Los datos personales están en el centro del Reglamento General de Protección de Datos (RGPD). Sin embargo, muchas personas aún no están seguras de a qué se refieren exactamente los «datos personales» o «datos de carácter personal». No existe una lista definitiva de lo que son o no son datos personales, por lo que todo se reduce a interpretar correctamente la definición del RGPD.
En este artículo analizamos qué son los datos personales según el RGPD y la LOPDGDD, qué clasificación de los datos personales se hace en la propia normativa y veremos algunos ejemplos de datos personales.
En este artículo hablamos de:
¿Qué son los datos de carácter personal?
Los datos personales son cualquier tipo de información que se pueda utilizar para identificar directa o indirectamente a una persona viva (interesado).
Por lo tanto, los datos de carácter personal son toda aquella información relativa a personas físicas que puede usarse para identificarlas, tanto si trata de sus datos sobre su identidad como respecto a sus ocupaciones, hábitos o situación personal.
La recopilación, procesamiento y almacenamiento de los datos de carácter personal está estrictamente regulado en el RGPD y la LOPDGDD. Por tanto, es importante saber exactamente cómo tu proveedor de análisis digital recopila, gestiona y almacena los datos personales. El uso de los datos personales también debe estar documentado y se debe informar claramente a los usuarios finales.
Un dato personal consiste en cualquier información relativa a una persona física. Cada una de estas informaciones que permiten la identificación de una persona, se denominan dato de carácter personal.
Definición de del RGPD
El artículo 4 del RGPD define los datos personales de una persona como «toda información sobre una persona física identificada o identificable». ¿Pero qué significa «identificable»?
El mismo artículo continúa señalando que una persona física identificable es aquella que puede ser identificada, directa o indirectamente, por referencia de un identificador, por un identificador en línea o por uno o más factores específicos de la naturaleza física, fisiológica, genética, mental, identidad económica, cultural o social de esa persona física.
Desde el punto de vista de la naturaleza de la información, la información personal abarca tanto información objetiva como la presencia de determinadas sustancias en la sangre, como información subjetiva como opiniones o valoraciones. Si consideramos el formato o el medio en el que se encuentra la información, los datos personales pueden incluir perfectamente la información disponible en cualquier forma, por ejemplo, alfabética, numérica, etc.
Por último, desde el punto de vista del contenido de la información, el concepto de datos personales incluye datos que proporcionan cualquier tipo de información. Esta información no debe limitarse necesariamente a la vida privada y familiar de la persona para que entre en el ámbito de los datos personales, y aquí es donde entran en juego los «identificadores».
Los identificadores, como su nombre indica, son piezas de información a partir de las cuales se puede identificar a una persona, ya que mantienen una relación privilegiada y cercana con el interesado. Por lo tanto, en ese sentido, se consideran datos de una persona.
Con esta definición, el RGPD amplía el alcance de lo que se entiende por datos de carácter personal, para cumplir con el objetivo de proteger los derechos y libertades fundamentales de las personas físicas y garantizar su derecho a la protección de los datos personales.
Definición de la LOPDGDD
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) define también los datos de carácter personal.
Los datos personales se refieren básicamente a cualquier información sobre una persona viva, donde esa persona está identificada o podría ser identificada. Pueden cubrir varios tipos de información, como el nombre, la fecha de nacimiento, la dirección de correo electrónico, el número de teléfono, la dirección, las características físicas o los datos de ubicación, una vez que esté claro con quién se relaciona esa información, o si es razonablemente posible averiguarlo.
Los datos personales no tienen que estar en forma escrita, también pueden ser información sobre cómo se ve o suena un sujeto de datos, por ejemplo, fotos o grabaciones de audio o video, pero la ley de protección de datos personales solo se aplica cuando esa información es procesada de forma automatizada (por ejemplo, electrónicamente) o como parte de algún otro tipo de sistema de archivo.
Tipos de datos personales
Generalmente, y sin ser exhaustivos, se diferencia entre tres tipos de datos personales:
- Datos básicos de una persona (nombre y apellidos, dirección postal, número de teléfono, DNI, etc.).
