¡Pide presupuesto en 2 min! ✓
LOPDGDD & RGPD

Tipos de datos personales y sus características

11 Mins read

Los datos personales están en el centro del  Reglamento general de protección de datos (RGPD). Sin embargo, muchas personas aún no están seguras de a qué se refieren exactamente los “datos personales”. No existe una lista definitiva de lo que son o no son datos personales, por lo que todo se reduce a interpretar correctamente la definición del RGPD. En este post analizamos qué son los datos personales, tipos, categorías y ejemplos.

¿Qué son los datos personales?

Los datos de carácter personal son cualquier tipo de datos que se pueden utilizar para identificar directa o indirectamente a una persona (sujeto de datos). Algunos ejemplos de datos personales son el nombre, la foto, el número de teléfono, la dirección (que permite la identificación directa), así como la dirección IP o el nombre de usuario (que permite la identificación indirecta).

La recopilación, procesamiento y almacenamiento de datos personales está estrictamente regulado por el RGPD. Por tanto, es importante saber exactamente cómo tu proveedor de análisis digital recopila, gestiona y almacena los datos personales. Su uso de los datos personales también debe estar documentado y debes informar claramente a tus usuarios finales.

Definición del RGPD

El 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos (RGPD) en toda la Unión Europea. El nuevo Reglamento proporciona una definición más amplia de datos personales con respecto a su predecesora, la Directiva de Protección de Datos (DPD), y se ha convertido rápidamente en un estándar para el procesamiento de datos personales no solo en Europa sino a escala mundial.

El nuevo alcance ofrecido al concepto de “datos personales” reafirma uno de los principales objetivos del RGPD: proteger los derechos y libertades fundamentales de las personas físicas, en particular su derecho a la protección de los datos personales. En este sentido, para garantizar que todo establecimiento que procesa datos personales en la Unión, ya sea como responsable del tratamiento o como encargado del tratamiento, cumpla con lo establecido en el Reglamento, se han establecido multas más severas a los infractores.

El artículo 4 del RGPD define los datos personales como cualquier información relacionada con una persona física identificada o identificable. Pero, ¿qué significa aquí “identificable”?

El mismo artículo continúa señalando que una persona física identificable es aquella que puede ser identificada, directa o indirectamente, por referencia de un identificador, por un identificador en línea o por uno o más factores específicos de la naturaleza física, fisiológica, genética, mental, identidad económica, cultural o social de esa persona física.

Desde el punto de vista de la naturaleza de la información, la información personal abarca tanto información objetiva como la presencia de determinadas sustancias en la sangre, como información subjetiva como opiniones o valoraciones. Si consideramos el formato o el medio en el que se encuentra la información, los datos personales pueden incluir perfectamente la información disponible en cualquier forma, por ejemplo, alfabética, numérica, etc.

Por último, desde el punto de vista del contenido de la información, el concepto de datos personales incluye datos que proporcionan cualquier tipo de información. Esta información no debe limitarse necesariamente a la vida privada y familiar de la persona para que entre en el ámbito de los datos personales, y aquí es donde entran en juego los “identificadores”.

Los identificadores, como su nombre indica, son piezas de información a partir de las cuales se puede identificar a una persona, ya que mantienen una relación privilegiada y cercana con el interesado.

Definición de la LOPDGDD

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) define también los datos personales.

Los datos personales se refieren básicamente a cualquier información sobre una persona viva, donde esa persona está identificada o podría ser identificada. Pueden cubrir varios tipos de información, como el nombre, la fecha de nacimiento, la dirección de correo electrónico, el número de teléfono, la dirección, las características físicas o los datos de ubicación, una vez que esté claro con quién se relaciona esa información, o si es razonablemente posible averiguarlo.

