Datos biométricos, de salud, de opiniones políticas… el tratamiento de datos sensibles está prohibido, salvo que reúnas una de las condiciones que exige el RGPD. Conoce cuáles son y qué requisitos debes cumplir.

Infografía sobre los datos sensibles en el RGPD
 
Ver

Artículos relacionados…

Registro de jornada laboral con huella dactilar o datos biométricos. Recomendaciones de la AEPD en protección de datos

Definición de datos sensibles

También conocidos por categorías especiales de datos, se trata de datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento puede entrañar importantes riesgos para los derechos y las libertades fundamentales de los interesados.

Los datos sensibles entrañan más riesgo para los interesados y por ello su tratamiento está prohibido, salvo que reúnas las condiciones que establece la ley.

El artículo 9.1 del RGPD considera datos sensibles los datos personales que revelen información sobre:

  • Orígen étnico o racial

  • Opiniones políticas

  • Convicciones religiosas y filosóficas

  • Afiliación sindical

  • Genética

  • Biométricos

  • Salut

  • Vida sexual

  • Orientación sexual

Si bien la restricción del artículo 9.1 del RGPD solo afecta a las categorías de datos anteriores, el Comité Europeo de Protección de Datos (“CEPD”) ya señaló en las Directrices sobre la evaluación de impacto relativa a la protección de datos (wp248) que existen otros tipos de datos que también pueden ser considerados sensibles por estar vinculados a hogares y actividad privada, por afectar el ejercicio de un derecho fundamental o porque su violación pueda implicar graves repercusiones en la vida de los interesados.

A diferencia de las categorías especiales de datos listadas en el artículo 9.1, el tratamiento de los datos sensibles anteriores no está restringido por el RGPD. No obstante, debido al riesgo que su tratamiento presenta, si tratas este tipo de datos deberías de considerar adoptar medidas de seguridad adicionales.

Datos sensibles genéticos

Por datos genéticos se entienden los datos personales relacionados con características genéticas, heredadas o adquiridas, de una persona física, provenientes del análisis de una muestra biológica de la persona física en cuestión, en particular a través de un análisis cromosómico, un análisis del ácido desoxirribonucleico (ADN) o del ácido ribonucleico (ARN), o del análisis de cualquier otro elemento que permita obtener información equivalente.

Datos biométricos

Se consideran datos biométricos los datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

Tipos de datos biométricos

Se reconocen dos tipos de datos biométricos, según si se refieren a características fisiológicas o comportamentales.

Los identificadores fisiológicos se relacionan con la composición de la persona e incluyen el reconocimiento facial, las huellas dactilares, la geometría de los dedos (el tamaño y la posición de los dedos), el reconocimiento del iris, el reconocimiento de venas, el escaneo de retina, el reconocimiento de voz y la comparación de ADN.

Los identificadores de comportamiento incluyen las formas únicas en que actúan los individuos, incluido el reconocimiento de los patrones de escritura, la forma de caminar y otros gestos.

Si estás interesado y deseas profundizar más en el tema, encontrarás más indicaciones acerca de la privacidad en el uso de datos biométricos en el Dictamen 03/2012, del Grupo de Trabajo del Artículo 29, sobre desarrollo de tecnologías biométricas (wp193), y en el Dictamen 02/2012 sobre reconocimiento facial en servicios en línea y móvil (wp192).

Datos sensibles de salud

Según el RGPD, se consideran “datos relativos a la salud” los datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.

Ejemplos de datos sensibles relativos a la salud

El considerando 35 del Reglamento establece que en esta categoría se deben incluir todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro. Entre esta información, se incluye:

  • la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia;
  • todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios;
  • la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas; y
  • cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro.

Datos personales no sensibles

En ocasiones, un mismo tipo de información puede ser un dato personal sensible en un contexto y un dato personal no sensible en otro contexto.

Por ejemplo, un dato que se refiera al peso de una persona puede ser un dato estadístico cuando se incluya en unas tablas junto al peso de otras personas y la información esté anonimizada, o un dato de salud si se encuentra en el ficha de un paciente de un centro sanitario.

Y lo propio puede decirse de las fotografías. Como bien indica el considerando 51 del RGPD, una fotografía será un dato personal cuando permita la identificación de la persona que aparece en ella, pero solo será un dato sensible biométrico cuando sea tratada con medios técnicos específicos permitiendo la identificación o la autenticación unívocas de una persona física.

Requisitos para tratar datos personales sensibles

Para tratar datos sensibles deberás cumplir al menos una de las condiciones que estipula el artículo 9.2 del RGPD:

a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;

i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,

j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

El cumplimiento de una de esas condiciones es necesaria para poder tratar datos sensibles, pero ello no te exime de tener que cumplir también con el resto de principios de protección de datos, especialmente el principio de licitud.

