Los datos personales son el núcleo del Reglamento general de protección de datos (RGPD). Sin embargo, muchas personas aún no están seguras de a qué se refieren exactamente los datos personales. No existe una lista definitiva de lo que son o no son datos personales, por lo que todo se reduce a interpretar correctamente la definición del RGPD. En otras palabras, cualquier información que sea claramente sobre una persona en particular se considera dato personal. Pero, ¿cuán ampliamente se aplica esto? Dedicamos este post a explicar qué son los datos personales, sus características, tratamiento, ejemplos, datos no personales y datos especialmente protegidos.
¿Qué son los datos personales?
El RGPD define los datos personales como toda información relativa a una persona física identificada o identificable. Aclara que esto se aplica siempre que una persona pueda ser identificada, directa o indirectamente, «por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de la física, fisiológica identidad genética, mental, económica, cultural o social de esa persona física «.
Esa es una gran cantidad de información. En determinadas circunstancias, la dirección IP, el color de pelo, el trabajo o las opiniones políticas de una persona pueden considerarse datos personales.
Las organizaciones generalmente recopilan muchos tipos diferentes de información sobre las personas, e incluso si un dato no identifica a alguien, podría volverse relevante junto con otra información.
Por ejemplo, un controlador de datos que solicita información sobre las personas que descargan productos de su sitio web podría pedirles que indiquen su ocupación.
Esto no se incluye en el alcance de los datos personales del RGPD porque, con toda probabilidad, el título de un trabajo no es exclusivo de una persona.
De manera similar, una organización podría preguntar para qué empresa trabajas, lo cual, nuevamente, no podría usarse para identificar a alguien a menos que sea el único empleado.
Sin embargo, en muchos casos, estas piezas de información podrían usarse juntas para reducir el número de personas físicas vivas hasta tal punto que podría establecer razonablemente la identidad de alguien.
Características
Existen cuatro características importantes para considerar los datos como personales:
- Toda información: significa que tanto la información objetiva como la subjetiva sobre una persona, cualquiera que sea su amplitud, y con independencia del soporte técnico que la contenga, puede considerarse como datos personales.
- Sobre: aquí se incluyen tres elementos, contenido, finalidad o resultado, para determinar si la información versa «sobre» una persona física. Se refiere a que la información se refiera o sea relativa a una persona física.
- Persona identificada o identificable: implica que se deba prestar atención a las condiciones que deben darse para poder considerar a una persona como «identificable», y especialmente en los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona para identificar a dicha persona.
- Persona física: esto significa que los datos personales se refieran a seres vivos. La información relativa a personas fallecidas no se debe considerar como datos personales, ya que los difuntos dejan de ser personas físicas para el Derecho civil. Sin embargo, en determinados casos los datos de los difuntos aún pueden recibir indirectamente una cierta protección. En el caso del concebido pero no nacido, la aplicación de las normas de protección va a depender de lo que establezca el ordenamiento jurídico nacional.
Ejemplos de datos personales
Los datos personales ordinarios pueden incluir detalles de identificación personal como nombre y dirección, relaciones con clientes, finanzas personales, asuntos relacionados con impuestos, deudas, días de enfermedad, circunstancias relacionadas con el trabajo, circunstancias familiares, residencia, automóvil, calificaciones, solicitudes, CV, fecha de empleo, puesto, área de trabajo, teléfono del trabajo, datos clave: fecha de nacimiento, dirección IP u otra información similar.
Estos son algunos ejemplos de lo que podrían considerarse datos de carácter personal, ya sea por sí mismos o en combinación con información adicional:
- Información biográfica o situación de vida actual, incluidas fechas de nacimiento, números de seguridad social, números de teléfono y direcciones de correo electrónico.
- Apariencia y comportamiento, incluido el color de ojos, el peso y los rasgos de carácter.
- Datos del lugar de trabajo e información sobre educación, incluido el salario, la información fiscal y el número de estudiantes.
- Datos privados y subjetivos, incluida la religión, las opiniones políticas y los datos de seguimiento geográfico.
- Salud, enfermedad y genética, incluidos antecedentes médicos, datos genéticos e información sobre bajas por enfermedad.
¿Qué dicen el RGPD y la LOPDGDD sobre el tratamiento de datos de carácter personal?
El tratamiento de datos personales incluye cualquier forma de manejo de esos datos. Esto puede incluir la recopilación, registro, sistematización, almacenamiento, búsqueda, uso, divulgación o eliminación de datos personales.
El RGPD requiere que se tenga en cuenta cómo se utilizan los datos para tomar decisiones sobre personas específicas. Una información que no califica como datos personales para una organización podría convertirse en datos personales si una organización diferente entrara en posesión de ella en función del impacto que estos datos podrían tener en el individuo.
Todo depende del motivo por el que la organización esté procesando los datos. Si una organización procesa datos con el único propósito de identificar a alguien, entonces los datos son, por definición, datos personales.
