GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

ARTÍCULO 4 & 9 DEL RGPD

Datos personales según RGPD

Algo muy central para poder cumplir con las disposiciones del RGPD, es la comprensión de la definición de datos personales según RGPD. Hay muchos tipos y categorías diferentes de datos personales, además de los más obvios.

Definición de datos personales según RGPD

La definición de datos personales se establece en el artículo 4, apartado 1, del RGPD. Los datos personales son cualquier información relacionada, directa o indirectamente, con una persona física viva identificada o identificable.

Además, la indicación de uno o varios factores específicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de la persona física también constituye datos personales.

En resumen, RGPD cubre todo tipo de datos que pueden identificar a un individuo vivo físico, tanto directa como indirectamente.

What breaches of the GDPR can lead to an administrative fine?

Quién debe cumplir con RGPD

Todas las empresas que procesan datos personales de personas ubicadas en la UE / EEE deben cumplir con el Reglamento General de Protección de Datos de la UE (RGPD). Este Reglamento entró en vigor el 25 de mayo de 2018 y se aplica en todos los países de la UE/EEE.

También se aplica en muchos casos a empresas establecidas fuera de la UE/EEE. Incluido si ofrecen servicios o bienes, de forma gratuita o a título oneroso, a personas situadas en el territorio de la UE o del EEE.

Datos personales claros y menos claros

Cuando de alguna manera es posible vincular información a una persona físicamente viva, son datos personales. Tenga en cuenta que los datos aún menos claros pueden considerarse datos personales bajo RGPD. No necesariamente tiene que ser información que pueda estar directamente vinculada a una persona, pero también se puede hacer indirectamente.

Measures that companies need to take to comply with GDPR

Ejemplo de datos personales indirectos

Una persona tiene una tarjeta de autobús personal que se puede bloquear, si el número de tarjeta faltante se proporciona a la compañía de transporte. Para que la empresa de transporte sepa a quién pertenece la tarjeta, tienen un sistema que muestra a quién está registrada la tarjeta. En otras palabras, es posible conectar el número de tarjeta a la persona a través de una llamada identificación de puerta trasera. Por lo tanto, el número de tarjeta se considera datos personales. El mismo razonamiento se aplica también al número de matrícula de un vehículo propiedad de un particular, que, por lo tanto, también son datos personales con arreglo al RGPD.

Ejemplos de categorías y tipos de datos personales

  • Datos de identificación: Nombre, número de seguro social, número de pasaporte, identificación del cliente.
  • Datos de contacto: Dirección postal, dirección de correo electrónico, número de teléfono.
  • Datos de ubicación: Dirección IP vinculada a un individuo, coordenadas GPS.
  • Factores económicos: Número de cuenta bancaria, historial de transacciones y compras, calificación crediticia.
  • Identificador en línea: Nombre de usuario de redes sociales, número IMEI, dirección MAC, ID de dispositivo, cookies.
  • Otros datos personales: Diagnóstico por un psicólogo.
  • Factores físicos: Huellas dactilares, datos genéticos como muestras de ADN.
  • Factores fisiológicos: Frecuencia cardíaca medida por un reloj inteligente.

Cuanto más importantes o sensibles sean los datos personales, mayores serán los requisitos de seguridad

Todas las empresas deben tomar las medidas técnicas y organizativas adecuadas para proteger los datos personales que la empresa procesa. Las medidas que deben adoptarse varían en función de la situación, como los tipos de datos personales de que se trate. Cuanto más importantes sean los datos personales, mayores serán los requisitos de seguridad.

Por ejemplo, las empresas necesitan una mayor protección cuando almacenan información de tarjetas de crédito que cuando almacenan direcciones de correo electrónico. Además, la empresa puede necesitar llevar a cabo una evaluación de impacto de protección de datos antes de comenzar a llevar a cabo ciertos tipos de procesos.

Las categorías especiales de datos personales del artículo 9 del RGPD también se denominan «datos personales sensibles».

Hay ciertas categorías especiales de datos personales que, de acuerdo con la regla general del artículo 9 del RGPD, tienen prohibido el tratamiento. Sin embargo, hay algunas excepciones a la regla general. Estas categorías especiales de datos personales se denominan a veces «datos personales sensibles».

  • Los datos que revelan información sobre lo siguiente constituyen tales Datos Personales Sensibles:
  • Origen étnico.
  • Opiniones políticas.
  • Creencias religiosas o filosóficas.
  • Pertenencia a sindicatos.
  • Datos de salud (como tipo de sangre, baja por enfermedad, etc.)
  • Orientación sexual o vida sexual.
  • Datos genéticos.
  • Datos biométricos (por ejemplo, cuando se utilizan datos biométricos para la identificación mediante IA a través de CCTV).

Cuando el tratamiento de datos personales sensibles esté permitido en virtud del RGPD

Como se ha mencionado anteriormente, el tratamiento de datos personales sensibles está prohibido de conformidad con la norma general del artículo 9, apartado 1, del RGPD. Sin embargo, el artículo 9, apartado 2, del RGPD enumera diez excepciones a la regla general. Indica cuándo se permite el tratamiento de datos personales sensibles: 

Consentimiento, Derecho laboral y en los ámbitos de la seguridad social y la protección social y la protección de intereses vitales

Consentimiento

El interesado ha dado su consentimiento para el tratamiento de sus datos personales sensibles para uno o más fines específicos. Esto se aplica, sin embargo, siempre que no esté prohibido utilizar el consentimiento como base jurídica con arreglo al Derecho de los Estados miembros.

