Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

Las categorías especiales de datos personales y su tratamiento

El RGPD y la LOPDGDD contemplan las denominadas categorías especiales de datos personales, cuyo tratamiento requiere cumplir una serie de obligaciones cuyo objetivo es garantizar una mayor protección para estos datos.

¿Cuáles son las categorías especiales de datos personales?

Las categorías especiales de datos personales que diferencia el RGPD son toda aquella información personal relativa a:

  • El origen étnico o racial.
  • Las opiniones políticas.
  • Las convicciones religiosas o filosóficas.
  • La afiliación sindical.
  • Los datos relativos a la salud.
  • Los datos genéticos.
  • Los datos biométricos cuando son procesados a través de medios técnicos para identificar a una persona física de manera inequívoca.
  • La vida sexual u orientación sexual.

Se les denomina categorías especiales de datos porque esta información afecta a la esfera más íntima de la persona, además, su tratamiento implica un mayor riesgo para los derechos y libertades fundamentales de las personas, puesto que pueden usarse con motivaciones discriminatorias.

Ejemplos de categorías especiales de datos

Algunos ejemplos de tratamientos que afectan a datos de categorías especiales son:

  • La creación y acceso a la historia clínica de un paciente.
  • El uso de la huella dactilar para el control de acceso.
  • Inquirir sobre alergias alimentarias de los alumnos que comen en el comedor de un centro educativo.
  • El registro de afiliación a un sindicato.
  • Los resultados de una prueba de ADN.

Diferencia entre categorías especiales de datos y datos personales

La diferencia entre categorías especiales de datos y el resto de datos personales está en que los primeros tienen una protección reforzada y que, en principio, su tratamiento está prohibido, salvo que concurran las excepciones contempladas en el artículo 9.2 del RGPD y el artículo 9 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, la LOPDGDD) (de las que hablaremos más adelante).

Así mismo, el tratamiento de categorías especiales de datos implica, para responsables y encargados del tratamiento, cumplir con una serie de obligaciones que no son necesarias (o son menos estrictas) en el tratamiento de datos personales «básicos», ya que tratar datos personales especialmente protegidos o datos sensibles (como se les denomina en la LOPDGDD) entraña un mayor riesgo para los derechos y libertades de las personas.

tarifas proteccion datos

El tratamiento de categorías especiales de datos personales

El tratamiento de categorías especiales de datos personales está prohibido, salvo que concurra alguna de las siguientes circunstancias para levantar la prohibición:

  • El interesado ha dado su consentimiento explícito para el tratamiento (art. 9.2.a).
  • El tratamiento es necesario para:
    • El cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, cuando así lo autorice el Derecho de la UE o un convenio colectivo (art. 9.2.b).
    • Para proteger intereses vitales del interesado o de otra persona física, cuando el interesado no está capacitado para dar su consentimiento (art. 9.2.c).
    • Para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial (art. 9.2.f).
    • Por razones de interés público esencial, sobre la base del Derecho de la UE o de los Estados miembros (art.9.2.g).
    • Para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social (art. 9.2.h).
    • Por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios (art. 9.2.i).
    • Con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el art. 89.1 (art.9.2.j).
  • El tratamiento es efectuado por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, en el ámbito de sus actividades legítimas y con las debidas garantías, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se limite a sus miembros actuales o antiguos o personas que mantengan una relación regular con ellos en relación con dichos fines (art.9.2.d).
  • El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos (art.9.2.e).

Cabe señalar que el artículo 9.1 de la LOPDGDD establece que para evitar situaciones discriminatorias, el consentimiento explícito del interesado no será suficiente para levantar la prohibición del tratamiento cuya finalidad sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias y origen racial o étnico.

Si bien, se podrán seguir tratando dichos datos cuando concurran los supuestos contemplados más arribas, sí así procede.

Así mismo, el artículo 9.2 de la LOPDGDD también establece que para realizar los tratamientos a los que se refieren las letras g), h) e i) del artículo 9.2 del RGPD, deben estar amparados en una norma con rango de ley.

Obligaciones RGPD y LOPDGDD para el tratamiento de categorías especiales de datos

Tanto el cumplimiento de la LOPDGDD como del RGPD exigen que, a la hora de tratar categorías especiales de datos, se den las máximas garantías para garantizar la protección de esta información sensible, así como que no se ponen en riesgo los derechos y libertades de los interesados.

En la práctica, esto se traduce en cumplir con las siguientes obligaciones (aparte de las ya contempladas para el resto de datos personales) cuando se prevé el tratamiento de categorías especiales de datos personales:

  • Realizar una evaluación de impacto en protección de datos (EIPD) del tratamiento a realizar, que necesariamente debe incluir y superar el triple juicio de idoneidad, necesidad y proporcionalidad.
  • En caso de superar la EIPD, adoptar y aplicar las medidas de seguridad técnicas y organizativas necesarias para minimizar el nivel de riesgo para los derechos y libertades de los interesados, así como su nivel de impacto en caso de materialización del riesgo.
  • Recabar el consentimiento explícito del interesado cuando este sea la base legitimadora para el tratamiento, así como cuando sea necesario en los términos establecidos en el artículo 9 de la LOPDGDD.
  • Informar a los interesados de los riesgos que supone el tratamiento de los datos de categorías especiales, la finalidad o finalidades para los que son recabados, la identidad del responsable del tratamiento y, en su caso, del encargado, el plazo de conservación y cómo pueden ejercer sus derechos ARSULIPO.
  • Designar un Delegado de Protección de Datos (cuando el tratamiento de datos de categorías especiales no es un hecho puntual, sino sistemático).

El tratamiento de categorías especiales de datos requiere, cómo hemos visto, de un mayor cuidado y obligaciones, además, determinar si la empresa tiene legitimidad para levantar la prohibición para su tratamiento, puede hacer surgir dudas respecto a si se está cumpliendo o no con los requisitos de la normativa. Por ello, de cara a cumplir la ley con todas las garantías, si prevés el tratamiento de categorías especiales de datos en el desarrollo de tu actividad, es recomendable contar con asesoramiento especializado en protección de datos, como el que encontrarás en Grupo Atico34.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.