Dos ejemplos:
Primero, una foto de una calle en manos de un fotógrafo no es un dato personal, mientras que esa misma foto en manos de un investigador que está trabajando para identificar a las personas y vehículos que estaban presentes en esa calle en ese momento en particular se consideraría datos personales de las personas interesadas.
En segundo lugar, la videovigilancia o las imágenes de seguridad cuyo único propósito es ser utilizado para identificar a las personas cuando y donde las autoridades lo consideren oportuno deben considerarse como procesamiento de datos sobre personas identificables, incluso si, en algunos casos, las personas grabadas no pueden ser identificadas.
Si no estás seguro de si la información que almacenas son datos personales o no, es mejor pecar de cauteloso.
Esto significa asegurarse de que el procesamiento de datos personales se limite a lo necesario y conservar los datos solo mientras cumplan con su propósito.
También debes considerar seriamente la posibilidad de seudonimizar y / o cifrar la información, especialmente si se trata de categorías especiales de datos personales.
La seudonimización enmascara los datos reemplazando la información de identificación con identificadores artificiales.
Aunque es fundamental para proteger los datos y puede ayudar a proteger la privacidad y la seguridad de los datos personales, la seudonimización tiene sus límites, por lo que el RGPD también menciona el cifrado.
El cifrado también oculta la información al reemplazar los identificadores con otra cosa. Pero mientras que la seudonimización permite que cualquier persona con acceso a los datos vea parte del conjunto de datos, el cifrado permite que solo los usuarios aprobados accedan al conjunto de datos completo.
La seudonimización y el cifrado se pueden utilizar simultáneamente o por separado.
La regla general es que tanto el responsable del tratamiento como el encargado del tratamiento deben tomar las medidas de seguridad técnicas y organizativas adecuadas sobre la base de una evaluación de riesgos específica. La evaluación puede implicar que se deban tomar medidas concretas, físicas o técnicas, como cerrar las instalaciones y tomar otras medidas para garantizar que personas no autorizadas no puedan acceder a datos sensibles.
¿Qué se consideran datos NO personales?
En su forma más básica, los datos no personales son cualquier conjunto de datos que no contienen información de identificación personal. En esencia, esto significa que ningún individuo o persona viva puede ser identificada al observar tales datos.
Por ejemplo, si bien los detalles del pedido recopilados por un servicio de entrega de alimentos tendrán el nombre, la edad, el sexo y otra información de contacto de una persona, se convertirán en datos no personales si se eliminan los identificadores como el nombre y la información de contacto.
Se han clasificado los datos no personales en tres categorías principales: datos públicos no personales, datos comunitarios no personales y datos privados no personales.
Todos los datos recopilados por el gobierno y sus agencias, como los censos, los datos recopilados por las corporaciones municipales sobre los ingresos fiscales totales en un período en particular o cualquier información recopilada durante la ejecución de todas las obras financiadas con fondos públicos, se han mantenido bajo el paraguas de datos públicos no personales.
Todos los identificadores de datos sobre un conjunto de personas que tienen la misma ubicación geográfica, religión, trabajo u otros intereses sociales comunes formarán la comunidad de datos no personales. Por ejemplo, los metadatos recopilados por las aplicaciones de transporte, las empresas de telecomunicaciones, las empresas de distribución de electricidad, entre otras, han sido incluidos en la categoría de datos no personales de la comunidad por parte del comité.
Los datos privados no personales pueden definirse como aquellos producidos por personas que pueden derivarse de la aplicación de software o conocimientos patentados.
¿Qué son los datos personales especialmente protegidos?
Las categorías especiales de datos personales (datos personales sensibles) son datos personales que contienen o comprenden la siguiente información:
- Raza
- Origen étnico
- Puntos de vista políticos
- Creencias religiosas o filosóficas
- Afiliación sindical
- Datos genéticos
- Información biométrica
- Datos de salud
- Datos sobre el comportamiento sexual o la orientación sexual de una persona
Si esta información se pone a disposición del público, por ejemplo, como resultado de una violación de datos, esto puede tener consecuencias muy adversas para los interesados.
Estos datos están relacionados con la libertad de pensamiento, conciencia y religión; libertad de expresión; libertad de reunión y asociación; el derecho a la integridad corporal o el derecho al respeto de la vida privada y familiar.
Se presume que este tipo de datos debe tratarse con mayor cuidado porque su recopilación y uso es más probable que interfiera con estos derechos fundamentales o exponga a alguien a la discriminación.
Categorías especiales de datos
Los datos de categoría especial son información personal de los interesados que es especialmente sensible, cuya exposición podría afectar significativamente los derechos y libertades de los interesados y, potencialmente, ser utilizada en su contra para la discriminación ilegal.
Si se recopilan, almacenan, procesan o transmiten datos de categorías especiales, los controladores de datos deben asegurarse de que se implementen protecciones adicionales para garantizar que la información esté debidamente salvaguardada.
A continuación, te explico las principales categorías especiales de datos.
Genéticos
El RGPD considera datos genéticos aquellos datos personales referidos a las características genéticas heredadas o adquiridas de una persona física que ofrecen información única sobre la fisiología o la salud de esa persona física y se obtienen de un análisis de una muestra biológica de dicha persona física.
