GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

INFORMACIÓN SOBRE DATOS PERSONALES

Datos personales sensibles a la privacidad

Hay cuatro grupos de datos personales sensibles a la privacidad, pero solo dos de ellos tienen disposiciones especiales en el RGPD. Al procesar estas categorías de datos personales, las reglas son más estrictas. 

Cuatro grupos de datos personales sensibles a la privacidad

Los cuatro grupos de datos personales sensibles a la privacidad son los siguientes:

  1. Datos personales sensibles (artículo 9 del RGPD);
  2. Condenas e infracciones penales (artículo 10 del RGPD); 
  3. Número de identidad personal; y
  4. Datos subjetivamente sensibles a la privacidad.

¿Pueden las empresas procesar datos personales confidenciales de acuerdo con RGPD?

Los datos personales sensibles son uno de los grupos de datos personales sensibles a la privacidad. Además, los datos personales sensibles tienen disposiciones especiales en el RGPD, en las que se denominan «categorías especiales de datos personales». El tratamiento de estas categorías especiales de datos personales está prohibido por la regla general del artículo 9 del RGPD, pero hay algunas excepciones. 

Consentimiento expreso

Si una empresa obtiene el consentimiento explícito para procesar datos personales sensibles de una persona, puede permitirse en virtud del artículo 9, apartado 2, letra a), del RGPD.

What breaches of the GDPR can lead to an administrative fine?

Las seis bases jurídicas

  • Consentimiento
  • Contratos con los interesados
  • Interés legítimo
  • Obligación jurídica
  • Protección de intereses vitales
  • Ejercicio del poder público y funciones de interés público

Las siguientes son las categorías especiales de datos personales

  1. Origen racial o étnico; 
  2. Dictámenes políticos; 
  3. Creencias religiosas o filosóficas;
  4. a) La afiliación sindical; 
  5. datos genéticos; 
  6. datos biométricos para identificar de forma unívoca a una persona física; 
  7. datos sanitarios; y
  8. Vida sexual u orientación sexual.

Los empleadores generalmente procesan datos de salud

Los empleadores suelen tener que tratar datos sobre la salud de los empleados, como las bajas por enfermedad, que constituyen datos personales sensibles. Tenga en cuenta que, por ejemplo, una nómina que contenga información sobre la baja por enfermedad no debe enviarse por correo electrónico no cifrado, ya que no es lo suficientemente segura. La base jurídica para este tipo de tratamiento suele ser una obligación legal en virtud del Derecho laboral, con arreglo a la excepción del artículo 9, apartado 2, letra b). 

Datos personales sobre condenas e infracciones penales

Aunque los datos personales relativos a infracciones de la ley no constituyen datos personales sensibles en el sentido del artículo 9 del RGPD, este tipo de datos personales goza de un nivel de protección más elevado que otros datos personales.

¿Qué están cubiertos por los datos personales sobre violaciones de la ley?

  • Delitos cometidos, 
  • Sospecha de delito, 
  • Sentencias en causas penales, 
  • Medidas coercitivas en virtud del derecho penal (como la detención preventiva o la prohibición de viajar);
  •  
Sensitive personal data according to GDPR

¿Pueden las empresas almacenar datos personales sobre violaciones de la ley con el fin de presentar reclamaciones legales?

Sí, una empresa puede, en ciertos casos, procesar datos personales sobre violaciones de la ley para hacer reclamos legales. Por ejemplo, si un banco sospecha que un cliente está involucrado en el lavado de dinero. La base jurídica en tales casos es una obligación legal, ya que el banco tiene la obligación legal de investigar y posiblemente hacer una notificación si la sospecha persiste.

Las autoridades de protección de datos pueden decidir sobre excepciones generales e individuales

El RGPD ha otorgado a las autoridades nacionales de protección de datos el poder de conceder exenciones generales para que las partes privadas procesen datos personales sobre infracciones de la ley. Por ejemplo, en Suecia, la autoridad nacional de protección de datos ha concedido exenciones a las actividades de los abogados y denunciantes que ocupan una posición de liderazgo o una posición importante. Además, un operador privado individual puede obtener una exención a raíz de una solicitud para llevar a cabo dicho tratamiento. 

El número de identidad personal es un dato personal sensible a la privacidad

El RGPD no contiene ninguna disposición especial sobre las normas relativas al tratamiento de los números de identidad personal. Por otra parte, son especialmente dignas de protección en la mayoría de los Estados miembros de la UE. Sin embargo, los números de identidad personal no constituyen datos personales sensibles en el sentido del artículo 9 del RGPD.

Las normas pueden diferir ampliamente de un Estado miembro a otro

En Suecia, los números de identidad personal son información pública que todos pueden obtener, lo cual no es común en otros países. En Finlandia, los datos personales son los únicos que pueden obtener las autoridades que los necesitan en su trabajo y la persona a la que pertenece el número de identidad personal. 

Datos sensibles a la privacidad

Hay muchos datos personales que pueden ser datos subjetivamente sensibles a la privacidad. En otras palabras, los datos personales que la persona experimenta constituyen una violación de la privacidad si son procesados por otra persona. Por ejemplo, información de ubicación (GPS) o información de cuenta bancaria. Existen normas relativas al tratamiento de dichos datos personales, aunque no existe ninguna disposición específica en el RGPD que lo regule. 

Cuando una empresa esté obligada a notificar una violación de datos personales a la autoridad nacional de protección de datos, la empresa deberá, entre otras cosas, proporcionar información sobre si la violación involucra cualquier tipo de datos personales. Además, puede ser necesario llevar a cabo una evaluación de impacto antes de iniciar el tratamiento de datos subjetivamente sensibles a la privacidad.

MÁS INFORMACIÓN SOBRE DATOS PERSONALES

El ciclo de vida de los datos personales

Hay tres pasos clave en el ciclo de vida de los datos personales, que son importantes para que las empresas entiendan para cumplir con el RGPD. El primer paso es que la empresa tenga acceso a los datos personales. El segundo paso se refiere al procesamiento de datos personales por parte de la empresa después de la recopilación. En la etapa final, que se refiere a la terminación del procesamiento, la empresa debe asegurarse de que los datos personales dejen de procesarse correctamente. Hay muchas reglas a seguir dentro de cada paso del ciclo de vida de los datos personales.

¿Quieres saber más?

Leer más
Scroll al inicio