¡Pide presupuesto en 2 min! ✓
Glosario

¿Qué son los datos personales especialmente protegidos?

10 Mins read

No todos los datos de carácter personal son iguales ante la normativa.

Hay determinados datos que por su relevancia y por su importancia para la privacidad deben ser tratados y almacenados con un mayor cuidado y cumpliendo una serie de requisitos.

Estos datos son llamados datos sensibles o especialmente protegidos.

¿Qué son los datos sensibles?

Como ya hemos comentado, los datos sensibles, o especialmente protegidos son una categoría de datos que debido a su incidencia especial en la intimidad, las libertades públicas y los derechos fundamentales de la persona, es necesaria una mayor protección que el resto de datos personales. 

Regulación

El tratamiento de este tipo de datos personales se encuentra regulado fundamentalmente en tres normas:

LOPD 1999

En la antigua LOPD el tratamiento a este tipo de datos lo encontrábamos en los artículos 7 y 8.

En ellos se hacía referencia a que tipo de datos se consideraban de tal manera:

  • ideología
  • religión
  • creencias
  • origen racial
  • salud
  • vida sexual
  • comisión o infracciones penales o administrativas

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Condiciones para su tratamiento

Nadie podía ser obligado a revelar estos datos sobre su persona.

Solo se podían tratar bajo consentimiento expreso y por escrito del afectado.

Excepciones

En ciertos casos no será necesario este consentimiento expreso y por escrito:

Datos de ideología, afiliación sindical, religión y creencias

Cuando los ficheros sean mantenidos por:

  • partidos políticos
  • sindicatos
  • iglesias
  • confesiones o comunidades religiosas
  • asociaciones, fundaciones y otras entidades sin ánimo de lucro

Su finalidad para con esos datos tiene que ser política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros.

No obstante, en el caso de una cesión de datos siempre debe ir precedida del consentimiento expreso del afectado.

Datos de salud, origen racial y vida sexual

Pueden ser tratados por razones de interés general, como la salud pública pero para ello se tienen que cumplir dos condiciones:

En caso de que la persona este incapacitada para dar su consentimiento, se podrán igualmente tratar estos datos para salvaguardar su interés vital, por ejemplo un médico de urgencias que necesita la historia clínica del paciente para poder operarle.

datos sensibles

Datos relativos a la comisión de infracciones penales o administrativas

Solo pueden ser incluidos en los ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras.

Se le debe notificar al afectado su inclusión pero no será necesario que este de su consentimiento.

RGPD

En el Reglamento Europeo de Protección de Datos las categorías especiales de datos se encuentran recogidas en el art. 9 y en los considerandos 51 a 56.

Como se puede apreciar en el artículo 9, se mantienen los datos que nuestra anterior normativa consideraba datos sensibles y añade unos nuevos. Estos son:

Hay que destacar también que cambia la formar de referirse a ellos.

De esta manera la categoría de datos especialmente protegidos quedaría de la siguiente forma:

LOPD 1999 RGPD
Ideología Opiniones políticas
Afiliación sindical Afiliación sindical
Religión Convicciones religiosas
Creencias Convicciones filosóficas
Origen racial o étnico Origen racial o étnico
Salud Datos relativos a la salud
Vida sexual Vida sexual
Dato genético
Dato biométrico
Orientación sexual

Condiciones para su tratamiento

Como regla general se prohíbe dicho tratamiento.

Excepciones

  • exista un consentimiento explícito por parte del interesado y con las finalidades especificadas
  • o se den las siguientes de circunstancias:
    • cumplimiento de obligaciones y ejercicios de derechos en el ámbito del Derecho Laboral y de la seguridad y protección social
    • protección de Intereses vitales del interesado
    • tratamiento efectuado en el ámbito de fundaciones o asociaciones cuya finalidad sea política, filosófica, religiosa o sindical
    • tratamiento de datos manifiestamente públicos
    • tratamientos necesarios para la formulación, ejercicio o defensa de reclamaciones, o tratamientos efectuados por tribunales en el ejercicio de su función judicial
    • por razón de interés público en el ámbito de la salud pública
    • es necesario con fines de archivo e interés público, fines de investigación científica o histórica o fines estadísticos

datos de caracter personal

LOPD 2019

Se da la circunstancia que el RGPD permite a los países poner mayores limitaciones al tratamiento de estos datos.

Y esto precisamente es lo que se hace en España en el artículo 9 de la nueva LOPD.

Condiciones para su tratamiento

Al igual que en RGPD, en la nueva LOPD se prohíbe por regla general el tratamiento de estos tipos de datos.

