Dentro de los datos protegidos por la LOPD, hay unos determinados datos que, por su relevancia y por su importantita para la privacidad de las personas, deben ser tratados y almacenados con un mayor cuidado y cumpliendo una serie de requisitos extra. Nos referimos a los llamados datos sensibles o datos especialmente protegidos.
En este artículo explicaremos qué son los datos personales sensibles según el RGPD y la LOPDGDD y qué obligaciones implica su correcta protección.
En este artículo hablamos de:
- ¿Qué son los datos sensibles o especialmente protegidos por la LOPD y el RGPD?
- Los datos sensibles en el RGPD
- Los datos sensibles en la LOPDGDD
- Ejemplos de datos sensibles
- Excepciones para el tratamiento de datos especialmente protegidos
- Obligaciones para el tratamiento de datos protegidos por la LOPD considerados sensibles
- Preguntas habituales sobre los datos sensibles y la protección de datos
- Diferencias entre datos personales y datos sensibles a efectos del RGPD
- ¿Los datos de los menores se consideran datos sensibles?
- ¿Los datos de infracciones penales o administrativas son datos especialmente protegidos?
- ¿Puedo solicitar al empleado o candidato el Certificado de antecedentes penales?
- ¿Puedo tratar datos sensibles de forma online?
- ¿Me pueden sancionar por tratar datos especialmente protegidos?
- ¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419
¿Qué son los datos sensibles o especialmente protegidos por la LOPD y el RGPD?
Dentro de los datos personales existe una categoría de datos denominada datos personales sensibles o datos personales especialmente protegidos; se denominan así porque son una categoría de datos que, debido a su incidencia especial en la intimidad, las libertades públicas y los derechos fundamentales de la persona, es necesaria una mayor protección respecto al resto de datos personales.
Por lo tanto, la diferencia entre datos personales y datos sensibles reside en el impacto que la publicidad de los segundos puede tener sobre la vida de las personas (por ejemplo, en determinadas circunstancias, conocer alguno de estos datos puede conllevar discriminación).
Los datos sensibles son datos personales que, por su importancia para la privacidad del individuo, han de ser almacenados y tratados con mayor cuidado y siguiendo unos requisitos especiales.
Los datos sensibles en el RGPD
El RGPD recoge en su artículo 9 las denominadas categorías especiales de datos, que, como ya hemos adelantado, bien por su propia naturaleza o bien por la relación que tienen con los derechos fundamentales de las personas, necesitan de una especial protección, para lo que se aplican normas específicas para evitar los riesgos derivados de su tratamiento (cuyas consecuencias pueden ser más graves para los interesados).
Los datos sensibles según el RGPD no pueden ser tratados, salvo en determinadas circunstancias, que veremos más adelante. Es decir, no pueden recabarse ni realizar sobre ellos ningún tipo de tratamiento.
Los datos especialmente protegidos en el RGPD son los siguientes:
Ideología, religión, afiliación sindical, creencias, salud, origen racial o étnico, vida sexual, datos genéticos y biométricos (Art. 9 del RGPD) así como datos relativos a condenas e infracciones penales (Art. 10 del RGPD).
Los datos especialmente protegidos aparecen también en varios considerandos del RGPD:
- Considerando 51: «Debe incluirse entre tales datos personales los datos de carácter personal que revelen el origen racial o étnico, entendiéndose que el uso del término «origen racial» en el presente Reglamento no implica la aceptación por parte de la Unión de teorías que traten de determinar la existencia de razas humanas separadas».
- Considerando 56: «Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas».
- Considerando 71: Sobre las decisiones automatizadas y la elaboración de perfiles, los responsables del tratamiento deben utilizar métodos que corrijan «los factores que introducen inexactitudes en los datos personales y reduzcan al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado e impedir, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o tratamiento que dé lugar a medidas que produzcan tal efecto».
- Considerando 53: «[…] el presente Reglamento debe establecer condiciones armonizadas para el tratamiento de categorías especiales de datos personales relativos a la salud, en relación con necesidades específicas, en particular si el tratamiento de esos datos lo realizan, con fines relacionados con la salud, personas sujetas a la obligación legal de secreto profesional».
- Considerando 54: «El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública».
Los datos sensibles en la LOPDGDD
La LOPDGDD (o LOPD) recoge los mismos datos sensibles que en RGPD, pero va un paso más allá en su protección, puesto que considera que estas categorías de datos siempre deben tratarse con mayor precaución y es más exigente en cuanto a cuándo se pueden tratar estos datos.