Por ello, para tratar datos sensibles no te bastará con reunir una de las condiciones del artículo 9, sino que también deberás contar con una de las bases legales del artículo 6 y asegurarte de cumplir los principios del artículo 5.

Seguridad de la información al tratar datos personales sensibles

El principio de seguridad de la información requiere que analizes los riesgos para los derechos y libertades y para la información en tus tratamientos teniendo en cuenta la confidencialidad, integridad y disponibilidad de la información.

Los datos personales sensibles son un tipo de datos que, si son comprometidos, pueden tener un impacto muy negativo en los interesados, causándoles estrés, graves pérdidas económicas o incluso poner en riesgo derechos fundamentales de primera generación, como la vida o la integridad física.

Una brecha de seguridad que afecte a datos sensibles tiene, por lo tanto, un mayor impacto en la protección de datos de los interesados, que contribuye a un mayor riesgo y que deberás tener en consideración al evaluar los riesgos y adoptar medidas para tratarlos.

Seguridad de la información en el RGPD. Ciberseguridad

Clasificación de los datos sensibles

Mientras que el RGPD no especifica qué controles deben adoptar las empresas para proteger los datos sensibles, si reconoce que este tipo de datos presenta mayores riesgos para los derechos y libertades y, una de las formas de mitigar estos riesgos es clasificando la información.

Según el marco ISO 27001, para clasificar correctamente la información lo primero que debe hacerse es definir las directrices para clasificar la información y luego clasificar y etiquetar esa información. También deben definirse cómo los activos deben manipularse según su nivel de clasificación, incluyendo las restricciones de acceso, la protección de las copias, el almacenamiento y la desclasificación y destrucción.

Almacenamiento de los datos sensibles

Las copias físicas que contengan datos sensibles deben almacenarse de forma segura en un armario cerrado bajo llave y solo el personal autorizado debe tener acceso.

El principio de protección de datos de limitación del plazo de conservación también requiere a los responsables y encargados definir plazos de conservación de los datos, lo que significa que la información sensible no debe conservarse durante más tiempo del estrictamente necesario y debes definir períodos de conservación siempre que sea posible.

Delegado de protección de datos

Una de las situaciones en que el nombramiento de un delegado de protección de datos es obligatorio es cuando la actividad principal consista en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

El concepto de “a gran escala” fue abordado por el GT29 en las Directrices sobre el Delegado de Protección de Datos. En estas, el GT29 recomendó tener en cuenta:

  1. el número de afectados, bien como un número específico o como un porcentaje de la población;
  2. el volumen o variedad de datos;
  3. la duración del tratamiento, y
  4. el alcance geográfico del tratamiento.

Evaluación de impacto de protección de datos

Según el Comité Europeo de Protección de Datos (wp248), el uso de datos sensibles o datos muy personales es uno de los criterios a tener en cuenta para evaluar la necesidad de realizar o no una evaluación de impacto sobre la protección de datos.

En este caso no deberás evaluar únicamente el uso de uno de los datos sensibles que enumera el RGPD en el artículo 9.1, sino también los datos relativos a condenas e infracciones penales y de todos esos otros datos que se puedan considerar sensibles por estar vinculados a hogares y actividad privada, por afectar el ejercicio de un derecho fundamental o porque su violación pueda implicar graves repercusiones.

En cualquier caso, el artículo 35.3.c del RGPD establece que la realización de una evaluación de impacto de protección de datos será obligatoria en todos esos casos en que se traten categorías especiales de datos a gran escala.

Evaluación de impacto de protección de datos del RGPD. Qué es, cuándo hacerla, cómo hacerla, modelos y ejemplos

Otras restricciones para tratar categorías especiales de datos

Finalmente, el RGPD permite a los Estados Miembros establecer restricciones al tratamiento de datos sensibles, así que también deberás observar la normativa nacional.

Por ejemplo, la ley de protección de datos española (LOPDGDD) prohíbe en su artículo 9 utilizar el consentimiento del afectado para tratamientos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias, u origen racial o étnico.

Quizás también te interese…

Entidades y empresas obligadas a cumplir con el RGPD
Principios de protección de datos en el RGPD
Datos sensibles en el RGPD
Cómo atender los derechos del RGPD
Requisitos de seguridad de la información en el RGPD
Evaluación de impacto de protección de datos en el RGPD. EIPD o DPIA.
Cómo transferir datos fuera de la UE transferencias internacionales de datos
Multas y sanciones del rgpd