Excepciones

Solo se podrán tratar datos relativos a:

  • ideología
  • afiliación sindical
  • religión
  • orientación sexual
  • creencias
  • origen racial o étnico

cuando:

  • exista un consentimiento explícito por parte del interesado y con las finalidades especificadas
  • y se den las circunstancias siguientes:
    • cumplimiento de obligaciones y ejercicios de derechos en el ámbito del Derecho Laboral y de la seguridad y protección social
    • protección de Intereses vitales del interesado
    • tratamiento efectuado en el ámbito de fundaciones o asociaciones cuya finalidad sea política, filosófica, religiosa o sindical
    • tratamiento de datos manifiestamente públicos
    • tratamientos necesarios para la formulación, ejercicio o defensa de reclamaciones, o tratamientos efectuados por tribunales en el ejercicio de su función judicial.
    • por razón de interés público en el ámbito de la salud pública
    • es necesario con fines de archivo e interés público, fines de investigación científica o histórica o fines estadísticos

datos especialmente protegidos

¿Pero en que se traduce esto si son las mismas situaciones que en el RGPD? Ejemplo práctico

El RGPD permitía el tratamiento de los datos anteriormente mencionados cuando concurría cualquiera de las circunstancias anteriores.

Es decir, si contábamos con el consentimiento explícito para la finalidad del afectado podríamos tratar el dato.

Pero en España se exige que para que además del consentimiento se de otra de las circunstancias anteriores para poder tratar esos tipos de datos.

Si por ejemplo, queremos tratar la orientación sexual, no solo será necesario que recabemos el consentimiento explícito del interesado, sino que también se de una de las otras situaciones, como por ejemplo para estudiar el dato con una finalidad de investigación histórica.

Medidas obligatorias al tratar datos sensibles

medidas obligatorias al tratar datos sensibles

 

Si se da el caso de que por nuestra actividad es necesario tratar esta categoría especial de datos, deberemos llevar a cabo las siguientes medidas:

Registro de las Actividades de Tratamiento

Hay que realizar y mantener actualizado un registro de todos los tratamientos que se realicen en la entidad, documentándolos y aportando una serie de información especifica.

Elaboración de una Evaluación del Impacto en la Protección de Datos

Si se trata o se prevé tratar a gran escala esta categoría especial de datos se ha que realizar un EIPD, que no es otra cosa que un análisis del riesgo que puede entrañar el tratamiento de dichos datos personales para los derechos y libertades de los afectados.

Medidas de seguridad

Se deben aplicar una serie de medidas de seguridad en el tratamiento de estos datos:

  • cifrado de los datos en su comunicación y almacenamiento
  • registro de accesos, con fecha y personal que accedió
  • elaboración de una lista de personas autorizadas
  • establecer un procedimiento seguro para su tratamiento

datos sensibles rgpd

Niveles de seguridad de Protección de Datos

Nivel básico

Gestión de soportes y documentos: Los soportes que contengan datos de carácter personal deben identificar el tipo de información que tienen, constar en un inventario y permitir el acceso al personal autorizado. La salida de soportes, así como de correos electrónicos con datos personales deberá ser autorizada por el responsable del fichero.

Identificación y autenticación: Debe de existir un sistema de identificación personalizado para cada usuario verificando su autorización para el acceso a los datos.

Copias de respaldo y recuperación de datos: Establecer procedimientos para la realización de copias de seguridad con una periodicidad no superior a los 7 días y procedimientos de recuperación de datos que aseguren la recuperación de estos. El responsable del fichero se encargará del correcto funcionamiento de los procedimientos de copia y recuperación de datos.

Criterios de archivo de soporte: El archivo de soportes o  documentos deberá garantizar la conservación de los datos, la localización y consulta de su contenido.

Dispositivos de almacenamiento: Implantar mecanismos que eviten que los dispositivos que contienen datos personales sean abiertos.

Custodia de los soportes: Establecer normas para el tratamiento de los soportes con datos antes de su tratamiento, custodia y que se impida su acceso a personal no autorizado.

Nivel medio

Nombrar responsable de seguridad: Será la persona que se encargue de que las medidas, reglas y normas de seguridad se cumplan. En casi todos los casos se trata de una persona del departamento de sistemas/informática ya que cuenta con los conocimientos técnicos que serán complementados con conocimientos en materia de protección de datos.

Auditoría: Se debe realizar una auditoría, interna o externa, de los sistemas e instalaciones de tratamiento de los datos que garantice el cumplimiento de la Ley, de procedimientos e instrucciones vigentes acerca de la seguridad, al menos cada dos años. Además se realizará un informe sobre el grado de adecuación y cumplimiento de las normas de seguridad.

Registro de incidencias: Deberán aparecer los procedimientos que se llevan a cabo para la recuperación de datos, quien realizó el proceso, que datos se restauraron y si es preciso que datos han sido necesarios grabar manualmente para su recuperación. Es necesaria la autorización por escrito del responsable del fichero para realizar un proceso de recuperación de datos.

