RGPD - DATOS PERSONALES
Datos personales sensibles según RGPD
En el RGPD hay determinados datos personales que se consideran sensibles, a menudo denominados «datos personales sensibles», pero en el RGPD se denominan «categorías especiales de datos personales». Al procesar estos datos personales sensibles, las reglas son más estrictas. Los datos personales sensibles se enumeran en el artículo 9 del RGPD.
Las siguientes son las categorías especiales de datos personales
- Origen racial o étnico.
- Opiniones políticas.
- Creencias religiosas o filosóficas.
- Membresía sindical.
- Datos genéticos.
- Datos biométricos para identificar de forma única a una persona física.
- Datos de salud. Y
- Vida sexual u orientación sexual.
¿Está prohibido el tratamiento de datos personales sensibles en virtud de la norma general?
Sí, está prohibido y, por lo tanto, no se permite el tratamiento de datos personales sensibles de conformidad con la norma general del artículo 9 del RGPD. Sin embargo, hay algunas excepciones a la regla general. Puede permitir el tratamiento de datos personales sensibles en determinados casos.
¿Cuáles son los requisitos de seguridad para el tratamiento de datos personales sensibles?
Al tratar datos personales sensibles, la empresa debe aplicar mejores medidas de seguridad técnicas y organizativas que al tratar «datos personales ordinarios». Los datos personales que no sean sensibles, pero que se consideren sensibles a la privacidad, también deben tratarse con un nivel de seguridad superior al de otros «datos personales ordinarios».
Ejemplos de lo que no constituyen datos personales sensibles:
- Detalles de la cuenta bancaria.
- Información sobre delitos o infracciones penales.
- Número de identificación personal.
Los datos de salud son datos personales sensibles que los empleadores procesan
Los empleadores a menudo necesitan procesar los datos de salud de los empleados. Por ejemplo, información sobre licencia por enfermedad o discapacidad. Además, la baja por enfermedad generalmente se indica en las nóminas, lo que significa que la nómina debe tratarse con suficiente seguridad. Por lo tanto, por ejemplo, un empleador no debe enviar la nómina a través de correo electrónico no cifrado.
¿Cuándo se permite el tratamiento de datos personales sensibles?
El artículo 9, apartado 2, del RGPD contiene una lista de diez excepciones que permiten el tratamiento de datos personales sensibles. Esto significa que si se aplica una de las excepciones, los datos personales sensibles pueden ser procesados. Esto es a pesar de la prohibición establecida en la regla general del artículo 9, apartado 1, del RGPD. A continuación se muestra una lista de las 10 excepciones para el tratamiento de datos personales sensibles.
Consentimiento explícito [artículo 9, apartado 2, letra a), del RGPD]
Cuando el interesado haya dado su consentimiento explícito para el tratamiento de datos personales sensibles pertenecientes al interesado, los datos en cuestión podrán tratarse sobre la base de esta excepción.
Derecho laboral, seguridad social o protección social [artículo 9, apartado 2, letra b), del RGPD]
Si el tratamiento de los datos personales sensibles es requerido por la ley en el ámbito de la legislación laboral o los convenios colectivos, esto puede hacerse sobre la base de esta excepción. Sin embargo, esto solo se aplica siempre que se tomen las garantías adecuadas en relación con el procesamiento.
Interés vital [artículo 9, apartado 2, letra c), del RGPD]
El procesamiento de datos personales sensibles está permitido, si es necesario para salvar vidas. En tales casos, la base jurídica para el tratamiento es la protección de intereses vitales de conformidad con el artículo 6, apartado 1, letra d). Por ejemplo, un hospital puede necesitar hacerse un análisis de sangre a una persona inconsciente que ha sido llevada a la sala de emergencias, para poder darle a la persona el tipo de sangre correcto. Al constituir datos sobre salud, se trata de datos personales sensibles. Sin embargo, esta excepción no podrá utilizarse si el interesado puede dar su consentimiento. Por ejemplo, si la persona ha reservado una visita a un médico y puede dar o rechazar el consentimiento.
