Iubenda logo
Genera tus documentos

Documentación

Tabla de contenidos

Una mirada más atenta a las categorías especiales de datos personales

Las leyes de protección de datos de todo el mundo, como la GPDR en Europa, han establecido un marco muy necesario para la recogida, uso y almacenamiento de datos personales. Como empresa, no puedes manejar los datos como te dé la gana. Esto es aún más cierto en el caso de las categorías especiales de datos personales que, por su naturaleza, son objeto de especial atención.

👀 En este artículo, echamos un vistazo a la definición del GDPR de categorías especiales y cómo debe manejar este tipo de datos.

categorías especiales de datos personales

Categorías especiales de datos personales: Artículo 9

¿Qué son las categorías especiales del GDPR?

La expresión “categorías especiales de datos personales” es la forma que tiene el RGPD de referirse a los datos sensibles. Se definen en el artículo 9 del GDPR como datos que son de:

  • origen racial o étnico;
  • opiniones políticas;
  • creencias religiosas o filosóficas;
  • afiliación sindical;
  • datos genéticos;
  • datos biométricos (huellas dactilares, reconocimiento facial, ADN, etc.);
  • datos relativos a la salud;
  • datos relativos a la vida sexual o a la orientación sexual de una persona física.

🔍 Lea nuestro artículo para obtener una visión general de lo que se considera información personal sensible en todo el mundo.

  • Un profesional sanitario que recopila y almacena el historial médico y los datos sanitarios de un paciente (por ejemplo, enfermedades y discapacidades);
  • Un empresario que recopila información sobre la afiliación sindical y las opiniones políticas de un empleado;
  • Una plataforma de redes sociales que recopila información sobre las creencias religiosas y la orientación sexual de los usuarios para mostrar anuncios específicos;
  • Una entidad financiera que recopila y almacena información sobre las condenas penales de un cliente.

Datos personales vs. Datos personales sensibles

Como se desprende de la descripción anterior, los datos personales sensibles pueden considerarse más “invasivos” o “arriesgados” que los datos personales normales.

La información sensible, en particular, podría dar lugar a situaciones como la discriminación de las personas. Por eso debe tener aún más cuidado para evitar la exposición de datos sensibles.

💡 ¿No está seguro de si se le aplica el GDPR?

🚀 ¡Haz este test gratuito de 1 minuto para averiguarlo!

Qué debe hacer al tratar categorías especiales de datos personales

Según el GDPR, para recopilar o procesar cualquier tipo de datos personales, es necesario contar con consentimiento explícito e informado de las personas, así como proporcionar la información necesaria a través de una política de privacidad.

Aunque estos requisitos se aplican a los datos personales en general, hay algunos requisitos del RGPD que se aplican específicamente a categorías especiales de datos personales. A continuación se exponen 3 casos.

💡 ¿Sabías que la información personal sensible recibe una atención especial en las leyes de privacidad de Estados Unidos?

🇺🇸 Huelga decir que el tratamiento de datos sensibles exige normas más estrictas también fuera de Europa.

👉 Consulta nuestro resumen de las leyes de privacidad de los estados de EE. UU.

Nombrar a un responsable de la protección de datos (RPD)

Las empresas suelen nombrar a un responsable de la protección de datos (RPD ) para garantizar que el tratamiento de los datos personales se ajuste a las normas de protección de datos aplicables.

En virtud del artículo 37 del RGPD, está obligado legalmente a designar a un RPD si lleva a cabo determinados tipos de actividades de tratamiento, incluso cuando sus actividades principales consistan en el tratamiento a gran escala de datos sensibles.

💡 Esto significa que si el GDPR se aplica a usted y si procesa categorías especiales de datos personales a gran escala, debe designar un DPO.

Realizar una evaluación de impacto sobre la protección de datos (EIPD)

Al igual que el anterior requisito del RPD, el RGPD le exige especialmente que lleve a cabo una EIPD cuando procese categorías especiales de datos personales a gran escala.

Una evaluación de impacto de la protección de datos le permite analizar y minimizar los riesgos asociados al tratamiento de datos personales.

🔍 Aquí tienes una plantilla gratuita que tenemos en DPIA. Haga clic aquí para comprobarlo.

Mantener registros de las actividades de tratamiento

También en virtud del RGPD, se exige expresamente a los responsables y encargados del tratamiento que mantengan registros actualizados “completos y exhaustivos” de las actividades de tratamiento de datos de la empresa cuando impliquen el tratamiento de categorías especiales de datos.

Esto puede ser todo un reto.

🚀 Por eso recomendamos utilizar una herramienta dedicada como nuestra herramienta de Gestión de la privacidad interna. Permite añadir actividades de tratamiento a partir de más de 1700 opciones preestablecidas, dividirlas por áreas, asignar responsables del tratamiento y otras funciones de los miembros, y documentar las bases jurídicas y otros registros requeridos por el GDPR.