- Datos sensibles (que son aquellos datos cuyo tratamiento puede suponer un riesgo para los derechos y libertades fundamentales de los interesados).
- Los ya citados indicadores que pueden identificar o hacer identificable a una persona (dirección IP, la huella digital, etc.).
Aunque si queremos una lista de datos personales «cerrada y oficial», debemos acudir al RGPD.
Clasificación de datos personales
El RGPD clasifica los datos personales en tres categorías de datos personales diferentes, en función del riesgo que su tratamiento supone para los derechos y libertades de los interesados y las obligaciones que se deben cumplir para poder tratarlos.
Datos de carácter personal general
Cualquier dato de carácter personal que no esté contemplado en las categorías de datos especiales, es considerado un dato personal general u ordinario.
Los datos personales ordinarios pueden incluir detalles de identificación personal como nombre y dirección, relaciones con los clientes, finanzas personales, asuntos relacionados con impuestos, deudas, días de enfermedad, circunstancias relacionadas con el trabajo, circunstancias familiares, residencia, automóvil, calificaciones, solicitudes, CV, fecha de empleo, puesto, área de trabajo, teléfono del trabajo, datos clave: nombre, dirección, fecha de nacimiento, dirección IP u otra información similar no sensible.
Los datos relativos a la salud están especialmente protegidos
Datos de carácter personal especialmente protegidos
Los datos de categorías especiales son los datos de carácter personal especialmente protegidos, puesto que revelan información que puede tener impacto sobre los derechos y libertades fundamentales de las personas, pudiendo exponerlas a la discriminación y por ello deben tratarse con mayor cuidado y aplicarse mayores medidas de seguridad.
Estas categorías de datos especiales son:
- Origen étnico o cultural: Este tipo de datos se refieren a la raza o etnia de las personas. La etnia es la creencia subjetiva en una procedencia común. Esa creencia puede basarse en semejanzas de aspecto exterior, costumbres, idioma, religión o memoria de eventos históricos como migraciones.
- Opiniones políticas, religiosas y filosóficas: Esto incluye todos aquellos datos referidos a la religión o creencia de una persona y sus opiniones políticas.
- Orientación sexual: Son los datos sobre la orientación sexual y el género. Estos son aspectos importantes de nuestra identidad.
- Afiliación sindical: Los datos sobre afiliación sindical son los que indican si una persona concreta está afiliada a un sindicato.
- Datos genéticos: Son datos personales relacionados con las características genéticas heredadas o adquiridas de una persona física que proporcionan información única sobre la fisiología o la salud de esa persona física y que resultan, en particular, de un análisis de una muestra biológica de la persona física en cuestión. Esto incluye análisis cromosómico, de ADN o ARN, o cualquier otro tipo de análisis que le permita obtener información equivalente. Cuando la información genética se haya anonimizado, ya no se considerará dato personal.
- Datos biométricos: Los datos biométricos son datos personales resultantes de un procesamiento técnico específico relacionado con las características físicas, fisiológicas o de comportamiento de una persona física, que permiten o confirman la identificación única de esa persona física, como imágenes faciales o datos dactiloscópicos (huellas dactilares) o análisis de firmas manuscritas. Se consideran datos de categorías especiales cuando su finalidad es identificar de manera única a una persona física (como por ejemplo, en los controles de acceso).
- Datos relativos a la salud: Son datos personales relacionados con la salud física o mental de una persona física, incluida la prestación de servicios de atención médica, que revelan información sobre su estado de salud. Los datos de salud pueden referirse al estado de salud pasado, actual o futuro de una persona. No solo cubre detalles específicos de condiciones médicas, pruebas o tratamientos, sino que incluye cualquier dato relacionado que revele algo sobre el estado de salud de una persona. Por tanto, los datos sanitarios pueden incluir una amplia gama de datos personales, por ejemplo:
- Cualquier información sobre lesiones, enfermedades, discapacidades o riesgos de enfermedades, incluidos antecedentes médicos, opiniones médicas, diagnóstico y tratamiento clínico.
- Datos de exámenes médicos, resultados de pruebas, datos de dispositivos médicos o datos de rastreadores de actividad física.