Los datos personales no tienen que estar en forma escrita, también pueden ser información sobre cómo se ve o suena un sujeto de datos, por ejemplo, fotos o grabaciones de audio o video, pero la ley de protección de datos personales solo se aplica cuando esa información es procesada de forma automatizada (por ejemplo, electrónicamente) o como parte de algún otro tipo de sistema de archivo.

La ley de protección de datos rige las situaciones en las que se ‘procesan’ datos personales. El procesamiento básicamente significa usar datos personales de cualquier manera, incluyendo; recopilar, almacenar, recuperar, consultar, divulgar o compartir con otra persona, borrar o destruir datos personales. No es posible el uso de datos personales sin consentimiento del titular.

Sin embargo, la ley de protección de datos no se aplica cuando esto se hace para actividades puramente personales o domésticas.

Normativa sobre protección de datos de carácter personal

Las principales normas en España que regulan la protección de datos personales son:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
  • Directiva (UE) 2016/680, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Ley Orgánica 10/2007, de 8 de octubre, reguladora de la base de datos policial sobre identificadores obtenidos a partir del ADN.
  • Orden INT/424/2019, de 10 de abril, por la que se aprueba la política de seguridad de la información en el ámbito de la administración electrónica del Ministerio del Interior y las directrices generales en materia de seguridad de la información para la difusión de resultados provisionales en procesos electorales.
  • Orden INT/1202/2011, de 4 de mayo, por la que se regulan los ficheros de datos de carácter personal del Ministerio del Interior.
  • Orden INT/502/2003, de 21 de febrero, sobre creación de un fichero para el tratamiento de la información enviada por las instalaciones hoteleras a la Guardia Civil, en la prevención e investigación del terrorismo y de otras formas graves de delincuencia organizada.
  • Orden INT/1583/2002, de 11 de junio, por la que se regula el fichero automatizado (CAPGC) para la elección de miembros del Consejo Asesor de Personal del Cuerpo de la Guardia Civil.
  • Resolución de 28 de abril de 2011, de Trabajo Penitenciario y Formación para el Empleo, por la que se regulan los ficheros de datos de carácter personal del organismo.
  • Resolución de 30 de noviembre de 2010, de la Dirección General de Tráfico, por la que se crean ficheros de datos de carácter personal en la Jefatura Central de Tráfico.
  • Resolución de 20 de septiembre de 2006, de la Gerencia de Infraestructuras y Equipamiento de la Seguridad del Estado, por la que se crea un fichero de datos de carácter personal.
  • Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.
  • Instrucción 1/1996, de 1 de marzo, de la Agencia de Protección de Datos, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los edificios.

Tipos de datos personales

Dentro de los tipos de información personal debemos diferenciar los datos de carácter personal, las categorías especiales de datos y los datos de naturaleza penal.

Datos de carácter personal

Los datos personales que no entran en la categoría de “datos personales sensibles” pueden denominarse “datos personales generales / ordinarios”.

Los datos personales ordinarios pueden incluir detalles de identificación personal como nombre y dirección, relaciones con los clientes, finanzas personales, asuntos relacionados con impuestos, deudas, días de enfermedad, circunstancias relacionadas con el trabajo, circunstancias familiares, residencia, automóvil, calificaciones, solicitudes, CV, fecha de empleo, puesto, área de trabajo, teléfono del trabajo, datos clave: nombre, dirección, fecha de nacimiento, dirección IP u otra información similar no sensible.

Datos especialmente protegidos

Dentro de los datos personales generales debemos diferenciar los datos especialmente protegidos o sensibles.

Los datos personales sensibles son un conjunto específico de “categorías especiales” que deben tratarse con mayor seguridad. Estas categorías son:

Origen étnico o cultural

Este tipo de datos se refieren a la raza o etnia de las personas. La etnia es la creencia subjetiva en una procedencia común. Esa creencia puede basarse en semejanzas de aspecto exterior, costumbres, idioma, religión o memoria de eventos históricos como migraciones.

Opiniones políticas, religiosas y filosóficas

Esto incluye todos aquellos datos referidos a la religión o creencia de una persona y sus opiniones políticas.

