Las leyes de protecciĂłn de datos de todo el mundo, como la GPDR en Europa, han establecido un marco muy necesario para la recogida, uso y almacenamiento de datos personales. Como empresa, no puedes manejar los datos como te dĂ© la gana. Esto es aĂşn más cierto en el caso de las categorĂas especiales de datos personales que, por su naturaleza, son objeto de especial atenciĂłn.
đź‘€ En este artĂculo, echamos un vistazo a la definiciĂłn del GDPR de categorĂas especiales y cĂłmo debe manejar este tipo de datos.
CategorĂas especiales de datos personales: ArtĂculo 9
ÂżQuĂ© son las categorĂas especiales del GDPR?
La expresiĂłn «categorĂas especiales de datos personales» es la forma que tiene el RGPD de referirse a los datos sensibles. Se definen en el artĂculo 9 del GDPR como datos que son de:
- origen racial o Ă©tnico;
- opiniones polĂticas;
- creencias religiosas o filosĂłficas;
- afiliaciĂłn sindical;
- datos genéticos;
- datos biométricos (huellas dactilares, reconocimiento facial, ADN, etc.);
- datos relativos a la salud;
- datos relativos a la vida sexual o a la orientaciĂłn sexual de una persona fĂsica.
🔍 Lea nuestro artĂculo para obtener una visiĂłn general de lo que se considera informaciĂłn personal sensible en todo el mundo.
Algunos ejemplos prácticos pueden ser:
- Un profesional sanitario que recopila y almacena el historial médico y los datos sanitarios de un paciente (por ejemplo, enfermedades y discapacidades);
- Un empresario que recopila informaciĂłn sobre la afiliaciĂłn sindical y las opiniones polĂticas de un empleado;
- Una plataforma de redes sociales que recopila informaciĂłn sobre las creencias religiosas y la orientaciĂłn sexual de los usuarios para mostrar anuncios especĂficos;
- Una entidad financiera que recopila y almacena informaciĂłn sobre las condenas penales de un cliente.
Datos personales vs. Datos personales sensibles
Como se desprende de la descripción anterior, los datos personales sensibles pueden considerarse más «invasivos» o «arriesgados» que los datos personales normales.
La informaciĂłn sensible, en particular, podrĂa dar lugar a situaciones como la discriminaciĂłn de las personas. Por eso debe tener aĂşn más cuidado para evitar la exposiciĂłn de datos sensibles.
💡 ¿No está seguro de si se le aplica el GDPR?
QuĂ© debe hacer al tratar categorĂas especiales de datos personales
SegĂşn el GDPR, para recopilar o procesar cualquier tipo de datos personales, es necesario contar con consentimiento explĂcito e informado de las personas, asĂ como proporcionar la informaciĂłn necesaria a travĂ©s de una polĂtica de privacidad.
Aunque estos requisitos se aplican a los datos personales en general, hay algunos requisitos del RGPD que se aplican especĂficamente a categorĂas especiales de datos personales. A continuaciĂłn se exponen 3 casos.
đź’ˇ ÂżSabĂas que la informaciĂłn personal sensible recibe una atenciĂłn especial en las leyes de privacidad de Estados Unidos?
🇺🇸 Huelga decir que el tratamiento de datos sensibles exige normas más estrictas también fuera de Europa.
👉 Consulta nuestro resumen de las leyes de privacidad de los estados de EE. UU.
Nombrar a un responsable de la protecciĂłn de datos (RPD)
Las empresas suelen nombrar a un responsable de la protecciĂłn de datos (RPD ) para garantizar que el tratamiento de los datos personales se ajuste a las normas de protecciĂłn de datos aplicables.
En virtud del artĂculo 37 del RGPD, está obligado legalmente a designar a un RPD si lleva a cabo determinados tipos de actividades de tratamiento, incluso cuando sus actividades principales consistan en el tratamiento a gran escala de datos sensibles.
đź’ˇ Esto significa que si el GDPR se aplica a usted y si procesa categorĂas especiales de datos personales a gran escala, debe designar un DPO.
Realizar una evaluaciĂłn de impacto sobre la protecciĂłn de datos (EIPD)
Al igual que el anterior requisito del RPD, el RGPD le exige especialmente que lleve a cabo una EIPD cuando procese categorĂas especiales de datos personales a gran escala.
Una evaluaciĂłn de impacto de la protecciĂłn de datos le permite analizar y minimizar los riesgos asociados al tratamiento de datos personales.
🔍 Aquà tienes una plantilla gratuita que tenemos en DPIA. Haga clic aquà para comprobarlo.
Mantener registros de las actividades de tratamiento
TambiĂ©n en virtud del RGPD, se exige expresamente a los responsables y encargados del tratamiento que mantengan registros actualizados «completos y exhaustivos» de las actividades de tratamiento de datos de la empresa cuando impliquen el tratamiento de categorĂas especiales de datos.
Esto puede ser todo un reto.
🚀 Por eso recomendamos utilizar una herramienta dedicada como nuestra herramienta de GestiĂłn de la privacidad interna. Permite añadir actividades de tratamiento a partir de más de 1700 opciones preestablecidas, dividirlas por áreas, asignar responsables del tratamiento y otras funciones de los miembros, y documentar las bases jurĂdicas y otros registros requeridos por el GDPR.