- Información recopilada del individuo cuando se registra para los servicios de salud o accede al tratamiento.
- Detalles de citas, recordatorios y facturas que le informan algo sobre la salud de la persona. Estos se incluyen en «la prestación de servicios de atención médica», pero deben revelar algo sobre el estado de salud de una persona. Por ejemplo, una cita con el médico de cabecera o el hospital de forma aislada no le dirá nada sobre la salud de una persona, ya que puede ser una cita de control o evaluación. Sin embargo, podría inferir razonablemente datos de salud de la lista de citas de una persona en una clínica de osteópata o de una factura por una serie de sesiones de fisioterapia.
Datos personales de naturaleza penal
Los datos personales sobre denuncias, procedimientos o condenas penales no son datos de categoría especial. Sin embargo, existen reglas y salvaguardas similares para procesar este tipo de datos, para hacer frente a los riesgos particulares asociados a ellos.
Para procesar datos personales sobre condenas o delitos penales, debes tener una base legal y una autoridad legal o autoridad oficial para el procesamiento. También puedes procesar este tipo de datos si tienes autoridad oficial para hacerlo porque estás procesando los datos a título oficial.
No puedes llevar un registro completo de condenas penales a menos que lo hagas a título oficial.
Ejemplos de datos personales
De acuerdo a lo visto en puntos anteriores, son ejemplos de datos personales según la normativa:
- Nombre y apellido
- Dirección de correo electrónico
- Dirección de la casa (calle, código postal, código postal, ciudad)
- Número de teléfono
- Foto
- Fecha de nacimiento
- Lugar / ciudad / país de nacimiento
- Número de cuenta bancaria
- Número de tarjeta de crédito
- Número de seguridad social
- Número de pasaporte, número de identificación nacional, número de licencia de conducir
- Número de placa de matrícula del vehículo
- Número de empleado
- Dirección IP
- ID de cookie
- Datos de localización
- La escritura (la forma en la que escribimos)
- Contraseña
- ID / enlaces de perfil de redes sociales
- ID de dispositivo móvil
- Historial de empleo, título del trabajo
- Historia académica
Y como ejemplo de información personal de categorías especiales tenemos:
- Nacionalidad
- Sexo / género
- La etnia o la raza
- La historia clínica
- La afiliación sindical
- La ideología política
¿Qué NO es un dato de carácter personal?
No todos los datos de una persona física se consideran personales. Por ejemplo, los datos anonimizados no se consideran datos personales siempre y cuando no sea posible reidentificar a la persona física a la que se refieren.
Tampoco se consideran datos personales los referidos a personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto.
Aparte de la Ley de Protección de Datos (LOPDGDD), en España también son de aplicación las siguientes normativas sobre protección de datos personales:
Normativa sobre protección de datos de carácter personal
Si bien, y como hemos visto, en España la ley de protección de datos de carácter personal es la LOPDGDD, existen otras normas que regulan también la protección de datos personales que debemos tener en cuenta:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
- Directiva (UE) 2016/680, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.
- Ley Orgánica 10/2007, de 8 de octubre, reguladora de la base de datos policial sobre identificadores obtenidos a partir del ADN.
- Ley Orgánica de 7/2021, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
- Orden INT/424/2019, de 10 de abril, por la que se aprueba la política de seguridad de la información en el ámbito de la administración electrónica del Ministerio del Interior y las directrices generales en materia de seguridad de la información para la difusión de resultados provisionales en procesos electorales.
- Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.
Esperamos haber aclarado tus dudas respecto a qué son y qué no son datos personales.
La gestión de la protección de datos en tu empresa o negocio puede resultar una tarea compleja, ya no solo por saber identificar cuándo estás tratando con datos personales, sino por todas obligaciones legales que implica hacerlo, especialmente si tratas datos de categorías especiales. Por ello, la mejor solución es contratar protección de datos con un servicio especializado, como el que encontrarás en Grupo Atico34; nuestros expertos en protección de datos te ayudarán y asistirán ante cualquier duda relacionada con normativa y su cumplimiento.
Nuestro servicio de consultoría en protección de datos personales te ofrece todas las garantías para que tu empresa o negocio siempre cumpla con la normativa.