Conoce Atico34 - Solicita presupuesto
GlosarioLOPDGDD & RGPD

Datos especialmente protegidos: Qué son los datos sensibles en el RGPD y LOPD

¿Qué son los datos especialmente protegidos o de datos personales sensibles de los que hablan el RGPD y la LOPD (o LOPDGDD)? ¿Cuáles son las obligaciones que implica el tratamiento de este tipo de datos protegidos por la ley de protección de datos? En este artículo respondemos a estas y otras cuestiones relacionadas con los datos de carácter sensible.

¿Qué son los datos sensibles o especialmente protegidos?

Los datos sensibles o especialmente protegidos son una categoría de datos personales diferenciados dentro del RGPD y la LOPDGDD, denominados así porque, debido a su incidencia especial en la intimidad, las libertades públicas y los derechos fundamentales de la persona, es necesaria una mayor protección respecto al resto de datos personales.

Lo que diferencia a los datos personales especialmente protegidos del resto de datos protegidos por la LOPD y el RGPD reside en el impacto que la publicidad de los primeros puede tener sobre la vida de las personas (por ejemplo, en determinadas circunstancias, conocer alguno de estos datos puede derivar en discriminación hacia la persona).

Los datos sensibles son datos personales que, por su importancia para la privacidad del individuo, han de ser almacenados y tratados con mayor cuidado y siguiendo unos requisitos especiales.

Los datos sensibles en el RGPD

El RGPD recoge en su artículo 9 las denominadas categorías especiales de datos, que, como ya hemos adelantado, bien por su propia naturaleza o bien por la relación que tienen con los derechos fundamentales de las personas, necesitan de una especial protección, para lo que se aplican normas específicas para evitar los riesgos derivados de su tratamiento (cuyas consecuencias pueden ser más graves para los interesados).

Los datos personales sensibles según el RGPD no pueden ser tratados, salvo en determinadas circunstancias, que veremos más adelante. Es decir, no pueden recabarse ni realizar sobre ellos ningún tipo de tratamiento.

Los datos especialmente protegidos en el RGPD son los siguientes:

Ideología, religión, afiliación sindical, creencias, salud, origen racial o étnico, vida sexual, datos genéticos y biométricos (Art. 9 del RGPD) así como datos relativos a condenas e infracciones penales (Art. 10 del RGPD).

La protección de datos sensibles también aparece mencionada en varios considerandos del RGPD:

  • Considerando 51: «Debe incluirse entre tales datos personales los datos de carácter personal que revelen el origen racial o étnico, entendiéndose que el uso del término «origen racial» en el presente Reglamento no implica la aceptación por parte de la Unión de teorías que traten de determinar la existencia de razas humanas separadas».
  • Considerando 56: «Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas».
  • Considerando 71: Sobre las decisiones automatizadas y la elaboración de perfiles, los responsables del tratamiento deben utilizar métodos que corrijan «los factores que introducen inexactitudes en los datos personales y reduzcan al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado e impedir, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o tratamiento que dé lugar a medidas que produzcan tal efecto».
  • Considerando 53: «[…] el presente Reglamento debe establecer condiciones armonizadas para el tratamiento de categorías especiales de datos personales relativos a la salud, en relación con necesidades específicas, en particular si el tratamiento de esos datos lo realizan, con fines relacionados con la salud, personas sujetas a la obligación legal de secreto profesional».
  • Considerando 54: «El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública».

Los datos sensibles en la LOPDGDD

La LOPDGDD recoge los mismos datos sensibles que en RGPD, pero va un paso más allá en su protección, puesto que considera que estas categorías de datos siempre deben tratarse con mayor precaución y es más exigente en cuanto a cuándo se pueden tratar estos datos.

Si bien, en lo que al tratamiento de datos sensibles la LOPD establece la misma limitación que el RGPD, es decir, salvo excepciones, los datos especialmente protegidos no pueden tratarse, cuando esas excepciones tienen lugar, la normativa española nos dices que:

«[…] a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico».

Es decir, que para tratar datos especialmente protegidos, para la LOPD la legitimación no puede basarse solo en el consentimiento del interesado.

tarifas proteccion datos

Ejemplos de datos sensibles

Para ilustrar mejor qué son los datos especialmente protegidos en la LOPD y el RGPD, vamos a ver algunos ejemplos de datos sensibles:

  • La huella dactilar es un dato biométrico y, por tanto, sensible. En protección de datos puede aparecer cuando se registra para un control de accesos.
  • El informe médico de una persona es un dato sensible, puesto que se consideran los datos de salud datos sensibles. En protección de datos podemos encontrarlos cuando el servicio de vigilancia de la salud realiza los exámenes médicos de los empleados.
  • La pertenencia a un sindicato de una persona, es un dato sensible.

datos especialmente protegidos

¿Cómo proteger los datos considerados sensibles?

Si una entidad necesita tratar datos especialmente protegidos, más allá de cumplir con el deber de información del RGPD respecto a dicho tratamiento, debe aplicar una serie de medidas técnicas y organizativas que garanticen el máximo nivel de protección y cuidado de estos datos. Es decir, es necesario cumplir con una serie de obligaciones cuyo fin es reforzar la protección de los datos sensibles, para prevenir incidentes de seguridad y posibles accesos no autorizados o un uso indebido de los mismos, que pueda tener consecuencias negativas para los derechos y libertades fundamentales de sus titulares.