Si bien, en lo que al tratamiento de datos sensibles la LOPD establece la misma limitación que el RGPD, es decir, salvo excepciones, los datos especialmente protegidos no pueden tratarse, cuando esas excepciones tienen lugar, la normativa española nos dices que:
«[…] a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico».
Es decir, que para tratar datos especialmente protegidos, para la LOPD la legitimación no puede basarse solo en el consentimiento del interesado.
Ejemplos de datos sensibles
Para ilustrar mejor qué son los datos especialmente protegidos en la LOPD y el RGPD, vamos a ver algunos ejemplos de datos sensibles:
- La huella dactilar es un dato biométrico y, por tanto, sensible. En protección de datos puede aparecer cuando se registra para un control de accesos.
- El informe médico de una persona es un dato sensible, puesto que se consideran los datos de salud datos sensibles. En protección de datos podemos encontrarlos cuando el servicio de vigilancia de la salud realiza los exámenes médicos de los empleados.
- La pertenencia a un sindicato de una persona, es un dato sensible.
Excepciones para el tratamiento de datos especialmente protegidos
Como decíamos, existe una serie de excepciones que permiten el tratamiento de datos sensibles en la protección de datos, establecidas por el RGPD y reconocidas también por la LOPDGDD.
Cuando alguna de estas excepciones se produce, el responsable del tratamiento estará legitimado para tratar datos sensibles, eso sí, aplicando las medidas de seguridad de datos personales correspondientes y observando las obligaciones que veremos en detalle en el siguiente punto.
Las excepciones para el tratamiento de datos sensibles según el RGPD y la LOPDGDD son las siguientes:
- Exista un consentimiento explícito por parte del interesado y con las finalidades especificadas
- O se den las siguientes de circunstancias:
- Cumplimiento de obligaciones y ejercicios de derechos en el ámbito del Derecho Laboral y de la seguridad y protección social
- Protección de Intereses vitales del interesado
- Tratamiento efectuado en el ámbito de fundaciones o asociaciones cuya finalidad sea política, filosófica, religiosa o sindical
- Tratamiento de datos manifiestamente públicos
- Tratamientos necesarios para la formulación, ejercicio o defensa de reclamaciones, o tratamientos efectuados por tribunales en el ejercicio de su función judicial
- Por razón de interés público en el ámbito de la salud pública
- Es necesario con fines de archivo e interés público, fines de investigación científica o histórica o fines estadísticos
Volvemos a señalar que, en España, la LOPDGDD es más exigente para el tratamiento de datos especialmente protegidos y, además del consentimiento se debe dar otra de las circunstancias señaladas más arriba para poder realizarlo.
Si, por ejemplo, queremos tratar la orientación sexual, no solo será necesario que recabemos el consentimiento explícito del interesado, sino que también se dé una de las otras situaciones, como por ejemplo para estudiar el dato con una finalidad de investigación histórica.
Obligaciones para el tratamiento de datos protegidos por la LOPD considerados sensibles
En el caso de que una entidad deba tratar datos especialmente protegidos por la Ley de Protección de Datos, más allá de cumplir con el deber de información del RGPD respecto al tratamiento de dichos datos, se deben contemplar las obligaciones que veremos a continuación, cuyo objetivo es reforzar la protección de dichos datos, así como los derechos y libertades fundamentales de sus titulares.
El responsable del tratamiento podrá facilitar esta labor gracias al empleo de un software para protección de datos, con el que podrá gestionar la práctica totalidad de las obligaciones que vamos a detallar, lo que redunda en un mejor cumplimiento de la normativa, imprescindible cuando se trata con datos sensibles.
Se creará un registro de actividades de tratamiento
El tratamiento de datos especialmente protegidos es uno de los supuestos que obligan a un responsable o encargado del tratamiento a llevar y mantener actualizado el registro de actividades de tratamiento, de manera que queden registrados y documentos todos los tratamientos de datos personales que se realizan, incluidos los de datos sensibles y aportando la información correspondiente que debe figurar en esta documentación.
Se designará un DPD
El artículo 37.1.c del RGPD establece que los responsables o encargados que realicen tratamiento de datos sensibles, tendrá la obligación de designar a un Delegado de Protección de Datos (DPD).
Se efectuará una Evaluación de Impacto
Si se trata o se prevé tratar a gran escala esta categoría especial de datos, se ha de realizar una evaluación de impacto de datos personales (EIPD), que no es otra cosa que un análisis del riesgo que puede entrañar el tratamiento de dichos datos personales para los derechos y libertades de los afectados.
