¿Cuál es la definición de datos sensibles? ¿Cuáles son algunos ejemplos? ¿Se puede procesar información sensible según las leyes de privacidad, como el RGPD y la CCPA?
En este post, responderemos a todas estas preguntas y le mostraremos lo que puede necesitar para recoger y procesar información personal sensible.
Cuando hablamos de datos sensibles, nos referimos a categorías especiales de información personal, que debe ser manejado con más cuidado por el procesador de datos.
La principal diferencia entre los datos personales normales y los datos sensibles es que los datos sensibles podrían dar lugar a la discriminación del usuario, si se comparten.
Esto se debe a que incluyen información como la raza o el origen étnico, la orientación sexual, las creencias religiosas, pero también información sobre la salud del usuario, por ejemplo.
Las leyes internacionales sobre privacidad de datos pueden tener diferentes puntos de vista sobre los datos sensibles. De todos modos, hay un punto en común: todas las leyes coinciden en que hay que recoger y tratar los datos sensibles sólo si son realmente necesarios para su actividad. Si necesitas recoger información sensible, entonces debes almacenarla de forma segura y con el máximo cuidado.
Este artículo forma parte de nuestra serie sobre protección de datos. Lea también:
Las diferentes leyes de privacidad pueden tener diferentes definiciones de datos sensibles. De todos modos, podemos encontrar algunos ejemplos en el Artículo 9 del RGPD, que pueden aplicarse de forma más amplia.
En sus categorías especiales de datos personales, el RGPD incluye:
En general, la recogida y el tratamiento de datos sensibles están permitidos. Sin embargo, es posible que tenga que aplicar capas adicionales de seguridad cuando se trate de ello.
Veamos con más detalle las principales legislaciones y sus requisitos específicos:
Según el RGPD, solo puedes tratar datos sensibles si el usuario ha dado consentimiento explícito e informado, lo que significa que tiene que entender claramente a qué está dando su consentimiento.
También se permite el tratamiento si los datos son de vital importancia en asuntos de interés público, seguridad social, salud, etc. Si recoge y trata datos personales, y en particular si se trata de un tratamiento a gran escala, debe nombrar a un Data Protection Officer (DPO) y realizar una Evaluación de Impacto sobre la Protección de Datos (DPIA).
Puede obtener más información sobre los requisitos del RGPD aquí.Aunque para la CCPA la categoría de datos sensibles está incluida en la categoría de datos personales normales, es posible que tenga que pedir al usuario que opte por ello cuando se trate de información sensible. Esto es especialmente cierto cuando hay menores involucrados.
Como la CCPA no incluía una definición de información sensible, se ha modificado. La nueva Ley de Derechos de Privacidad de California (CPRA) introducirá la información personal sensible (SPI), que pide un mayor nivel de protección de datos.
Al igual que el RGPD, la LGPD brasileña permite el tratamiento de datos personales sólo si los usuarios han dado su consentimiento o si se aplican excepciones de consentimiento.
Si su empresa recopila y procesa datos sensibles, es posible que tenga que tomar medidas adicionales para asegurarse de que los almacena de forma segura.
Esto es lo que puedes hacer:
Consulte qué leyes le corresponden y asegúrese de que cumple las normas.
He aquí cómo las soluciones de iubenda pueden ser de gran ayuda cuando se procesan datos sensibles:
The solution to generate your Privacy Policy. Customizable from 1700+ clauses, available in 9 languages and self-updating