Por información personal se entiende toda información que pueda utilizarse para identificar a una persona física. En la mayoría de las leyes sobre privacidad, la información personal sensible se considera un tipo especial de datos personales. Este tipo de datos es particularmente delicado porque aumenta la probabilidad de que la persona a la que dichos datos se refieren sufra actos de discriminación.
👀 Hemos analizado en detalle cómo debes tratar los datos sensibles de conformidad con las leyes CPRA y VCDPA.
Haz clic en este enlace para saber cómogestionar la información personal sensible →
🔎 En la siguiente tabla se especificanlas diferentes definiciones que dan los estados de Estados Unidos al término “información personal sensible” 👇
| Información personal que se muestra: Datos relativos a la ciudadanía |
Número de la seguridad social, del carné de conducir, de la tarjeta de identificación estatal o del pasaporte |
Ciudadanía o estado migratorio |
Ciudadanía o estado de ciudadanía |
Ciudadanía o estado migratorio |
Ciudadanía o estado migratorio |
| Información personal que se muestra: Datos relativos a cuentas |
Datos de acceso a una cuenta, número de la cuenta financiera, la tarjeta de débito o la tarjeta de crédito junto con cualquier otro código de seguridad o de acceso que se necesite, o contraseña o credenciales para acceder a una cuenta.* |
❌ |
❌ |
❌ |
❌ |
| Información personal que se muestra: Ubicación |
Geolocalización precisa |
Datos de geolocalización precisos |
❌ |
Datos de geolocalización precisos |
Datos de geolocalización específicos |
| Información personal que se muestra: Origen |
Origen racial o étnico |
Origen racial o étnico |
Origen racial o étnico |
Origen racial o étnico |
Origen racial o étnico |
| Información personal que se muestra: Creencias |
Creencias religiosas o filosóficas |
Creencias religiosas |
Creencias religiosas |
Creencias religiosas |
Creencias religiosas |
| Información personal que se muestra: Afiliación sindical |
Afiliación sindical |
❌ |
❌ |
❌ |
❌ |
| Información personal que se muestra: Estado de salud |
Estado de salud |
Diagnóstico de enfermedad mental o física |
Diagnóstico de enfermedad mental o física |
Diagnóstico de enfermedad mental o física |
Historial médico, enfermedad mental o física de una persona física, o diagnóstico o tratamiento médico prescrito por un profesional sanitario |
| Información personal que se muestra: Vida sexual |
Vida sexual u orientación sexual |
Orientación sexual |
Vida sexual u orientación sexual |
Vida sexual u orientación sexual |
Orientación sexual |
| Información personal que se muestra: Contenido de los correos electrónicos o los SMS del consumidor |
El contenido de los correos electrónicos o los SMS del consumidor, salvo que la empresa sea la destinataria de la comunicación. |
❌ |
❌ |
❌ |
❌ |
| Información personal que se muestra: Datos genéticos/biométricos |
Datos genéticos y biométricos con la exclusiva finalidad de identificar a un consumidor. |
Datos genéticos o biométricos con la exclusiva finalidad de identificar a una persona física |
Datos genéticos o biométricos que pueden tratarse con la exclusiva finalidad de identificar a una persona física |
Datos genéticos o biométricos con la exclusiva finalidad de identificar a una persona física |
Datos personales genéticos o datos biométricos, en caso de que el tratamiento tenga la finalidad de identificar a una persona física en particular |
| Información personal que se muestra: Información sobre menores |
❌ |
Datos personales recogidos de un menor a sabiendas de que lo es |
Datos personales de un menor a sabiendas de que lo es |
Datos personales recogidos de un menor a sabiendas de que lo es |
❌ |
🎯 Recursos/textos oficiales
- Ley de Derechos de Privacidad de California (California Privacy Rights Act – CPRA) → 1798.140
- Ley de Protección de Datos de los Consumidores de Virginia (Virginia Consumer Data Protection Act – VCDPA) → § 59.1-575.
- Ley de Privacidad de Colorado (Colorado Privacy Act – CPA) → 6-1-1303. (24)
- Ley de Privacidad de los Datos de Connecticut (Connecticut Data Privacy Act – CTDPA) → Artículo 1. (NOVEDAD) (entra en vigor el 1 de julio de 2023) (27)
- Ley de Privacidad de los Consumidores de Utah (Utah Consumer Privacy Act – UCPA) → 13-61-101 (32)
* Ten en cuenta que, según la CPRA, el inicio de sesión, la contraseña o las credenciales de la cuenta de los consumidores se consideran información personal sensible. Cuando trates este tipo de información para finalidades distintas de las mencionadas en el apartado (a) del artículo 1798.121. del Código Civil, tienes la obligación de informar a los consumidores y permitirles ejercer el derecho a limitar el uso o la divulgación de información personal sensible sobre ellos con dichas finalidades. Las excepciones incluyen, entre otras, el tratamiento con la finalidad de prestar servicios o suministrar los bienes que haya solicitado un consumidor o con finalidades de las que no puedan deducirse características sobre el consumidor. Comprueba si las actividades de tratamiento de datos personales sensibles que realizas entran en el ámbito de dichas excepciones.
