¿Tratas datos personales? Saber distinguir los datos personales es esencial para determinar si estás obligado a cumplir el RGPD, detectar qué categorías de datos tratas e iniciar la implementación de la norma.

¿Qué son los datos personales?

El RGPD define los datos personales en el artículo 4 como “toda información sobre una persona física identificada o identificable”, manteniendo así el mismo concepto empleado por la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995.

Un dictamen de lectura obligatoria para entender el concepto de dato personal es el WP 136 del Grupo de Trabajo del Articulo 29. En este documento, que ha servido de guía para este artículo, el GT29 desglosó el concepto de datos de carácter personal que proporcionaba la Directiva en cuatro elementos (“toda información”, “sobre”, “[persona física] identificada o identificable” y “persona física”) y los analizó por separado.

“Toda información”

Es una expresión que requiere una interpretación en sentido amplio y que el GT29 analizó desde 3 puntos de vista distintos: (i) la naturaleza, (ii) el contenido y (iii) el formato o soporte.

  • Desde la naturaleza: la expresión incluye todo tipo de afirmaciones sobre una persona, ya sean objetivas (e.g., un dato fisiológico) o subjetiva (e.g., una opinión).
  • Desde el contenido: incluye todos los datos con independencia de su contenido.
  • Desde el formato o soporte: incluye la información disponible en cualquier forma, por ejemplo, alfabética, numérica, gráfica, fotográfica o sonora.

“sobre”

Por lo general, se entiende que la información versa sobre sobre una persona cuando se refiere a ella, si bien la información también puede referirse a un objeto o a un proceso y solo indirectamente a una persona. Para el GT29, una información se refiere a una persona cuando exista un elemento “contenido” o un elemento “finalidad” o un elemento “resultado”:

  • Contenido: el elemento contenido está presente cuando se proporciona una información sobre una persona concreta, circunstancia que debe ser evaluada caso por caso y sin tener en consideración ni el propósito que pueda abrigar el responsable del tratamiento o un tercero, ni la repercusión que pueda tener sobre el interesado.
  • Finalidad: Si el elemento “contenido” puede existir indistintamente del tratamiento que el responsable o el encargado pretenden realizar, no ocurre lo mismo con el elemento “finalidad”, que sí depende del tratamiento en cuestión, considerándose que existe “cuando los datos se utilizan o es probable que se utilicen, teniendo en cuenta todas las circunstancias que rodean el caso concreto, con la finalidad de evaluar, tratar de determinada manera o influir en la situación o el comportamiento de una persona”.
  • Resultado: Finalmente, también debe entenderse que los datos versan “sobre” una persona en esas situaciones en que, “teniendo en cuenta todas las circunstancias que rodean el caso concreto, es probable que su uso repercuta en los derechos y los intereses de determinada persona”.

Los tres elementos son independientes, ergo para considerar que la información versa “sobre” una persona, no es necesario que concurran los tres elementos simultáneamente, sino que bastará con que exista uno de ellos. Además, es posible que una misma información se refiera al mismo tiempo a diversas personas, porque en esa información concurra más de un elemento y uno se refiera a una persona y otro a otra.

[persona física] “identificada o identificable”

Se considera que una persona física está “identificada” cuando, dentro de un grupo de personas, se la puede distinguir de los demás miembros del grupo. Por consiguiente, la persona física será “identificable” cuando, aunque no se la haya identificado todavía, sea posible hacerlo.

El artículo 4.1 del RGPD establece que se considerará persona física identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

Por lo general, se entiende que una persona está directamente identificada cuando conoces su “nombre y apellidos”, pues es el identificador más común y al que a menudo nos referimos. No obstante, en ocasiones el nombre y apellidos pueden no ser suficiente para identificar a una persona y deberán de combinarse con otros datos, como una dirección, una foto de perfil o un número de teléfono.

En todos esos casos en que los identificadores de que dispones no te permiten singularizar a una persona determinada, pero al combinarlos con otros datos (tanto si tienes conocimiento de ellos como si no) es posible distinguir a la persona de otras, debe entenderse que la persona es identificable indirectamente.

También puede llegar a considerarse a una persona “identificada” aunque no puedas averiguar su “nombre y apellidos”. Ello se debe a que en muchas situaciones dispondrás de otros identificadores que te permitirán singularizar a una persona, crear un perfil y atribuirle decisiones (piénsese en ese vecino cuyo nombre no conocemos pero que somos capaces de distinguir de otras personas, o en el identificador único que hemos dado a cada uno de nuestros clientes al incluirlos en nuestros ficheros).

“persona física”

El Reglamento establece en el considerando 14 que «la protección otorgada por el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales». Se trata, por lo tanto, de un derecho universal de las personas físicas que no se circunscribe a los nacionales o residentes de un determinado país.

El Reglamento limita su protección a las personas físicas vivas, excluyendo a las personas fallecidas expresamente en el considerando 27: “el presente Reglamento no se aplica a la protección de datos personales de personas fallecidas. Los Estados miembros son competentes para establecer normas relativas al tratamiento de los datos personales de estas

Tampoco se aplicará el Reglamento a los datos relativos a las personas jurídicas. Así lo estipula el considerando 14, cuando dice que “el presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto”.

Hasta aquí los 4 elementos que definen los datos personales. En realidad, se trata de un concepto muy amplio y lo más relevante es determinar si el individuo está identificado o es identificable, bien sea con la información disponible en tus ficheros o bien combinando esa información con datos de terceros. 

Si la persona está identificada o es identificable, toda la información que tengas sobre ella serán datos personales.

Quizás también te interese…

Entidades y empresas obligadas a cumplir con el RGPD
Representante del RGPD en la UE. Protección de datos personales y privacidad. Unión Europea
Delegado de protección de datos en el RGPD (DPO - DPD). Cuando debe designarse, requisitos, funciones y salario.
Cómo transferir datos fuera de la UE transferencias internacionales de datos
Principios de protección de datos en el RGPD
Guía del registro de actividades del tratamiento del RGPD
Datos sensibles en el RGPD
Cómo atender los derechos del RGPD
Evaluación de impacto de protección de datos en el RGPD. EIPD o DPIA.
Requisitos de seguridad de la información en el RGPD
Multas y sanciones del rgpd
RGPD y blockchain, problemas y soluciones para el cumplimiento normativo