Datos sensibles: Todo lo que debes saber según el RGPD
Con la llegada de la Inteligencia Artificial y la nueva “economía digital”, el uso de datos personales se ha convertido en un activo estratégico innegable para cualquier empresa. Los datos están en todas partes: CRM, ERP, prospección comercial, gestión administrativa, datos sensibles e incluso contemplados en estrategias generales de negocio.
Tratar bien tus datos personales te permitirá responder mejor a las necesidades de tus clientes, optimizar tus procesos y, por supuesto, seguir siendo competitivo en el mercado.
El tratamiento de datos es clave en el crecimiento empresarial, aunque también puede suponer un riesgo elevado para los objetivos comerciales (sanciones, conservación excesiva, transferencias no seguras, ciberataques, pérdidas de reputación…), sobre todo cuando hablamos de “categorías especiales de datos” o “datos sensibles”.
¿Qué son los datos sensibles?
Según el considerando 51 del RGPD, un dato sensible es un “dato personal que requiere especial protección ya que su tratamiento puede entrañar importantes riesgos para las libertades y derechos fundamentales de los individuos”. Y no solo eso, en caso de incumplimiento, el RGPD contempla multas administrativas para la empresa infractora.
Ya en el artículo 9 del RGPD, se detallan las categorías específicas de datos sensibles. Estas incluyen:
- Origen racial o étnico
- Opiniones políticas
- Convicciones religiosas o filosóficas
- Afiliación sindical
- Datos genéticos
- Datos biométricos
- Datos relativos a la salud
- Datos sobre la vida sexual u orientación sexual
Es decir, un tratamiento inapropiado de estas categorías especiales de datos puede tener un impacto muy negativo sobre la privacidad y la dignidad de las personas. Es por ello que su tratamiento está sujeto a estrictas restricciones y medidas de seguridad.
Entonces, ¿cómo trato datos sensibles?
Salvo excepciones, el tratamiento de datos sensibles está estrictamente prohibido. Cada excepción está regulada por el artículo 9 del RGPD y, por tanto, dotada de su propia legitimidad jurídica. Estos supuestos incluyen, entre otros:
- Consentimiento explícito del interesado para uno o más fines específicos (Art. 9(2)(a) del RGPD).
- Necesidad de cumplir obligaciones y ejercer derechos específicos en el ámbito del derecho laboral y de la seguridad y protección social (Art. 9(2)(b) del RGPD).
- Protección de los intereses vitales del interesado o de otra persona física (Art. 9(2)(c) del RGPD).
- Tratamiento llevado a cabo en el curso de las actividades legítimas de una fundación, asociación u otro organismo sin ánimo de lucro (Art. 9(2)(d) del RGPD).
- El tratamiento se refiere a datos que el interesado ha hecho manifiestamente públicos (Art. 9(2)(e) del RGPD).
Datos relativos a la salud
Los datos relativos a la salud son una subcategoría de datos sensibles que merecen un tratamiento especial debido a su naturaleza particularmente delicada. Incluyen la salud física y mental, datos biométricos e información genética pasada, presente y futura.
Se pueden tratar, por ejemplo, en caso de riesgo para la vida. Aunque en casos menos urgentes, como gestionar historiales médicos o recetar tratamientos, se aplica el artículo 9.2 (h) del RGPD. En cualquier caso, el Comité Europeo (GT 29) establece nueve supuestos bajo los que debes realizar una Evaluación de Impacto (PIA). Uno de ellos hace referencia a los datos sensibles, otro a tratamientos a gran escala, también se identifica a los pacientes como personas vulnerables… A partir de dos supuestos, es obligatorio realizar una PIA, excepto para médicos que ejerzan a título individual.
Personas vulnerables
Aunque no sean datos sensibles, las personas vulnerables tienen un lugar especial en la legislación. Según el considerando 75 del RGPD, las personas vulnerables son aquellos grupos más susceptibles de sufrir daños en caso de que sus datos personales sean tratados de manera inapropiada. Aquí podemos incluir:
- Menores de edad
- Ancianos
- Personas con afecciones psíquicas y físicas
- Solicitantes de asilo
- Individuos en situaciones económicas o sociales precarias.
- Trabajadores
La razón de su “vulnerabilidad” es el resultado de tratar datos personales en situaciones entre poderes desiguales. Así, una persona vulnerable podría verse coaccionada, inhibida o encontrar dificultades para ejercer sus derechos.
Las directrices del Comité Europeo de Protección de Datos (EDPB) indican la necesidad de proteger a las personas vulnerables con Evaluaciones de Impacto, medidas proactivas de seguridad y políticas de privacidad y seguridad de datos conscientes de sus necesidades especiales.
Menores de edad
Los menores de edad representan un grupo particularmente vulnerable en el ámbito de la protección de datos. La base jurídica que aplica siempre es el consentimiento. En el contexto español, el artículo 7 de la LOPDGDD establece que, en relación a los servicios de la sociedad de la información, el tratamiento de datos de un menor es lícito para mayores de 14 años. Si tiene menos de esa edad, el poder recae sobre el titular de la patria potestad o tutela.
¿Qué medidas concretas debo tomar para tratar datos sensibles?
La recogida y tratamiento de datos sensibles requiere siempre de la implementación de medidas técnicas y organizativas de seguridad. Según el considerando 75 del RGPD, estas medidas incluyen:
- Evaluaciones de Impacto (PIA) para identificar riesgos específicos y tomar medidas preventivas.
- Pseudonimización y cifrados.
- Garantizar la confidencialidad, integridad y disponibilidad de los sistemas y servicios de tratamiento.
- Formación y sensibilización sobre RGPD y protección de datos.
- Políticas de acceso restringido.
El Grupo de Trabajo del Artículo 29 (WP 248) también ha proporcionado directrices específicas para el tratamiento de datos de salud, subrayando la importancia de obtener el consentimiento explícito del interesado y de garantizar que los datos solo se utilicen para los fines para los cuales se recogieron.
¡Actecil, tu aliado RGPD!
Como ya hemos visto, el tratamiento de categorías especiales de datos, o datos sensibles, requiere una atención y medidas de protección adicionales. Por eso, tratar adecuadamente estos tipos de datos es crucial para proteger los datos de tus clientes y evitar sanciones significativas.
Actecil no solo te ayuda a cumplir la ley, sino que te acompaña durante toda tu misión RGPD.
Gracias a nuestra solución 360º, única en el mercado, manejarás datos sensibles con total seguridad.
- Auditoría y consultoría. Detectamos incumplimientos y elaboramos un plan RGPD solo para ti.
- Formación RGPD. ¡Cumple la ley y aprende ya a tratar datos sensibles!
- DPO externo. Cuando tratas categorías especiales de datos, la figura del DPO es obligatoria.
- Software RGPD. Tus bases de datos sensibles perfectamente organizadas y accesibles.
- E-Assistance. Tienes una duda RGPD, ¡consúltanos!
- Misión internacional. Sean de donde sean tus datos sensibles, ¡hablamos su idioma!
Recuerda, Actecil, expertos en cumplimiento RGPD, te ayudará a proteger tus activos más valiosos: tus clientes y tu empresa.
¡Consulta ya con nuestros consultores y descubre cómo tratar datos sensibles!