Orientación sexual

Son los datos sobre la orientación sexual y el género. Estos son aspectos importantes de nuestra identidad.

Afiliación sindical

Los datos sobre afiliación sindical son los que indican si una persona concreta está afiliada a un sindicato.

Categorías especiales de datos

Se presume que este tipo de datos debe tratarse con mayor cuidado porque su recopilación y uso es más probable que interfiera con estos derechos fundamentales o exponga a alguien a la discriminación. Esto es parte del enfoque basado en riesgos del RGPD.

Si bien otros datos también pueden ser confidenciales, como los datos financieros de una persona, esto no plantea los mismos problemas fundamentales y, por lo tanto, no constituyen datos personales de categoría especial para los fines del RGPD. Y aunque los datos sobre acusaciones o condenas penales pueden plantear problemas similares, no constituyen datos de categorías especiales, ya que están cubiertos por reglas independientes. Sin embargo, siempre debes asegurarte de que cuando proceses otros tipos de datos, seas justo y cumplas con otros requisitos del RGPD (incluidas las reglas separadas sobre datos de delitos penales).

Veamos cuáles son esas categorías especiales de datos.

Datos genéticos

Los datos genéticos son los datos personales relacionados con las características genéticas heredadas o adquiridas de una persona física que proporcionan información única sobre la fisiología o la salud de esa persona física y que resultan, en particular, de un análisis de una muestra biológica de la persona física en cuestión.

Esto incluye análisis cromosómico, de ADN o ARN, o cualquier otro tipo de análisis que le permita obtener información equivalente.

Sin embargo, hay casos en los que la información genética no es un dato personal identificable. Por ejemplo, cuando se haya anonimizado o agregado secuencias genéticas parciales o resultados de pruebas genéticas (por ejemplo, con fines estadísticos o de investigación), y ya no se pueden vincular a una identidad genética, muestra o perfil específico.

Datos biométricos

Los datos biométricos son datos personales resultantes de un procesamiento técnico específico relacionado con las características físicas, fisiológicas o de comportamiento de una persona física, que permiten o confirman la identificación única de esa persona física, como imágenes faciales o datos dactiloscópicos (huellas dactilares).

Ejemplos de técnicas de identificación biométrica física o fisiológica:

  • reconocimiento facial;
  • verificación de huellas dactilares;
  • escaneo de iris;
  • análisis de retina;
  • reconocimiento de voz; y
  • reconocimiento de forma de oreja.

Ejemplos de técnicas de identificación biométrica del comportamiento:

  • análisis de pulsaciones de teclas;
  • análisis de firmas manuscritas;
  • análisis de la marcha; y
  • análisis de la mirada (seguimiento ocular).

Todos los datos biométricos son datos personales, ya que permiten o confirman la identificación de un individuo. Los datos biométricos también son datos de categorías especiales siempre que los proceses “con el propósito de identificar de manera única a una persona física”. Esto significa que los datos biométricos serán datos de categorías especiales en la gran mayoría de los casos. Si usas la biometría para aprender algo sobre un individuo, autenticar su identidad, controlar su acceso, tomar una decisión sobre él o tratarlo de manera diferente de alguna manera, debes cumplir con el RGPD.

Datos relativos a la salud

Datos relativos a la salud son datos personales relacionados con la salud física o mental de una persona física, incluida la prestación de servicios de atención médica, que revelan información sobre su estado de salud.

Los datos de salud pueden referirse al estado de salud pasado, actual o futuro de una persona. No solo cubre detalles específicos de condiciones médicas, pruebas o tratamientos, sino que incluye cualquier dato relacionado que revele algo sobre el estado de salud de una persona.

