La información que se recoge de una persona puede ser de diferentes tipos, por lo que, dependiendo de la categoría de los datos que se traten, se adoptarán diferentes medidas de seguridad.
Con la LOPD los datos a tratar se dividían en tres niveles: básico, medio o alto. Ahora, el nuevo RGPD no establece esta clasificación, pero identifica las siguientes categorías de datos.
Tratamiento de categorías de datos básicos.
Aunque el Reglamento General de Protección de Datos (en adelante RGPD) no hace alusión al tipo de datos considerados básicos, se puede entender que todos los datos que puedan identificar a una persona física que no entren dentro de una categoría especial y no sean relativos a condenas e infracciones penales, son básicos.
Podemos englobar como datos básicos los siguientes:
Datos identificativos
Tales como nombre, dirección, email, teléfono, firma, imagen, voz y DNI.
Características personales
Estado civil, fecha/lugar de nacimiento, características físicas, edad, nacionalidad, sexo y lengua materna.
Circunstancias sociales
Aficiones, estilo de vida, propiedades/posesiones y características de la vivienda.
Información académica o profesional
Formación, historial de estudiante, experiencia profesional y pertenencia a asociaciones profesionales.
Detalles del empleo
Puesto de trabajo y profesión.
Información comercial
Licencias comerciales, suscripciones a publicaciones o medios de comunicación y creaciones literarias, artísticas o científicas.
Información económico – financiera
Cuenta bancaria, préstamos, seguros, ingresos o rentas, tarjetas de crédito, planes de pensiones, datos económicos de la nómina e impuestos.
Datos de transacciones
Bienes y servicios suministrados por el afectado y transacciones o indemnizaciones.
Tratamiento de categorías de datos personales.
Los datos especialmente protegidos o sensibles requieren mayor protección. Así, el Reglamento Europeo de Protección de Datos recoge como categorías especiales de datos:
-
- Origen étnico o racial.
- Opiniones políticas, convicciones religiosas o filosóficas.
- Afiliación sindical.
- Tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física.
- Datos relativos a la salud.
- Datos relativos a la vida sexual o la orientación sexual de una persona física.
Aunque el RGPD prohíbe el tratamiento de este tipo de datos, existen situaciones en las que sí se podrán tratar estas categorías de datos
Situaciones para el tratamiento de datos personales.
Si hay consentimiento para fines específicos:
Cuando el interesado dé su consentimiento explícito para el tratamiento de dichos datos para fines específicos, excepto si está prohibido por una ley vigente.
Si es necesario para alguna finalidad específica:
-
- Para el cumplimiento de obligaciones y ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social.
- Para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.
- Para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial.
- Por razones de un interés público esencial, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
- Para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.
- Por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios.
- Con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
Si lo realiza una fundación, asociación u otro organismo sin ánimo de lucro a miembros con un fin concreto:
Cuando el tratamiento sea realizado por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados.
Si son manifiestamente públicos:
Cuando el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos.
Importante: El RGPD recoge dentro de la categoría especial los datos genéticos y biométricos y los datos relativos a la salud, quedando limitado su tratamiento en situaciones concretas y estableciéndose un sistema especial de protección para garantizar su seguridad.
Con la normativa vigente de protección de datos, el tratamiento de datos biométricos se basa en el uso de sistemas que permitan la seguridad de las personas a través de este tipo de datos. Este sistema debe ser adecuado y debe adaptarse a la finalidad del tratamiento, sin llegar a ser excesivo.
La huella dactilar se consideraba dato de nivel básico, pero con el RGPD los datos biométricos pasan a categoría especial de datos, por lo que todos los tratamientos que almacenen las huellas dactilares requerirán mayores medidas de seguridad.
Sobre los datos sanitarios el nuevo RGPD establece que el tratamiento está permitido cuando el interesado dé su consentimiento explícito para dicho tratamiento y cuando sea necesario por los siguientes motivos:
-
- Por razones médicas
Cuando la finalidad del tratamiento sea la de medicina preventiva o laboral, evaluación de la
capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.
-
- Por razones de salud pública
Cuando el tratamiento sea el interés público, como la prevención o control de enfermedades
transmisibles y otras amenazas graves para la salud. Este tratamiento debe estar sujeto a medidas adecuadas y específicas destinadas a proteger los derechos de las personas físicas y no debe dar lugar a que terceros (como empresas, compañías de seguros, bancos…) traten los datos para otras finalidades.
-
- Por causas de investigación científica o estadística
Cuando se adopten medidas efectivas de anonimización de datos y se garantice el respeto del principio de minimización de los datos personales. Estas medidas pueden basarse en la seudonimización.
El RGPD establece que el tratamiento de las categorías especiales de datos personales como los sanitarios debe ser realizado por un profesional sujeto a la obligación de secreto profesional o bajo su responsabilidad.
Tratamiento de categorías de datos personales.
El artículo 10 del nuevo RGPD establece que el tratamiento de datos personales relativos a condenas e infracciones penales, sólo podrá realizarse bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que
establezcan garantías adecuadas para los derechos y libertades de los interesados.
Importante: Sólo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas.
Por su parte, en el artículo 11, determina que si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado. Cuando el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible.
Importante: En este caso no serán de aplicación los derechos de acceso, rectificación, supresión, limitación al tratamiento y portabilidad de datos, salvo que el interesado, a efectos del ejercicio de sus derechos facilite información adicional que permita su identificación.
Terminando
Como siempre, esperamos que os haya sido útil esta información y estaremos encantados en resolver vuestras dudas. Si necesitais que nuestro departamento legal os asesore con la RGPD no dudes en contactar con nosotros, y cualquier otra cosilla, respondemos a los comentarios, al email, al WhatsApp o al teléfono.
¡Gracias por leernos!
Te puede interesar…