Ten en cuenta que en las demás leyes, como la VCDPA, la CPA, la CTDPA y la UCPA, también hay excepciones similares. Pero en este caso hay una ligera diferencia:
- para la CPRA, las excepciones se refieren exclusivamente al tratamiento de la información personal sensible.
- En virtud de las leyes de otros estados de Estados Unidos, se aplican excepciones al tratamiento de cualquier tipo de información personal.
En otras palabras, esto significa que cuando los responsables del tratamiento traten datos personales para realizar una de las actividades que constituyen una excepción según la lista, no tienen que seguir los requisitos legales aplicables.
La mayoría de las excepciones son comunes a todas las legislaciones y entre ellas se encuentran las siguientes (entre otras):
- cumplir las leyes, normas o reglamentos federales, estatales o locales;
- atender una consulta, investigación, citación o requerimiento de índole civil, penal o administrativa que hayan iniciado las autoridades federales, estatales, locales u otras autoridades gubernamentales;
- realizar investigaciones internas para mejorar, reparar o desarrollar productos, servicios o tecnología;
- realizar operaciones internas que el consumidor pueda esperar en función de su relación existente con el responsable del tratamiento;
- proporcionar un producto o servicio que el consumidor haya solicitado explícitamente, celebrar un contrato con un consumidor o antes de celebrar un contrato;
- proteger los intereses vitales del consumidor o de otra persona;
- prevenir, detectar, proteger o responder a incidentes de seguridad, robo de identidad, fraude, acoso o actividad maliciosa, engañosa o ilegal;
- preservar la integridad o seguridad de los sistemas; o investigar, denunciar o enjuiciar a los responsables de cualquier acción de este tipo.
¿Cómo puede iubenda ayudarte a gestionar la información personal sensible?
Sobra decir que la información personal sensible debe tratarse de forma competente y suele precisar de unos requisitos de tratamiento adicionales.
👋 ¿Sabías que al generar una Política de Privacidad con iubenda se crea una conexión automática con Privacy Controls and Cookie Solution?
¿Esto qué implica?
Cuando configuras tu Política de Privacidad, nuestra solución “detectará” si se ha declarado la existencia deinformación personal sensible y configuraremos Privacy Controls and Cookie Solution en consecuencia.
Dentro del Generador de Políticas de Privacidad y Cookies, selecciona “Habilitar las cláusulas para los usuarios residentes en Estados Unidos” para activar las nuevas cláusulas específicas para Estados Unidos.
🚀 ¡Y aún hay más! Nuestro Generador de Políticas de Privacidad ofrece opciones personalizadas para Estados Unidos.
En caso de que algún tipo de información personal en particular tenga también la consideración de información personal sensible en alguna de las leyes de Estados Unidos, se mostrará automáticamente en la sección pertinente de tu Política de Privacidad.
Activa la opción “Leyes estatales de EE. UU.” en Privacy Controls and Cookie Solution: la solución se configurará automáticamente para que cumplas los nuevos requisitos de este país.
⚠️ Aviso: en la actualidad nuestra solución solo admite tres categorías de información personal sensible (pronto habrá más). Si has declarado en tu Política de Privacidad unas categorías distintas a estas tres actualmente disponibles, de momento no puedes gestionarlas a través de Privacy Controls and Cookie Solution.
Ya sabes que iubenda siempre te mantiene al tanto de las últimas novedades, así que te informaremos en cuanto haya más categorías disponibles para que puedas ajustar tu configuración como proceda.
¿No has generado una Política de Privacidad con nosotros o quieres encargarte personalmente de personalizar tus textos?
Accede al generador de Privacy Controls and Cookie Solution y activa la opción“Leyes estatales de EE. UU.” para poder gestionar el consentimiento relativo a la información personal sensible (en su caso).
A continuación, marca la opción “Leyes estatales de EE. UU.” y haz clic en el botón “Modificar”.
Después, selecciona “Configuración manual” y marca la casilla “Solicitar el consentimiento de los usuarios para el tratamiento de sus datos personales sensibles”.
🚀 Aprovechamos para recordar que esta solución incluye señales de preferencia de autoexclusión (Global Privacy Control – GPC) y la plataforma IAB Global Privacy Platform (GPP).
Desde aquí puedes gestionar el consentimiento de la información personal sensible.
Cuando termines con la modificación, haz clic en “Volver” y guardaremos tus preferencias automáticamente. Ahora solo tienes que hacer clic en “Confirmar y continuar”.
Para finalizar, selecciona “Completar la configuración” y te redirigiremos a las instrucciones de integración.
🎉 ¡Buenas noticias! Ya tienes todo listo para cumplir los requisitos de Estados Unidos. ¿Y ahora qué?
Integrar nuestras soluciones es muy fácil. Echa un vistazo a nuestras guías, que te indican detenidamente cada paso.