Los datos personales están en el centro del Reglamento General de Protección de Datos (RGPD). Sin embargo, muchas personas aún no están seguras de a qué se refieren exactamente los «datos personales» o «datos de carácter personal». No existe una lista definitiva de lo que son o no son datos personales, por lo que todo se reduce a interpretar correctamente la definición del RGPD. En este artículo analizamos qué son los datos personales según el RGPD y la LOPDGDD, entre qué categorías de datos personales podemos distinguir y veremos algunos ejemplos de datos personales.
En este artículo hablamos de:
¿Qué son los datos de carácter personal?
Los datos de carácter personal son cualquier tipo de datos que se pueden utilizar para identificar directa o indirectamente a una persona (sujeto de datos). Por lo tanto, los datos de carácter personal son cualquier tipo de información relativa a personas físicas o identificables, tanto respecto a su identidad como respecto a sus ocupaciones y situación personal.
Algunos ejemplos de datos personales son el nombre, la foto, el número de teléfono, la dirección (que permite la identificación directa), así como la dirección IP o el nombre de usuario (que permite la identificación indirecta).
La recopilación, procesamiento y almacenamiento de datos personales está estrictamente regulado por el RGPD. Por tanto, es importante saber exactamente cómo tu proveedor de análisis digital recopila, gestiona y almacena los datos personales. El uso de los datos personales también debe estar documentado y se debe informar claramente a los usuarios finales.
Definición de datos de carácter personal RGPD
El artículo 4 del RGPD define los datos personales de una persona como cualquier información relacionada con una persona física identificada o identificable. Pero, ¿qué significa aquí «identificable»?
El mismo artículo continúa señalando que una persona física identificable es aquella que puede ser identificada, directa o indirectamente, por referencia de un identificador, por un identificador en línea o por uno o más factores específicos de la naturaleza física, fisiológica, genética, mental, identidad económica, cultural o social de esa persona física.
Desde el punto de vista de la naturaleza de la información, la información personal abarca tanto información objetiva como la presencia de determinadas sustancias en la sangre, como información subjetiva como opiniones o valoraciones. Si consideramos el formato o el medio en el que se encuentra la información, los datos personales pueden incluir perfectamente la información disponible en cualquier forma, por ejemplo, alfabética, numérica, etc.
Por último, desde el punto de vista del contenido de la información, el concepto de datos personales incluye datos que proporcionan cualquier tipo de información. Esta información no debe limitarse necesariamente a la vida privada y familiar de la persona para que entre en el ámbito de los datos personales, y aquí es donde entran en juego los «identificadores».
Los identificadores, como su nombre indica, son piezas de información a partir de las cuales se puede identificar a una persona, ya que mantienen una relación privilegiada y cercana con el interesado.
El nuevo alcance ofrecido al concepto de «dato personal» reafirma uno de los principales objetivos del RGPD: proteger los derechos y libertades fundamentales de las personas físicas, en particular su derecho a la protección de los datos personales. En este sentido, para garantizar que todo establecimiento que procesa datos personales en la Unión, ya sea como responsable del tratamiento o como encargado del tratamiento, cumpla con lo establecido en el Reglamento, se han establecido multas más severas a los infractores.
Definición de datos de carácter personal LOPDGDD
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) define también los datos de carácter personal.
Los datos personales se refieren básicamente a cualquier información sobre una persona viva, donde esa persona está identificada o podría ser identificada. Pueden cubrir varios tipos de información, como el nombre, la fecha de nacimiento, la dirección de correo electrónico, el número de teléfono, la dirección, las características físicas o los datos de ubicación, una vez que esté claro con quién se relaciona esa información, o si es razonablemente posible averiguarlo.
Los datos personales no tienen que estar en forma escrita, también pueden ser información sobre cómo se ve o suena un sujeto de datos, por ejemplo, fotos o grabaciones de audio o video, pero la ley de protección de datos personales solo se aplica cuando esa información es procesada de forma automatizada (por ejemplo, electrónicamente) o como parte de algún otro tipo de sistema de archivo.
La ley de protección de datos rige las situaciones en las que se ‘procesan’ datos personales. El procesamiento básicamente significa usar datos personales de cualquier manera, incluyendo; recopilar, almacenar, recuperar, consultar, divulgar o compartir con otra persona, borrar o destruir datos personales. No es posible el uso de datos personales sin consentimiento del titular.
