Cuando elaboramos el registro de actividades de tratamiento o el contrato de encargado del tratamiento, nos encontramos con el concepto de «categorías de datos personales», ¿a qué se refiere exactamente el RGPD con estas categorías de datos personales?, ¿cuántas hay?
La definición de categorías de datos personales según el RGPD
Pese a que el artículo 4 del RGPD sí define los datos personales como «toda información sobre una persona física identificada o identificable» utilizando para identificar a la persona identificadores como son el nombre, número de identificación, elementos físicos o fisiológicos, etc., no ofrece una definición sobre lo que son las categorías de datos personales, como tampoco lo hace la ley de protección de datos de carácter personal española (la LOPDGDD).
Sin embargo, si atendemos al artículo 9 del RGPD, aquí podemos ver que nos habla del «tratamiento de categorías especiales de datos personales», mientras que el artículo 10 lo hace del «tratamiento de datos personales relativos a condenas e infracciones penales», por lo que, al menos, la normativa sí parece distinguir entre diferentes categorías.
De manera que podríamos definir las categorías de datos personales del RGPD como aquellos identificadores que permiten identificar a una persona física de forma inequívoca.
¿Qué categorías de datos personales existen en el RGPD?
De acuerdo con algunas de las distinciones que se hacen en el propio RGPD, y de cara a llevar a cabo los diferentes tipos de tratamientos de datos personales de acuerdo con la normativa, podemos hablar de tres categorías de datos personales: de carácter general, de categorías especiales y de naturaleza penal. A continuación explicamos cada una de ellas.
Datos de carácter personal «generales»
Los datos de carácter personal «generales» son aquellos que no están comprendidos en ninguna de las otras dos categorías. Podríamos llamarlos también datos personales ordinarios e incluyen cualquier tipo de información o identificadores que sirvan para identificar a una persona física.
Así, son categorías de datos personales generales:
- Datos identificativos (nombre, DNI, número de la Seguridad Social, teléfono, dirección, la firma, nombre de usuario, dirección IP, etc.)
- Características personales (características físicas, preferencias, aficiones, fecha de nacimiento, etc.)
- Circunstancias familiares y sociales (número de hijos, permisos, licencias, etc.)
- Información laboral (categoría profesional, puesto de trabajo, experiencia profesional, nómina, etc.)
- Académicos y profesionales (formación, títulos, historial académico, etc.)
- Control de presencia
- Financieros (ingresos, rentas, datos bancarios, etc.)
- Actividades y negocios
Datos de categorías especiales
El tratamiento de datos de categorías especiales está totalmente prohibido, salvo que se dé alguna de las excepciones contempladas por el artículo 9 del RGPD.
Como ya hemos señalado, los datos de categorías especiales están recogidos en el artículo 9 del RGPD y también podemos encontrarlos bajo el nombre de datos sensibles o datos especialmente protegidos del RGPD.
Estos datos personales son aquellos que hace referencia a:
- Origen étnico o racial
- Opiniones políticas, convicciones filosóficas o religiosas
- Afiliación sindical
- Genéticos (cualquier información relativa a las características genéticas de la persona, incluidos los análisis de ADN o ARN y siempre que los datos no se hayan anonimizado)
- Biométricos dirigidos a identificar de manera inequívoca a una persona física (reconocimiento facial, escáner del iris, análisis de retina, reconocimiento de voz, huella dactilar, análisis de la firma, etc.)
- Relativos a la salud (todo dato relacionado con la salud física o mental de la persona; enfermedades, lesiones, resultado de pruebas o exámenes médicos, etc.)
- Relativos a la vida sexual o la orientación sexual
En principio y, de acuerdo con el artículo 9 del RGPD, ninguno de los tipos de datos sensibles pueden ser tratados, salvo que concurra alguna de las excepciones contempladas en apartado 2 del citado artículo. Y cuando estos datos sean tratados, debe hacerse tomando y aplicando las medidas de seguridad técnicas y organizativas necesarias para garantizar su protección y confidencialidad.
La protección especial para estos datos personales se debe a que su filtración o su uso no autorizado, puede tener consecuencias sobre los derechos fundamentales y libertades de los interesados (de los titulares de los datos).
Cabe señalar que los datos de menores de edad, aunque deben comprender un tratamiento más cuidadoso y contar siempre con el consentimiento adecuado, no son considerados datos de categorías especiales, por lo que pueden ser tratados (siempre teniendo en cuenta los requisitos y las obligaciones que el RGPD y la LOPDGDD establecen para ello).
Datos personales de naturaleza penal
Los personales de naturaleza penal son aquellos que hacen referencia a denuncias, procedimientos judiciales o sentencias condenatorias. Estos datos no se consideran sensibles, pero tampoco ordinarios, puesto que para su tratamiento ha de atender a una serie de reglas.
Los datos personales de naturaleza penal solo pueden ser tratados cuando se tiene una base legal para ello (por ejemplo, un abogado en prestación de sus servicios) o el tratamiento lo lleva a cabo una autoridad legal u oficial. Así mismo, solo se podrá llevar un registro completo de condenas penales bajo el control de las autoridades oficiales.