Categorías especiales de datos en el RGPD

En su artículo 9, el RGPD establece la definición de categorías especiales de datos y prohíbe el tratamiento de los mismos.

En concreto, en dicho artículo del RGPD se indica sobre las categorías especiales de datos:

1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.”

Dichos datos sensibles precisan una especial protección, ya sea por su naturaleza o por la relación que puedan tener con los derechos y las libertades fundamentales de las personas y están dotados de disposiciones específicas que regulan su tratamiento, ya que pueden suponer un alto riesgo.

Aunque el RGPD establece por defecto la prohibición del tratamiento de estas categorías de datos, existen excepciones para cuando el interesado haya dado su consentimiento explícito o en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.

Otra de las excepciones previstas es cuando esté justificado que exista un interés público, fundamentado, por ejemplo, en la legislación vigente de cada país de la UE: en el ámbito laboral, protección social, pensiones, sanidad o amenazas graves para la salud.

Obligaciones cuando se tratan categorías especiales de datos

El RGPD determina que los Responsables o Encargados que realicen tratamientos de categorías especiales de datos deberán atenerse a una serie de obligaciones concretas que el propio Reglamento dispone. Estas son las siguientes:

Elaboración de perfiles (artículo 22, apartado 4)

Recoge la prohibición de realizar perfiles de datos que incluyan categorías especiales, salvo que exista consentimiento por parte del interesado o una razón de interés público o supervisado por los poderes públicos.

4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.”

Registro de actividades (artículo 30, apartado 5)

Se refuerza la obligación de crear un registro de actividades de tratamiento de este tipo de datos de categorías especiales.

5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.”

Evaluación de impacto (artículo 35, apartado 3.b)

Los Responsables que realizan tratamientos a gran escala de categorías especiales de datos tienen la obligación de realizar una evaluación de impacto .

b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o…”

Delegado de protección de datos, DPD (artículo 37, apartado 1.c)

El tratamiento de datos de categorías especiales, implica el nombramiento de un Delegado de Protección de Datos.

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.”

Como hemos visto, a pesar de que existan algunas excepciones al tratamiento de datos de categorías especiales, su uso está muy limitado en entornos muy concretos: sanidad, función policial, etc.

Por tanto, tenemos que evitar que la información que manejamos en nuestra empresa, incluya información sensible como la presentada, que pueda hacernos incurrir en una sanción muy importante y en la puesta en riesgo de la información personal más íntima de nuestros usuarios y clientes.

Créditos de la imagen: Photo by Foenix on Foter.com

guest
0 Comentarios
Inline Feedbacks
View all comments