Datos especiales según el RGPD

En esta publicación explicaremos cuales son los datos de categoría especial según la Normativa de protección de datos, (RGPD + LOPD-GDD), pues en la actualidad, todos sin excepción, nos vemos expuestos a que nuestros datos más íntimos sean tratados con finalidades loables, como es el interés público (temas de salud), o no tan loables (robo de identidad).

Frente a este panorama, Business Adapter protección de datos Valencia quiere sensibilizar a clientes y lectores sobre la relevancia de este tipo de datos de categoría especial que regula la normativa de protección de datos, así como las garantías que los asisten, aunado a las actividades profesionales que deben tener en cuenta este régimen especial.

Definición legal

El Reglamento Europeo 2016/679 (en adelante, RGPD), en su artículo 9 regula el tratamiento de categorías especiales de datos personales, entendiéndose por éstos los relativos a:

  • Origen étnico o racial
  • Opiniones políticas
  • Convicciones religiosas o filosóficas
  • Afiliación sindical
  • Datos genéticos
  • Datos biométricos
  • Datos de salud
  • Datos relativos a la vida sexual u orientación sexual

La definición específica de alguno de estos datos, la podemos encontrar en el artículo 4 del mismo RGPD.

Por otro lado, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPD-GDD), en su artículo 9 hace referencia a la regulación del RGPD sobre este tipo de datos personales, señalando que algunos tratamientos deberán estar amparados por una norma con rango de ley, estableciéndose en ella requisitos adicionales relativos a la seguridad y confidencialidad.

Requisitos RGPD para los datos especiales

La norma general para este tipo de tratamientos es la prohibición de los mismos. Es más, la LOPD-GDD establece que a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

Por tanto, estos datos personales podría pensarse que están blindados por la normativa. Sin embargo, existen excepciones para su tratamiento que hay que tener en cuenta, según el artículo 9.2 del RGPD, que en resumen y por poner ejemplos serían:

a) el interesado ha dado su consentimiento explícito para tratar estos datos personales 

b) el tratamiento es imprescindible para cumplir obligaciones en el ámbito laboral

c) el tratamiento de estos datos personales es necesario para proteger los intereses vitales de una persona

e) cuando el interesado ha hecho manifiestamente públicos los datos especiales

f) cuando es necesario para la defensa de reclamaciones o los tribunales en el ejercicio de sus funciones

g) tratamientos por razones de un interés público esencial, respetando el derecho a la protección de datos 

h) para fines de medicina preventiva o laboral

i) cuando es necesario por interés público en el ámbito de la salud pública

j) cuando es imprescindible para fines de investigación científica, histórica, para fines estadísticos y siempre en interés público

Medidas de seguridad 

Cuando estemos ante tratamientos que impliquen categorías especiales de datos, tenemos que estar seguros de haber adoptado las siguientes medidas de seguridad, que garanticen la protección de estos datos personales:

a) Con carácter previo, realizar una evaluación de impacto; en específico, cuando se traten datos biométricos y genéticos.

b) Obtener el consentimiento del interesado en todos los casos, debiendo reunir las características del artículo 6.1 de la LOPD-GDD, libre, inequívoco, específico e informado, salvo cuando la norma determine que se exenta dicho consentimiento previo al tratamiento.

c) Elaborar por parte del responsable del tratamiento y el encargado, el Registro de Actividades de Tratamiento, en donde se especifiquen los datos de categoría especial tratados, así como los riesgos identificados, según el artículo 30.1 c) y 2 del RGPD y 31.1. de la LOPD-GDD.

d) Nombrar a un Delegado de Protección de Datos, cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de este tipo de datos, de acuerdo con el artículo 37.1. c) RGPD.

e) Elaborar una política de accesos autorizados para este tipo de datos, en donde se especifiquen las personas/usuarios con autorización de acceso, así como la generación de usuarios y contraseñas personalizados.

f) Utilización de técnicas de cifrado, si es que este tipo de datos es necesario que se envíen por correo electrónico, o a través de plataformas.

Negocios sujetos a este tipo de tratamientos

Hoy en día, existen muchos tipos de negocios en los cuales el tratamiento de datos personales de categoría especial es parte de su actividad central.

Todos estos negocios deben de adoptar las medidas de seguridad mencionadas, una vez que tengan bien delimitados los datos que van a ser objeto de tratamiento.

Algunos ejemplos de negocios que utilizan datos de categoría especial podrían ser los siguientes:

a) Centros educativos de cualquier nivel, pues en los expedientes de los alumnos (menores en su mayoría) frecuentemente deben incluir datos relativos a la salud (enfermedades, alergias, etc.).

b) Servicios de atención psicológica, ya que en los expedientes de los usuarios del servicio (pacientes) deben tomarse en cuenta datos relativos a la salud, vida sexual, orientación sexual, genéticos.

e) Clínicas dentales, por datos relativos a la salud.

f) Gabinetes psicopedagógicos, deben reunir datos relativos a la salud, religión, vida sexual.

g) Empresas que utilicen como método de control de jornada laboral, los lectores biométricos.

h) Clínicas o Servicios relacionados con reproducción asistida y gestación, por tener que tratar datos genéticos, vida sexual y orientación sexual, así como datos de salud.

i) Clínicas de cirugía estética, tratan datos de salud.

j) Bufetes de abogados, que no así los abogados en régimen de autónomos. Pueden tratara datos de salud, opiniones religiosas, filosóficas, genéticos, orientación y vida sexual.

k) Clubs deportivos o asociaciones deportivas, que tratan datos de salud.

l) Asesorías /gestorías de prevención de riesgos laborales, ya que tratan datos de salud.

Qué hacer si su negocio trata estos datos especiales 

Le recomendamos que contacte a una Consultora de Protección de Datos Valencia / RGPD Valencia experta y que le gestione las Políticas de Seguridad que deba implantar en su entidad, Manual de protección de datos para empleados, etc.

Si necesita ayuda contacte a Business Adapter protección de datos aquí