Sin embargo, la ley de protección de datos no se aplica cuando esto se hace para actividades puramente personales o domésticas.
Normativa sobre protección de datos de carácter personal
Si bien, y como hemos visto, en España la ley de protección de datos de carácter personal es la LOPDGDD, existen otras normas que regulan también la protección de datos personales que debemos tener en cuenta:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
- Directiva (UE) 2016/680, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.
- Ley Orgánica 10/2007, de 8 de octubre, reguladora de la base de datos policial sobre identificadores obtenidos a partir del ADN.
- Ley Orgánica de 7/2021, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
- Orden INT/424/2019, de 10 de abril, por la que se aprueba la política de seguridad de la información en el ámbito de la administración electrónica del Ministerio del Interior y las directrices generales en materia de seguridad de la información para la difusión de resultados provisionales en procesos electorales.
- Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.
¿Cuáles son las categorías de datos personales?
¿Existe más de una categoría de datos de carácter personal? Ya hemos visto en la definición de lo que son los datos personales, que existen diferentes categorías de datos personales y que no es una lista cerrada. Sin embargo, el RGPD hace una distinción entre tres categorías de datos personales, los que podríamos llamar datos personales «datos personales generales u ordinarios» y que no necesitan de medidas de protección especiales, los denominados datos personales de categorías especiales (también llamados especialmente protegidos o datos sensibles) y los datos personales de naturaleza penal.
Por lo tanto, ¿cuáles son los datos de carácter personal según el RGPD? ¿Y cuáles son los datos de carácter personal protegidos? ¿Y los datos de naturaleza penal?
Datos de carácter personal general
Cualquier dato de carácter personal que no esté contemplado en las categorías de datos especiales, es considerado un dato personal general u ordinario.
Los datos personales ordinarios pueden incluir detalles de identificación personal como nombre y dirección, relaciones con los clientes, finanzas personales, asuntos relacionados con impuestos, deudas, días de enfermedad, circunstancias relacionadas con el trabajo, circunstancias familiares, residencia, automóvil, calificaciones, solicitudes, CV, fecha de empleo, puesto, área de trabajo, teléfono del trabajo, datos clave: nombre, dirección, fecha de nacimiento, dirección IP u otra información similar no sensible.
Los datos relativos a la salud están especialmente protegidos
Datos de carácter personal especialmente protegidos
Los datos de categorías especiales son los datos de carácter personal especialmente protegidos, puesto que revelan información que puede tener impacto sobre los derechos y libertades fundamentales de las personas, pudiendo exponerlas a la discriminación y por ello deben tratarse con mayor cuidado y aplicarse mayores medidas de seguridad.
Estas categorías de datos especiales son:
- Origen étnico o cultural: Este tipo de datos se refieren a la raza o etnia de las personas. La etnia es la creencia subjetiva en una procedencia común. Esa creencia puede basarse en semejanzas de aspecto exterior, costumbres, idioma, religión o memoria de eventos históricos como migraciones.
- Opiniones políticas, religiosas y filosóficas: Esto incluye todos aquellos datos referidos a la religión o creencia de una persona y sus opiniones políticas.
- Orientación sexual: Son los datos sobre la orientación sexual y el género. Estos son aspectos importantes de nuestra identidad.
- Afiliación sindical: Los datos sobre afiliación sindical son los que indican si una persona concreta está afiliada a un sindicato.
- Datos genéticos: Son datos personales relacionados con las características genéticas heredadas o adquiridas de una persona física que proporcionan información única sobre la fisiología o la salud de esa persona física y que resultan, en particular, de un análisis de una muestra biológica de la persona física en cuestión. Esto incluye análisis cromosómico, de ADN o ARN, o cualquier otro tipo de análisis que le permita obtener información equivalente. Cuando la información genética se haya anonimizado, ya no se considerará dato personal.
- Datos biométricos: Los datos biométricos son datos personales resultantes de un procesamiento técnico específico relacionado con las características físicas, fisiológicas o de comportamiento de una persona física, que permiten o confirman la identificación única de esa persona física, como imágenes faciales o datos dactiloscópicos (huellas dactilares) o análisis de firmas manuscritas. Se consideran datos de categorías especiales cuando su finalidad es identificar de manera única a una persona física (como por ejemplo, en los controles de acceso).
