Los datos sensibles son aquellos datos personales que por su importancia para la privacidad deben ser tratados y almacenados con un mayor cuidado y cumpliendo una serie de requisitos. En este artículo damos más información para saber qué son los datos personales, qué diferencias hay entre datos personales y datos sensibles y cómo tratarlos correctamente.
¿Qué son los «datos personales», según el RGPD?
Vamos a empezar explicando qué son los “datos personales” para la ley. Los datos personales hacen referencia a todo aquello que contiene:
- Información de identificación directa como el nombre, el apellido, el número de teléfono, etc.
- Datos seudonimizados o información de identificación no directa, que no permite la identificación directa de los usuarios pero sí permite individualizar comportamientos.
El RGPD establece una clara distinción entre la información de identificación directa y los datos seudonimizados. El RGPD fomenta el uso de información seudonimizada y señala expresamente que “el uso de seudonimización en datos personales puede reducir el riesgo asociado a la gestión de datos y ayudar a los responsables y encargados del tratamiento a cumplir con sus obligaciones de protección de datos”.
Hay que tener en cuenta que la seudonimización no supone una completa anonimización o disociación completa de los datos, ni tampoco la imposibilidad de reversión de los mismos, ya que existe siempre la posibilidad de identificar al interesado a través de información adicional. A diferencia de la anonimización, sí es considerada como un dato personal por el RGPD.
Mediante este proceso se pretende garantizar un mayor respeto a la privacidad de los afectados, ya que, a pesar de considerarse datos personales, el responsable limita el acceso a determinadas personas autorizadas, y por tanto minimiza el riesgo en el tratamiento.
¿Qué son los datos sensibles?
El RGPD establece en el artículo 9 las categorías especiales de datos que se consideran datos sensibles, y que por lo tanto, exigen una especial protección, ya sea por su naturaleza o por la relación que puedan tener con los derechos y las libertades fundamentales de las personas, haciendo que queden sujetos a disposiciones específicas cuando su tratamiento pueda suponer alto riesgo en la protección de datos.
La normativa europea considera datos sensibles los referidos a:
- Origen racial o étnico
- Opiniones políticas
- Creencias religiosas o filosóficas
- Afiliación sindical
- Los datos genéticos
- Datos biométricos con el objetivo de identificar de manera exclusiva a un individuo
- Aquellos datos relativos a la salud o la vida sexual y/o la orientación sexual
¿Cuándo prohíbe el RGPD tratar datos sensibles?
El RGPD establece por defecto la prohibición del tratamiento de estas categorías de datos sensibles, pero existen algunas excepciones específicas en las que los datos sensibles sí pueden tratarse:
- En caso de que el interesado haya dado su consentimiento explícito.
- En el marco de actividades legítimas realizadas por asociaciones o fundaciones cuyo objetivo sea posibilitar el ejercicio de las libertades fundamentales.
- Cuando exista un interés público fundamentado en la legislación vigente de cada país de la UE. Por ejemplo en el ámbito laboral, protección social, pensiones, sanidad u otras amenazas graves para la salud.
¿Cómo tratar datos personales y sensibles sin incumplir el RGPD?
Para evitar multas es imprescindible contar con un completo plan de protección de datos y cumplir con todo lo establecido en el RGPD en su tratamiento. Para ello, la mejor medida de prevención es formar a los empleados, para que sepan identificar aquellos casos en los que tienen el tratamiento de datos puede tener algún riesgo y puedan trabajar sin incumplir la normativa.
Desde Pridatect os recomendamos realizar formaciones periódicas y adaptadas a las necesidades del trabajo y tipo de datos que trata cada empleado. También ofrecemos la posibilidad de realizar nuestra formación para empleados, adaptada a las necesidades de cada departamento.