Pruebas con datos reales: Antes de llevar a cabo una exportación de datos por una nueva aplicación se realizan pruebas con la nueva aplicación para comprobar que funciona correctamente y para que los usuarios tomen contacto con la aplicación. Para estas pruebas no suelen utilizarse datos reales, pero en caso de que sea así, se adoptarán medidas de acuerdo al nivel de los datos.

Nivel alto

Distribución de soportes: La distribución de soporte que contengan datos personales se realizará cifrando los datos o con cualquier otro mecanismo que garantice que la información no pueda ser leída o manipulada en su transporte. Pueden utilizarse mecanismos de cifrado de 40, 56, 128 o más bits siendo el más recomendable el de 128. Se utilizan mecanismos de firma digital avanzada con claves públicas o privadas que garantizan la autenticidad y privacidad de la información.

Registro de acceso: En cada registro se guardará al menos la identificación del usuario, fecha y hora en la que se realiza el acceso, fichero al que se accede, tipo de acceso (autorizado o denegado) y si es autorizado se guardara la información que ayude a identificar a que fichero se ha accedido.

Copias de respaldo y recuperación: Los ficheros de nivel alto deberán tener una copia de respaldo y de los procedimientos de recuperación de datos en un lugar diferente al que se encuentran los equipos informáticos. El almacenamiento de copias de seguridad que estén fuera de la de la ubicación principal garantiza la continuidad de la actividad y la disponibilidad de la información ante cualquier incidente grave que afecte a los equipos centrales.

Transmisión de datos por redes de telecomunicaciones: La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizarán cifrando la información con cualquier mecanismo que asegure que la información sea inteligible ni manipulada por terceros.

lopd datos especialmente protegidos

Preguntas habituales sobre los datos sensibles

Para hacer aun más sencilla la compresión, hemos recopilado una serie de preguntas frecuentes que nos suelen hacer nuestros clientes.

¿Se consideran los datos de menores datos sensibles?

No, no obstante a lo largo de la normativa se enuncia que los datos de los niños debido a su condición de vulnerabilidad deben ser tratados de una forma específica ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales.

¿Son los datos de infracciones penales o administrativas datos especialmente protegidos?

Estos datos no entran dentro de esta categoría especial.

Pero hay que tener en cuenta que su tratamiento sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados.

Asimismo solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas.

¿Puedo solicitar al empleado o candidato el Certificado de antecedentes penales?

Como ya hemos comentado en anteriores entradas del blog, una de las principales novedades del RGPD es la proporcionalidad.

Solo se podrán solicitar los datos que sean estrictamente necesarios para la prestación del servicio que se pretende.

Por lo que en el único caso que se podrá solicitar al empleado el certificado negativo de antecedentes penales es si el puesto de trabajo en el que se va a prestar servicio esta regulado por una normativa específica que sea indispensable contar con este certificado, como por ejemplo en los empleos que incluyan trato con menores o ejercer una función pública.

¿Puedo tratar datos sensibles de forma online?

, siempre y cuando haya recabado el consentimiento explícito y específico para la finalidad concreta.

También se deberán cumplir las medidas que exige la normativa, como el Registro de las Actividades de Tratamiento o las medidas de seguridad.

Resumen de los pasos para tratar datos personales sensibles

  1. Analizar el tipo de dato que estamos tratando, si se encuentra dentro de la categoría de sensible o no
  2. Si es un dato considerado sensible observar las excepciones a la prohibición del tratamiento
  3. Recabar en todo caso el consentimiento explícito del afectado
  4. Informar cada una de las finalidades de uso de dichos datos
  5. Realizar una EIPD antes de iniciar el tratamiento
  6. Llevar un Registro de las Actividades de Tratamiento
  7. Aplicar medidas de seguridad apropiadas

 

Espero que a partir de ahora te sea más sencillo descubrir si tratas datos sensibles y como actuar en ese caso. Pero si necesitas que uno de nuestros abogados te ayude en el proceso. Si necesitas asesoramiento personalizado, puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Related posts
Glosario

¿Cómo puedo proteger mis obras a través de la propiedad intelectual?

13 Mins read
En esta entrada vamos a explicar cómo podemos proteger nuestras obras a través de la propiedad intelectual. En este artículo hablamos de:¿Qué…
Glosario

Cesión de datos a terceros

12 Mins read
Te explicamos con todo detalle cómo afecta la LOPDGDD en el acceso y la cesión de datos de terceros. ✅
Glosario

Publicidad Activa y Pasiva - Ley de Transparencia 19/2013 - ¿Qué es?

6 Mins read
La publicidad activa y el derecho de acceso a la información pública de los ciudadanos son dos conceptos íntimamente relacionados que configuran…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.