El responsable del tratamiento podrá facilitar esta labor gracias al empleo de un software para protección de datos, con el que podrá gestionar la práctica totalidad de las obligaciones que vamos a detallar, lo que redunda en un mejor cumplimiento de la normativa, imprescindible cuando se trata con datos sensibles.

Se crea un registro de actividades de tratamiento

El tratamiento de datos especialmente protegidos es uno de los supuestos que obligan a un responsable o encargado del tratamiento a llevar y mantener actualizado el registro de actividades de tratamiento, de manera que queden registrados y documentos todos los tratamientos de datos personales que se realizan, incluidos los de datos sensibles y aportando la información correspondiente que debe figurar en esta documentación.

Se designa un DPD

El artículo 37.1.c del RGPD establece que los responsables o encargados que realicen tratamiento de datos sensibles, tendrán la obligación de designar a un Delegado de Protección de Datos (DPD).

Se efectúa una Evaluación de Impacto

Si se trata o se prevé tratar a gran escala esta categoría especial de datos protegidos, se debe hacer una evaluación de impacto de datos personales (EIPD), que es un exhaustivo análisis del riesgo para determinar qué riesgos y amenazas para los derechos y libertades de los afectados, así como el nivel de impacto negativo sobre los mismos, pueden derivarse del tratamiento de dichos datos personales.

Es importante señalar que siempre que se pretenda realizar un tratamiento de datos sensibles, se debe hacer una EIPD previa, documentarla y guardarla, porque ante un posible requerimiento de la AEPD, se pedirá al responsable o encargado que acredite haber realizado dicha evaluación de impacto.

Se aplican medidas de seguridad adecuadas para la protección de datos sensibles

Se deben aplicar una serie de medidas de seguridad para el tratamiento de datos especialmente protegidos:

  • Cifrado de los datos en su comunicación y almacenamiento
  • Registro de accesos, con fecha y personal que accedió
  • Elaboración de una lista de personas autorizadas
  • Establecer un procedimiento seguro para su tratamiento

Como habéis visto, el tratamiento de datos especialmente protegidos requiere de cumplir con obligaciones más estrictas, que para muchas pymes y profesionales puede suponer un tiempo extra que no tienen para dedicarle adecuadamente, además de poder resultar más complejo (por ejemplo, al tener que realizar la EIPD) o no contar con un empleado que pueda desempeñar las funciones del DPO. Por esos motivos, muchos recurren a contratar protección de datos con expertos en la materia, para así estar seguros de que sus tratamientos de datos sensibles cuentan con todas las garantías necesarias y cumplen con la normativa, evitando de esa manera cometer infracciones y ser sancionados.

Una consultoría de protección de datos ayudará a empresas y autónomos a cumplir con estas obligaciones.

Excepciones para el tratamiento de datos especialmente protegidos

Cómo indicábamos más arriba, existe una serie de excepciones que permiten el tratamiento de datos sensibles en la protección de datos, establecidas por el RGPD y reconocidas también por la LOPDGDD.

Cuando alguna de estas excepciones se produce, el responsable del tratamiento estará legitimado para tratar datos sensibles, eso sí, aplicando las medidas de seguridad de datos personales correspondientes y observando las obligaciones descritas en los anteriores.

Las excepciones para el tratamiento de datos especialmente protegidos según el RGPD y la LOPDGDD son las siguientes:

  • Exista un consentimiento explícito por parte del interesado y con las finalidades especificadas
  • O se den las siguientes de circunstancias:
    • Cumplimiento de obligaciones y ejercicios de derechos en el ámbito del Derecho Laboral y de la seguridad y protección social
    • Protección de Intereses vitales del interesado
    • Tratamiento efectuado en el ámbito de fundaciones o asociaciones cuya finalidad sea política, filosófica, religiosa o sindical
    • Tratamiento de datos manifiestamente públicos
    • Tratamientos necesarios para la formulación, ejercicio o defensa de reclamaciones, o tratamientos efectuados por tribunales en el ejercicio de su función judicial
    • Por razón de interés público en el ámbito de la salud pública
    • Es necesario con fines de archivo e interés público, fines de investigación científica o histórica o fines estadísticos

Volvemos a señalar que, en España, la LOPDGDD es más exigente para el tratamiento de datos especialmente protegidos y, además del consentimiento, se debe dar otra de las circunstancias señaladas más arriba para poder realizarlo.

Si, por ejemplo, queremos tratar la orientación sexual, no solo será necesario que recabemos el consentimiento explícito del interesado, sino que también se dé una de las otras situaciones, como por ejemplo para estudiar el dato con una finalidad de investigación histórica.

¿Me pueden sancionar por no tratar correctamente los datos especialmente protegidos?

Sí, no tratar correctamente los datos especialmente protegidos es motivo de sanción por parte de la AEPD (y desde la entrada en vigor del RGPD y la LOPDGDD, la Agencia ya sancionado a varias entidades privadas y públicas por tratar datos sensibles sin cumplir con las obligaciones recogidas en la normativa, especialmente en lo relativo a la realización de la EIPD).

Por lo tanto, en el caso de que trates datos especialmente protegidos sin el consentimiento o la legitimación jurídica para ello, estarás cometiendo una infracción considerada muy grave por la LOPDGDD, cuya sanción es una multa entre los 300.001 euros y los 20 millones de euros.

Esperamos que a partir de ahora te sea más sencillo descubrir si tratas datos sensibles y cómo actuar en ese caso. Pero si necesitas que uno de nuestros abogados te ayude en el proceso o si necesitas asesoramiento personalizado, o consultar nuestros precios LOPD, no dudes en contactar con Grupo Atico34.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.