- Datos relativos a la salud: Son datos personales relacionados con la salud física o mental de una persona física, incluida la prestación de servicios de atención médica, que revelan información sobre su estado de salud. Los datos de salud pueden referirse al estado de salud pasado, actual o futuro de una persona. No solo cubre detalles específicos de condiciones médicas, pruebas o tratamientos, sino que incluye cualquier dato relacionado que revele algo sobre el estado de salud de una persona. Por tanto, los datos sanitarios pueden incluir una amplia gama de datos personales, por ejemplo:
- Cualquier información sobre lesiones, enfermedades, discapacidades o riesgos de enfermedades, incluidos antecedentes médicos, opiniones médicas, diagnóstico y tratamiento clínico.
- Datos de exámenes médicos, resultados de pruebas, datos de dispositivos médicos o datos de rastreadores de actividad física.
- Información recopilada del individuo cuando se registra para los servicios de salud o accede al tratamiento.
- Detalles de citas, recordatorios y facturas que le informan algo sobre la salud de la persona. Estos se incluyen en «la prestación de servicios de atención médica», pero deben revelar algo sobre el estado de salud de una persona. Por ejemplo, una cita con el médico de cabecera o el hospital de forma aislada no le dirá nada sobre la salud de una persona, ya que puede ser una cita de control o evaluación. Sin embargo, podría inferir razonablemente datos de salud de la lista de citas de una persona en una clínica de osteópata o de una factura por una serie de sesiones de fisioterapia.
Datos personales de naturaleza penal
Los datos personales sobre denuncias, procedimientos o condenas penales no son datos de categoría especial. Sin embargo, existen reglas y salvaguardas similares para procesar este tipo de datos, para hacer frente a los riesgos particulares asociados a ellos.
Para procesar datos personales sobre condenas o delitos penales, debes tener una base legal y una autoridad legal o autoridad oficial para el procesamiento. También puedes procesar este tipo de datos si tienes autoridad oficial para hacerlo porque estás procesando los datos a título oficial.
No puedes llevar un registro completo de condenas penales a menos que lo hagas a título oficial.
Ejemplos de datos personales
De acuerdo a lo visto en puntos anteriores, son ejemplos de datos personales según la normativa:
- Nombre y apellido
- Dirección de correo electrónico
- Dirección de la casa (calle, código postal, código postal, ciudad)
- Número de teléfono
- Foto
- Fecha de nacimiento
- Lugar / ciudad / país de nacimiento
- Número de cuenta bancaria
- Número de tarjeta de crédito
- Número de seguridad social
- Número de pasaporte, número de identificación nacional, número de licencia de conducir
- Número de placa de matrícula del vehículo
- Número de empleado
- Dirección IP
- ID de cookie
- Datos de localización
- La escritura (la forma en la que escribimos)
- Contraseña
- ID / enlaces de perfil de redes sociales
- ID de dispositivo móvil
- Historial de empleo, título del trabajo
- Historia académica
Y son ejemplos de datos personales de categorías especiales:
- Nacionalidad
- Sexo / género
- La etnia o la raza
- La historia clínica
- La afiliación sindical
- La ideología política
¿Qué NO es un dato de carácter personal?
No todos los datos de una persona física se consideran personales. Por ejemplo, los datos anonimizados no se consideran datos personales siempre y cuando no sea posible reidentificar a la persona física a la que se refieren.
Tampoco se consideran datos personales los referidos a personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto.
No obstante, sí se consideran datos personales los referidos a empresarios individuales y a los profesionales liberales que podrán tratarse sobre la base del interés legítimo, siempre y cuando no se haga para entablar una relación con los mismos fuera de dicha condición. Es decir, debe cumplirse el RGPD y la LOPDGDD cuando esos datos se tratan como personas físicas.
Esperamos haber aclarado tus dudas respecto a qué son y qué no son datos personales.
La gestión de la protección de datos en tu empresa o negocio puede resultar una tarea compleja, ya no solo por saber identificar cuándo estás tratando con datos personales, sino por todas obligaciones legales que implica hacerlo, especialmente si tratas datos de categorías especiales. Por ello, la mejor solución es contratar protección de datos con un servicio especializado, como el que encontrarás en Grupo Atico34; nuestros expertos en protección de datos te ayudarán y asistirán ante cualquier duda relacionada con normativa y su cumplimiento.
Nuestro servicio de consultoría en protección de datos personales te ofrece todas las garantías para que tu empresa o negocio siempre cumpla con la normativa.