Las leyes de protección de datos de todo el mundo, como la GPDR en Europa, han establecido un marco muy necesario para la recogida, uso y almacenamiento de datos personales. Como empresa, no puedes manejar los datos como te dé la gana. Esto es aún más cierto en el caso de las categorías especiales de datos personales que, por su naturaleza, son objeto de especial atención.
👀 En este artículo, echamos un vistazo a la definición del GDPR de categorías especiales y cómo debe manejar este tipo de datos.
La expresión “categorías especiales de datos personales” es la forma que tiene el RGPD de referirse a los datos sensibles. Se definen en el artículo 9 del GDPR como datos que son de:
🔍 Lea nuestro artículo para obtener una visión general de lo que se considera información personal sensible en todo el mundo.
Como se desprende de la descripción anterior, los datos personales sensibles pueden considerarse más “invasivos” o “arriesgados” que los datos personales normales.
La información sensible, en particular, podría dar lugar a situaciones como la discriminación de las personas. Por eso debe tener aún más cuidado para evitar la exposición de datos sensibles.
Según el GDPR, para recopilar o procesar cualquier tipo de datos personales, es necesario contar con consentimiento explícito e informado de las personas, así como proporcionar la información necesaria a través de una política de privacidad.
Aunque estos requisitos se aplican a los datos personales en general, hay algunos requisitos del RGPD que se aplican específicamente a categorías especiales de datos personales. A continuación se exponen 3 casos.
🇺🇸 Huelga decir que el tratamiento de datos sensibles exige normas más estrictas también fuera de Europa.
👉 Consulta nuestro resumen de las leyes de privacidad de los estados de EE. UU.
Las empresas suelen nombrar a un responsable de la protección de datos (RPD ) para garantizar que el tratamiento de los datos personales se ajuste a las normas de protección de datos aplicables.
En virtud del artículo 37 del RGPD, está obligado legalmente a designar a un RPD si lleva a cabo determinados tipos de actividades de tratamiento, incluso cuando sus actividades principales consistan en el tratamiento a gran escala de datos sensibles.
💡 Esto significa que si el GDPR se aplica a usted y si procesa categorías especiales de datos personales a gran escala, debe designar un DPO.
Al igual que el anterior requisito del RPD, el RGPD le exige especialmente que lleve a cabo una EIPD cuando procese categorías especiales de datos personales a gran escala.
Una evaluación de impacto de la protección de datos le permite analizar y minimizar los riesgos asociados al tratamiento de datos personales.
🔍 Aquí tienes una plantilla gratuita que tenemos en DPIA. Haga clic aquí para comprobarlo.
También en virtud del RGPD, se exige expresamente a los responsables y encargados del tratamiento que mantengan registros actualizados “completos y exhaustivos” de las actividades de tratamiento de datos de la empresa cuando impliquen el tratamiento de categorías especiales de datos.
Esto puede ser todo un reto.
🚀 Por eso recomendamos utilizar una herramienta dedicada como nuestra herramienta de Gestión de la privacidad interna. Permite añadir actividades de tratamiento a partir de más de 1700 opciones preestablecidas, dividirlas por áreas, asignar responsables del tratamiento y otras funciones de los miembros, y documentar las bases jurídicas y otros registros requeridos por el GDPR.