Derecho laboral y en los ámbitos de la seguridad social y la protección social

Cuando el tratamiento sea necesario para que el empleador o el interesado ejerza sus derechos y cumpla sus obligaciones en el ámbito del Derecho laboral, la seguridad social y la protección social. Esto se aplica siempre que existan salvaguardias adecuadas para garantizar que se salvaguarden los derechos e intereses fundamentales del interesado y que el tratamiento esté permitido por la legislación nacional o los convenios colectivos.

Protección de intereses vitales

Cuando el interesado sea física o jurídicamente incapaz de dar su consentimiento al tratamiento (por ejemplo, inconsciente), pero el tratamiento sea necesario para proteger la vida del interesado o de otra persona física.

Organismos sin ánimo de lucro, Datos a disposición del público, Reclamaciones legales e Interés público importante

Entidades sin ánimo de lucro

Una fundación, asociación u otro organismo sin ánimo de lucro con fines políticos, filosóficos, religiosos o sindicales tiene derecho a tratar datos personales sensibles. Esto se aplica siempre que el procesamiento se refiera solo a miembros actuales o anteriores, o personas que tengan contacto regular con esto debido al propósito del cuerpo. En tales casos, se establecerán las garantías adecuadas y los datos personales no se divulgarán externamente sin el consentimiento del interesado.

Datos a disposición del público

Si el interesado ha hecho públicos claramente datos personales sensibles, está permitido tratarlos.

Reclamaciones legales

El tratamiento de categorías especiales de datos personales es lícito si es necesario para el establecimiento, ejercicio o defensa de reclamaciones legales. Lo mismo se aplica si el procesamiento lleva a cabo parte de las actividades judiciales de los tribunales.

Interés público importante

Si el tratamiento de categorías especiales de datos personales es necesario para un interés público importante, sobre la base del Derecho de la Unión o de los Estados miembros, y es proporcionado a la finalidad, se permite el tratamiento. No obstante, deben adoptarse medidas de seguridad adecuadas y específicas para salvaguardar los derechos e intereses fundamentales del interesado.

Salud y asistencia social y salud pública y protección médica

Asistencia sanitaria y social

El procesamiento de categorías especiales de datos personales está permitido si es necesario para fines médicos. Por ejemplo, para la evaluación de la capacidad de trabajo de un empleado, los diagnósticos médicos, la prestación de asistencia sanitaria, el tratamiento, la asistencia social, etc., siempre que el tratamiento esté autorizado en virtud del Derecho de la Unión o de los Estados miembros o en virtud de contratos con profesionales sanitarios y siempre que los datos sean tratados por profesionales sujetos a una obligación legal de secreto profesional. Además, se aplicarán medidas de seguridad específicas, como el cifrado y los controles de acceso.

Salud pública y protección médica

El tratamiento puede llevarse a cabo si es necesario para fines de salud pública. Por ejemplo, para garantizar la protección contra las amenazas transfronterizas graves para la salud (como una pandemia). Esto se aplica si el tratamiento se basa en el Derecho de la Unión o del Estado miembro. Además, se establecerán salvaguardias específicas para garantizar la protección de los derechos y libertades del interesado, en particular el secreto profesional.

Investigación, estadística y archivo

  • Los datos que revelan información sobre lo siguiente constituyen tales Datos Personales Sensibles:
  • a. fines de archivo en interés público (como el almacenamiento de registros públicos o históricos);
  • b. investigación científica (por ejemplo, estudios médicos);
  • investigación histórica (por ejemplo, estudios de cultura o acontecimientos históricos); o
  • fines estadísticos (por ejemplo, análisis de las tendencias de la sociedad a través de estadísticas).

Esto se aplica siempre que el tratamiento se base en el Derecho de la UE o en el Derecho nacional del Estado miembro en cuestión. Sin embargo, el tratamiento debe ser proporcionado a la finalidad del tratamiento, respetar la esencia del derecho a la protección de datos y estar sujeto a garantías para garantizar los derechos e intereses fundamentales del interesado.

Los datos empresariales normalmente no son datos personales

Tenga en cuenta que un número de registro de la empresa no constituye datos personales. Los datos sobre las empresas normalmente no están cubiertos por el RGPD. Sin embargo, pueden ser datos personales si se refieren a un comerciante individual, en los casos en que el número de identidad corporativa sea el mismo que el número de identidad personal del propietario.

En algunos casos, un número de registro en un automóvil puede ser datos personales y en otros casos no lo es. Por ejemplo, si el propietario del automóvil es una empresa, no son datos personales. Sin embargo, si el propietario del automóvil es un individuo privado, en cambio es un dato personal de acuerdo con RGPD.

Condiciones adicionales

Es importante destacar que un Estado miembro puede mantener o introducir condiciones adicionales, incluidas restricciones, en relación con el tratamiento de datos genéticos, biométricos o sanitarios. Así se establece en el artículo 9, apartado 4, del RGPD. Por lo tanto, las disposiciones del RGPD constituyen la base y los requisitos mínimos. Por lo tanto, es importante que las empresas también sean conscientes de cualquier desviación que se aplique en cada uno de los Estados miembros pertinentes.

MÁS INFORMACIÓN SOBRE LAS BASES LEGALES Y LEGALES DEL RGPD

El contrato con los interesados es otra base jurídica

Las empresas tienen derecho a procesar los datos personales que sean necesarios para la ejecución de un contrato con el interesado. Esta es otra base legal del RGPD. Una empresa que lleva a cabo comercio electrónico puede tratar la información de contacto del cliente para entregarle los productos. Sin embargo, la empresa no tiene derecho a procesar más datos personales de los necesarios para la ejecución del contrato.

¿Quieres saber más?

Leer más
Scroll al inicio