Por tanto, los datos sanitarios pueden incluir una amplia gama de datos personales, por ejemplo:

  • cualquier información sobre lesiones, enfermedades, discapacidades o riesgos de enfermedades, incluidos antecedentes médicos, opiniones médicas, diagnóstico y tratamiento clínico;
  • datos de exámenes médicos, resultados de pruebas, datos de dispositivos médicos o datos de rastreadores de actividad física;
  • información recopilada del individuo cuando se registra para los servicios de salud o accede al tratamiento;
    detalles de citas, recordatorios y facturas que le informan algo sobre la salud de la persona. Estos se incluyen en “la prestación de servicios de atención médica”, pero deben revelar algo sobre el estado de salud de una persona. Por ejemplo, una cita con el médico de cabecera o el hospital de forma aislada no le dirá nada sobre la salud de una persona, ya que puede ser una cita de control o evaluación. Sin embargo, podría inferir razonablemente datos de salud de la lista de citas de una persona en una clínica de osteópata o de una factura por una serie de sesiones de fisioterapia.

Datos de naturaleza penal

Los datos personales sobre denuncias, procedimientos o condenas penales no son datos de categoría especial. Sin embargo, existen reglas y salvaguardas similares para procesar este tipo de datos, para hacer frente a los riesgos particulares asociados a ellos.

Para procesar datos personales sobre condenas o delitos penales, debes tener una base legal y una autoridad legal o autoridad oficial para el procesamiento. También puedes procesar este tipo de datos si tienes autoridad oficial para hacerlo porque estás procesando los datos a título oficial.
No puedes llevar un registro completo de condenas penales a menos que lo hagas a título oficial.

Ejemplos de datos personales

Son ejemplos de datos personales que puedes encontrar en tus bases de datos:

  • Nombre y apellido
  • Dirección de correo electrónico
  • Dirección de la casa (calle, código postal, código postal, ciudad)
  • Número de teléfono
  • Foto
  • Fecha de nacimiento
  • Lugar / ciudad / país de nacimiento
  • número de cuenta bancaria
  • Número de tarjeta de crédito
  • Número de seguridad social
  • Número de pasaporte, número de identificación nacional, número de licencia de conducir
  • Número de placa de matrícula del vehículo
  • Número de empleado
  • dirección IP
  • ID de cookie
  • Datos de localización
  • Escritura
  • Iniciar sesión
  • Contraseña
  • ID / enlaces de perfil de redes sociales
  • ID de dispositivo móvil
  • Historial de empleo, título del trabajo
  • Historia de la Educación

Datos personales especiales

  • Sexo / género
  • Raza / Etnia
  • Detalles de salud
  • Registros médicos

Datos que NO son considerados personales

No todos los datos de una persona física se consideran personales. Por ejemplo, los datos anonimizados no se consideran datos personales siempre y cuando no sea posible reidentificar a la persona física a la que se refieren.

Tampoco se consideran datos personales los referidos a personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto.

No obstante, sí se consideran datos personales los referidos a empresarios individuales y a los profesionales liberales que podrán tratarse sobre la base del interés legítimo, siempre y cuando no se haga para entablar una relación con los mismos fuera de dicha condición. Es decir, debe cumplirse el RGPD y la LOPDGDD cuando esos datos se tratan como personas físicas.

Related posts
LOPDGDD & RGPD

¿Cómo crear la política de cookies en mi web?

9 Mins read
¿Qué es una política de cookies? ¿Necesitas una para tu sitio web? ¿Qué son los requerimientos? ¿Y cómo se puede obtener una…
LOPDGDD & RGPD

¿Qué son los ficheros de morosos? ¿Cómo salir de ellos?

9 Mins read
Los ficheros de datos de carácter personal que contienen información sobre solvencia patrimonial constituyen un caso representativo del tratamiento de los datos…
LOPDGDD & RGPD

¿Qué tipos de cookies existen y para qué sirven?

14 Mins read
Las cookies pueden ayudar a proporcionar una experiencia de usuario única y personalizada. Pero, ¿cuáles son los diferentes tipos de cookies? ¿Para…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.