fotografías a un tratamiento con un medio técnico específico que permite la identificación inequívoca de las personas, sí que estaríamos hablando de datos especialmente protegidos.
Cuando en nuestro trabajo se recoge nuestra huella dactilar para emplearla para tener acceso a las instalaciones, por ejemplo, estaríamos ante el tratamiento de un dato sensible, concretamente, biométrico, que deberá estar justificado entre las excepciones que permiten su tratamiento.
Requisitos para tratar datos sensibles
Como ya hemos dicho, el RGPD prohíbe el tratamiento de los datos personales sensibles salvo que concurra alguno de los siguientes requisitos:
- El interesado haya dado su consentimiento explícito para fines específicos, salvo que esté prohibido por la legislación vigente.
- Sea necesario para proteger los intereses vitales del interesado, en casos en que esté incapacitado para otorgar su consentimiento.
- El tratamiento lo realiza legítimamente una organización sin ánimo de lucro con finalidad política, filosófica, religiosa o sindical con relación a sus fines.
- El interesado ha hecho manifiestamente públicos sus datos.
- Cuando el tratamiento esté fundamentado en la legislación vigente, siempre que concurran unas circunstancias:
- Bajo la responsabilidad de personas sujetas a la obligación del secreto profesional.
- Para fines de asistencia sanitaria o social, medicina preventiva o laboral o diagnóstico médico incluida la evaluación de la capacidad laboral del trabajador.
- Para procedimientos judiciales.
- Cuando sea imprescindible para cumplir la legislación laboral, o la de seguridad o protección social o la de convenios colectivos.
- Sea preciso por razones de interés público en el ámbito de la salud pública o la asistencia sanitaria.
- Si es necesario para fines de archivo en interés público en investigaciones científicas, históricas o estadísticas.
Condiciones para su tratamiento
Como ya hemos dicho, como regla general el RGPD prohíbe el tratamiento de las categoría de datos especiales, salvo que se de alguna de las excepciones o requisitos que hemos visto en el punto anterior. Además, también se habrá de cumplir el resto de la normativa de protección de datos, especialmente con el principio de licitud.
Medidas obligatorias para poder tratar datos sensibles
Los responsables o encargados que traten datos personales sensibles deben de tomar una serie de medidas obligatorias de acuerdo don el RGPD.
Registro de las Actividades de Tratamiento
Responsables o encargados deberán elaborar un registro de actividades de tratamiento de estos datos sensibles, en el que se incluya la siguiente información:
- La identidad del responsable del fichero,
- La identificación del fichero,
- Finalidades y los usos previstos,
- El mecanismo de tratamiento utilizado en su organización,
- El grupo de personas sobre el que se obtienen los datos,
- El origen de los datos,
- Las categorías de datos,
- El servicio o unidad de acceso,
- La información sobre el nivel de medidas de seguridad básico, medio o alto exigible, y
- La identidad del encargado del tratamiento en donde se encuentre ubicado el fichero a quién se realizarán las cesiones y transferencias internacionales de datos.
Elaboración de una Evaluación de Impacto
Los Responsables que realicen tratamientos a gran escala de categorías especiales de datos tendrán la obligación de realizar una evaluación de impacto relativa a la protección de datos.
Se trata de una herramienta esencial a través de la cual las entidades pueden evaluar previamente las vicisitudes a las que se verán sometidos los datos personales según los tratamientos previstos.
Este informe debe incluir:
- Una especificación general de las actividades de tratamiento previstas.
- Una evaluación de los riesgos para los derechos y libertades de los interesados.
- Las medidas contempladas para hacer frente a los riesgos y amenazas.
- Garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales y a demostrar la conformidad con el RGPD.
Nombramiento del Delegado de Protección de Datos
Los Responsables o Encargados que realicen tratamientos a gran escala de categorías especiales de datos tendrán la obligación de designar un DPO.
Esta figura es uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.
Al Delegado de Protección de Datos, que deberá tener conocimientos especializados del Derecho y obviamente en protección de datos, y que realizará sus funciones de forma independiente, se le atribuyen una serie de funciones, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.
Medidas de seguridad
A la hora de tratar datos sensibles se debe tener en cuenta los principios de confidencialidad, integridad y disponibilidad de la información.
Así mismo, se debe tener presente que los datos sensibles, si llegan a ser comprometidos, pueden tener un impacto negativo en los interesados, pudiendo causarles estrés, pérdidas económicas o incluso llega a poner en riesgo sus derechos fundamentales de primera generación, como la vida o la integridad física.
Por ello, se deben implementar las medidas de seguridad adecuadas que prevengan y eviten cualquier tipo de brecha de seguridad.
Si bien, el RGPD no especifica qué medidas de seguridad en concreto deben adoptar las empresas para proteger los datos especialmente protegidos, sí que reconoce que una forma de minimizar estos riesgos pasa por clasificar la información.
Si tomamos el marco de la ISO 27001, para hacer una correcta clasificación de la información lo primero que hay que hacer es definir las directrices para clasificar dicha información, para después clasificarla por niveles y etiquetarla. También es necesario definir cómo será el manejo de esa información según el nivel de clasificación, incluyendo restricciones de acceso, protección de las copias, el almacenamiento y la desclasificación y destrucción.
Así mismo, será obligación de los responsables y encargados definir los plazos de conservación de los datos sensibles, puesto que estos no deben conservarse más tiempo del estrictamente necesario.
Diferencias entre datos sensibles y datos personales
Hemos visto que estos datos de categorías especiales, pero ¿qué diferencias hay entre datos sensibles y datos personales?
Mientras que los datos personales son aquellos datos que incluyen información de identificación directa del interesado (nombre, apellidos, número de teléfono, etc.), así como aquellos datos seudonimizados (información no directa que no permite la identificación de interesados, pero sí individualizar comportamientos) y pueden ser tratados bajo la normativa de protección de datos, los datos sensibles no solo pueden identificar directamente a una persona, sino que además, y como ya hemos señalado, pueden poner en riesgo sus derechos libertades fundamentales.
Por lo tanto, la principal diferencia está en el grado de protección, puesto que no todos los datos de carácter personal son iguales ante la Ley, y aunque los datos sensibles son datos personales, su protección debe ser mayor.
Resumen sobre tratamiento de datos personales sensibles
Finalmente, os resumimos los pasos que debéis contemplar a la hora de tratar datos personales sensibles:
- Analiza el tipo de datos que estás tratando y si pertenece a una categoría especialmente protegida o no.
- Si es un dato personal sensible, comprueba si puedes aplicar alguna de las excepciones a la prohibición del tratamiento.
- En cualquier caso, solicita el consentimiento explícito del interesado o interesados.
- Informa sobre cada una de las finalidades del uso de esos datos.
- Realiza una evaluación de impacto antes de iniciar cualquier tratamiento de estos datos.
- Realiza un registro de actividades de tratamiento.
- Implementa y aplica las medidas de seguridad necesarias para salvaguardar estos datos sensibles.
Espero que este post te haya dado una visión general de la regulación de los datos sensibles y de tus obligaciones, en caso de que trates datos especialmente protegidos por el RGPD.
¿Tienes alguna pregunta? Compártela con nosotros en comentarios.