El Reglamento General de Protección de Datos (RGPD) cada vez está más cerca de ser de plena aplicación. El próximo 25 de mayo, las empresas deberán haber puesto en marcha todas las medidas necesarias para cumplir con la nueva normativa. Entre ellas, todo lo referente al tratamiento de los datos sensibles.
No obstante, sigue habiendo dudas acerca de qué es este tipo de datos y cómo ha de tratarse. Por este motivo, en este artículo vamos a abordar este tema en profundidad para arrojar algo de luz sobre el asunto.
Datos sensibles en el RGPD
Lo primero que debes tener en cuenta es que todo lo que se considera como un dato sensible, según el nuevo Reglamento, se encuentra en su artículo 9. La peculiaridad derivada de este tipo de datos es que exigen una especial protección.
Pero ¿qué es lo que hace que estos datos tengan que tener un tratamiento especial?
Muy sencillo. Existen los datos personales generales, que ofrecen información no demasiado comprometida acerca de nosotros. Y, por otro lado, existen datos que revelan información comprometida y muy privada.
Este tipo de datos suele entrar en conflicto con el respeto a los derechos y libertades fundamentales de las personas. Por tanto, podríamos decir que esta clase de datos suele referirse a:
– Orígenes raciales o étnicos.
– Opiniones políticas.
– Creencias religiosas o filosóficas.
– Afiliación sindical.
– Datos genéticos o biométricos que se utilicen para identificar a un individuo.
– Datos que tienen que ver con la salud, vida sexual u orientación sexual.
¿Cuándo se pueden tratar estos datos?
El RGPD prohibe, en primera instancia, el tratamiento de este tipo de datos. No obstante, existen ciertas excepciones, ya que puede darse el caso en el que sea necesario conocer esta clase de información sobre algunas personas.
Así pues, si la persona ha dado su consentimiento, estos datos podrán ser tratados. También estará permitido cuando de este tratamiento dependa el ejercicio de las Libertades Fundamentales, siempre que se lleve a cabo por parte de una organización o fundación.
Y, por último, si existe un interés público que dependa de dicho tratamiento también estará permitido. No obstante, este «interés público» dependerá de la legislación individual de cada país de la Unión Europea.
Requisitos para su tratamiento
De igual forma, cuando esté permitido este tratamiento, siempre habrá que hacerlo siguiendo una serie de pautas estipuladas por el nuevo Reglamento. Seguir y cumplir todos los pasos son bases fundamentales para garantizar la protección de los datos. Y -cómo no- para cumplir con la ley y evitar sanciones.
El primer requisito es que el dueño de los datos dé su consentimiento explícito para la finalidad estipulada. O que este tratamiento se necesite para preservar la vida de su propietario, en caso de que fuera incapaz de dar su consentimiento.
Otro requisito es que la empresa que trate los datos no sea religiosa o sindical ni tenga ánimo de lucro o finalidad política o religiosa. También se podrán tratar cuando el manifestante haga públicos estos datos sensibles.
Y, por último, también estará permitido su tratamiento cuando se encuentre en el marco de lo legal y se den las siguientes circunstancias:
– Que las personas que accedan guarden secreto profesional.
– Que sea para fines sanitarios, sociales o de diagnóstico médico o para medir la capacidad laboral del individuo.
– Cuando se necesite en procedimientos judiciales.
– Cuando sea imprescindible para cumplir con leyes laborales, de seguridad o de protección social o con convenios colectivos.
– Si es necesario para preservar la salud pública o asistencia sanitaria.
– Si la finalidad es archivarlos para posteriores investigaciones científicas, históricas o estadísticas.
Pasos a seguir para el proceso de tratamiento
Debido al carácter especial que tiene este tipo de información, a la hora de proceder a su tratamiento habrá que cumplir con ciertas obligaciones especiales.
Por este motivo, el procedimiento es diferente y se basa, principalmente, en tres pasos: el registro de las actividades, la evaluación del impacto y el nombramiento de un Delegado de Protección de Datos.
Registro de las actividades de tratamiento
Siempre que se traten informaciones delicadas, se deberá dejar constancia legal de las actividades que se han llevado a cabo. Por tanto, ha de hacerse un informe detallado en el que todo esto quede registrado.
Dicho informe debe incluir:
– Identidad del responsable del fichero.
– Identificación del fichero.
– Finalidad y forma de ejecución del tratamiento.
– Propietarios de los datos.
– Origen de la información recogida.
– Categorización de la información.
– Servicio o forma de acceso a la información.
– Nivel de seguridad (básico, medio o alto).
– Identificación del encargado del tratamiento, que será su último responsable.
Evaluación del impacto
El mal tratamiento de esta información tan comprometida puede tener consecuencias nefastas para su propietario. Dada la sensibilidad de estos datos, es necesario que se lleve a cabo un informe en el que se evalúe el posible impacto que podría tener la filtración de esta información.
Este informe deberá contener:
1. Explicación exhaustiva de las actividades que se llevarán a cabo a lo largo del tratamiento.
2. Estimación de los riesgos que puede suponer para los derechos y libertades de la persona a la que pertenece la información. Normalmente, afectan a los derechos al honor, a la intimidad…
3. Medidas que se tomarán para evitar que no haya problemas con la información.
4. Especificación de las medidas de seguridad y mecanismos de control que garantizarán la protección de estos datos y el cumplimiento del Reglamento.
Nombramiento del Delegado de Protección de Datos
Los encargados de la organización que trate estos datos tendrán que designar a un Delegado de Protección de Datos.
Esta figura es esencial dentro del RGPD, debido a que tendrá conocimientos especializados de la normativa. Así pues, su formación en Derecho y, específicamente, en la materia de la protección de datos hará que se cumpla todo lo recogido en el Reglamento.
Hemos de destacar que, para evitar corruptelas, este delegado trabajará de forma independiente. Sus funciones principales serán las de informar y asesorar a las empresas y supervisar que se cumpla todo lo que se recoge en el Reglamento.
Cambios sustanciales con la LOPD
Como habrás podido observar, el nuevo Reglamento impone medidas que la LOPD no contemplaba.
Por tanto, cuanto antes adecues tu tratamiento de los datos sensibles a la nueva normativa, antes acabarás con el riesgo de incumplir la ley.