Se incluye el análisis de ADN o ARN, o cualquier otro tipo de análisis con el que se obtenga información equivalente.
No toda la información genética constituye datos genéticos. Una muestra genética en sí misma no es un dato personal hasta que se analiza para producir algunos datos. Y los datos del análisis genético son solo datos personales (y por lo tanto datos genéticos) si pueden vincularse a un individuo identificable.
Existen casos en los que la información genética no se considera un dato personal. Por ejemplo, cuando se hayan anonimizado o agregado secuencias genéticas parciales o resultados de pruebas genéticas y ya no se puedan vincular a una identidad genética, muestra o perfil específicos; un registro de paciente; o a cualquier otro identificador.
Biométricos
Los datos biométricos son datos personales que surgen de un procesamiento técnico específico relativo a las características físicas, fisiológicas o de comportamiento de una persona física, con los que es posible la identificación única de esa persona física, como imágenes faciales o datos de huellas dactilares.
Las imágenes faciales y los datos de huellas dactilares son solo dos ejemplos, pero no son exhaustivos. Muchos otros tipos de «huellas dactilares» físicas, fisiológicas o conductuales entran dentro de la definición.
Ejemplos de técnicas de identificación biométrica física o fisiológica:
- Reconocimiento facial;
- Verificación de huellas dactilares;
- Escaneo de iris;
- Análisis de retina;
- Reconocimiento de voz; y
- Reconocimiento de forma de oreja.
Ejemplos de técnicas de identificación biométrica del comportamiento:
- Análisis de pulsaciones de teclas;
- Análisis de firmas manuscritas;
- Estudio de la marcha; y
- Análisis de la mirada (seguimiento ocular).
Todos los datos biométricos se consideran datos personales, ya que permiten la identificación de un individuo. Los datos biométricos también son datos de categorías especiales siempre que se procesen con el propósito de identificar de manera única a una persona física.
Médicos
Son datos personales que se refieren a la salud física o mental de una persona física. Se incluye la prestación de servicios de atención médica, que revela información sobre el estado de salud.
Los datos médicos pueden ser sobre el estado de salud pasado, actual o futuro de una persona. No solo se incluyen datos específicos de condiciones médicas, pruebas o tratamientos, sino que incluye cualquier dato que revele algo sobre el estado de salud de una persona.
Por tanto, los datos sanitarios pueden incluir una amplia gama de datos personales, por ejemplo:
- cualquier información sobre lesiones, enfermedades, discapacidades o riesgos de enfermedades, incluidos antecedentes médicos, opiniones médicas, diagnóstico y tratamiento clínico;
- datos de exámenes médicos, resultados de pruebas, datos de dispositivos médicos o datos de rastreadores de actividad física;
- información recopilada del individuo cuando se registra para los servicios de salud o accede al tratamiento;
- detalles de citas, recordatorios y facturas que incluyen alguna información sobre la salud de la persona. Por ejemplo, una cita con el médico de cabecera o el hospital de forma aislada no dirá nada sobre la salud de una persona, ya que puede ser una cita de control o evaluación. Sin embargo, podría inferir razonablemente datos de salud de la lista de citas de una persona en una clínica de osteópata o de una factura por una serie de sesiones de fisioterapia.
Datos de carácter penal
Aunque los datos de carácter penal no se consideran categorías especiales de datos, sí gozan de una protección especial.
Estos son datos personales relacionados con condenas y delitos o medidas de seguridad relacionadas.
Esto cubre una amplia gama de información sobre:
- Actividad criminal
- Acusaciones
- Investigaciones
- Actas.
Incluye no solo datos que obviamente se refieren a una condena o juicio penal específico, sino también cualquier otro dato personal relacionado con condenas y delitos penales, que incluyen:
- Acusaciones no probadas;
- Información relacionada con la ausencia de condenas
- Datos personales de víctimas y testigos de delitos.
También cubre una amplia gama de medidas de seguridad relacionadas, que incluyen
- Datos personales sobre sanciones;
- Condiciones o restricciones impuestas a un individuo como parte del proceso de justicia penal
- Medidas civiles que pueden dar lugar a una sanción penal si no se cumplen.
Siempre debe asegurarse de que su procesamiento sea generalmente legal, justo y transparente y cumpla con todos los demás principios y requisitos del RGPD.
Solo puede procesar datos de delitos penales si el procesamiento es: bajo el control de una autoridad oficial o autorizado por la legislación nacional.
Cómo ejercer el derecho a la protección de datos personales
Los interesados podrán ejercer los derechos de acceso, rectificación, supresión, limitación de tratamiento, oposición y portabilidad de los datos, conforme a lo establecido en los artículos 15 a 22 del RGPD.
Para ejercer estos derechos de acceso, rectificación, supresión, limitación o portabilidad, los interesados deben presentar la solicitud ante el responsable del tratamiento para lo cual este debe facilitarles un medio de contacto.