Se aplicarán medidas de seguridad adecuadas para la protección de datos sensibles
Se deben aplicar una serie de medidas de seguridad para el tratamiento de datos especialmente protegidos:
- Cifrado de los datos en su comunicación y almacenamiento
- Registro de accesos, con fecha y personal que accedió
- Elaboración de una lista de personas autorizadas
- Establecer un procedimiento seguro para su tratamiento
Como habéis visto, el tratamiento de datos especialmente protegidos requiere de cumplir con obligaciones más estrictas, que para muchas pymes y profesionales puede suponer un tiempo extra que no tienen para dedicarle adecuadamente, además de poder resultar más complejo (por ejemplo, al tener que realizar la EIPD) o no contar con un empleado que pueda desempeñar las funciones del DPO. Por esos motivos, muchos recurren a contratar protección de datos con expertos en la materia, para así estar seguros de que sus tratamientos de datos sensibles cuentan con todas las garantías necesarias y cumplen con la normativa, evitando de esa manera cometer infracciones y ser sancionados.
Una consultoría de protección de datos ayudará a empresas y autónomos a cumplir con estas obligaciones.
Preguntas habituales sobre los datos sensibles y la protección de datos
Para hacer aún más sencilla la comprensión, hemos recopilado una serie de preguntas frecuentes que nos suelen hacer nuestros clientes.
Diferencias entre datos personales y datos sensibles a efectos del RGPD
Si bien, los datos sensibles son datos personales, entre unos y otros hay algunas diferencias a efectos del RGPD:
- Mientras que los datos personales podemos decir que son información básica o genérica de los individuos, a través de los que se puede identificarles; los datos sensibles hacen referencia a información personal que no solo puede servir para la identificación de los individuos, sino que también es información que puede tener incidencia en sus derechos y libertades fundamentales.
- A diferencia de los datos personales básicos o genéricos, el tratamiento de datos sensibles está prohibido, salvo que se cuente con el consentimiento del interesado y/o se dé alguna de las excepciones recogidas en el artículo 9 del RGPD que permiten su tratamiento.
- Si se produce el tratamiento de datos sensibles, el responsable siempre deberá elaborar un registro de actividades de tratamiento, hacer una evaluación de impacto y designar un DPD. En el caso de datos personales genéricos, estas obligaciones no son siempre necesarias.
¿Los datos de los menores se consideran datos sensibles?
No, no obstante, dentro de los datos protegidos por la LOPD y el RGPD, los datos de los niños, debido a su condición de vulnerabilidad, deben ser tratados de una forma específica, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales.
¿Los datos de infracciones penales o administrativas son datos especialmente protegidos?
Si bien los datos penales son datos protegidos por la LOPD y el RPGD, no son considerados datos sensibles. Pero hay que tener en cuenta que su tratamiento solo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados.
Asimismo, solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas.
¿Puedo solicitar al empleado o candidato el Certificado de antecedentes penales?
Como ya hemos comentado en anteriores entradas del blog, una de las principales novedades del RGPD es la proporcionalidad.
Solo se podrán solicitar los datos que sean estrictamente necesarios para la prestación del servicio que se pretende.
Por lo que en el único caso que se podrá solicitar al empleado el certificado negativo de antecedentes penales es si el puesto de trabajo en el que se va a prestar servicio está regulado por una normativa específica que sea indispensable contar con este certificado, como por ejemplo en los empleos que incluyan trato con menores o ejercer una función pública.
¿Puedo tratar datos sensibles de forma online?
Sí, siempre y cuando haya recabado el consentimiento explícito y específico para la finalidad concreta.
También se deberán cumplir las medidas que exige la normativa, como el registro de las actividades de tratamiento o las medidas de seguridad.
¿Me pueden sancionar por tratar datos especialmente protegidos?
Siempre que cuentes con el consentimiento expreso de los interesados y se dé alguna de las circunstancias que hemos enumerado más arriba, tratar datos sensibles no será motivo de sanción.
Pero en el caso de que recojas o trates datos sensibles sin el consentimiento o la legitimación jurídica para ello, estarás cometiendo una infracción considerada muy grave por la LOPDGDD, cuya sanción es una multa entre los 300.001 euros y los 20 millones de euros.
Esperamos que a partir de ahora te sea más sencillo descubrir si tratas datos sensibles y cómo actuar en ese caso. Pero si necesitas que uno de nuestros abogados te ayude en el proceso o si necesitas asesoramiento personalizado, o consultar nuestros precios LOPD, no dudes en contactar con Grupo Atico34.