Organización sin ánimo de lucro [artículo 9, apartado 2, letra d), del RGPD]
Los datos personales sensibles podrán tratarse dentro de una organización sin ánimo de lucro, siempre que se refieran únicamente a miembros u otras personas que tengan un contacto regular con la organización, y que los datos personales sensibles no se difundan fuera de la organización. Por ejemplo, esta exención puede ser utilizada por una organización política, religiosa o sindical sin ánimo de lucro.
Divulgación clara por el interesado [artículo 9, apartado 2, letra e), del RGPD]
Si los datos personales sensibles han sido divulgados claramente por el interesado, podrán tratarse sobre la base de esta excepción. Por ejemplo, si un individuo se presenta como candidato en una elección para un partido político y participa abiertamente en entrevistas, debates y por lo demás es políticamente activo.
Establecer, ejercer o defender reclamaciones legales [artículo 9, apartado 2, letra f), del RGPD]
Si el procesamiento de los datos personales sensibles es necesario para el establecimiento, ejercicio o defensa de reclamaciones legales, se permite el procesamiento. También está permitido que los tribunales procesen datos personales sensibles como parte de sus actividades judiciales.
Interés público importante [artículo 9, apartado 2, letra g), del RGPD]
Si el tratamiento de los datos personales sensibles es necesario para intereses importantes en virtud de la ley, y el tratamiento está sujeto a las garantías adecuadas, el tratamiento está permitido en virtud de esta excepción. Por ejemplo, las agencias gubernamentales pueden procesar datos personales confidenciales para verificar o investigar posibles fraudes de subvenciones. En algunos casos, las autoridades también pueden necesitar tratar datos personales sensibles como parte de su verificación de antecedentes. Por ejemplo, datos sobre infracciones de la ley, salud o extremismo político, para evaluar si una persona es apta para trabajar en profesiones clasificadas, como la policía.
Asistencia sanitaria o social [artículo 9, apartado 2, letra h), del RGPD]
Si el procesamiento de datos personales sensibles es requerido por ley o acuerdo para llevar a cabo la atención médica o social, la evaluación del tratamiento y la capacidad laboral, esta exención puede aplicarse. Sin embargo, debe aplicarse la confidencialidad y deben establecerse salvaguardias especiales.
Razones de salud pública [artículo 9, apartado 2, letra i), del RGPD]
Esta excepción significa que, si el tratamiento de los datos personales sensibles debe llevarse a cabo por razones de salud pública, puede llevarse a cabo, con sujeción a las garantías técnicas y organizativas adecuadas. Por ejemplo, para garantizar la calidad de los medicamentos o para proteger contra las amenazas transfronterizas graves para la salud.
Finalidades de archivo en interés público, investigación científica o histórica o estadística [artículo 9, apartado 2, letra j), del RGPD]
Si los datos personales sensibles deben tratarse con fines de archivo en interés público, investigación científica o histórica o estadísticas de conformidad con el artículo 89 del RGPD, podrá utilizarse esta excepción, siempre que se establezcan las garantías adecuadas.
MÁS INFORMACIÓN SOBRE DATOS PERSONALES
Tratamiento de datos personales relativos a condenas e infracciones penales
La norma general del artículo 10 del RGPD prohíbe el tratamiento de datos personales relativos a condenas e infracciones penales. Lo es a menos que lo lleve a cabo una autoridad encargada de hacer cumplir la ley. Por otra parte, los Estados miembros de la UE son libres de regular la forma en que otros agentes, como las empresas privadas, pueden tratar dichos datos personales. Ejemplos de datos personales relativos a condenas e infracciones penales son los datos relativos a una persona que ha cometido un delito, las sentencias en un asunto penal y las medidas coercitivas del Derecho penal, como las prohibiciones y decisiones de viaje.