¿Qué son los datos especialmente protegidos? ¿Qué categorías o qué datos específicamente se engloban dentro de esta denominación?. Desde Grupo Adaptalia te indicamos a continuación qué son, cómo y dónde se regulan, y qué incidencia tienen en la normativa en materia de Protección de Datos.
1. Qué se entiende por datos especialmente protegidos
El Reglamento General de Protección de Datos (RGPD), establece en su artículo 9 aquellas categorías especiales de datos que, bien por su naturaleza bien por la relación que puedan tener con los derechos fundamentales de las personas, precisan de una especial protección, aplicándosele unas disposiciones específicas para evitar riesgos en el tratamiento de los mismos.
Este precepto establece por defecto la prohibición del tratamiento de estas categorías especiales de datos, indicando asimismo cuáles serán específicamente:
• Datos personales que revelen el origen étnico o racial
• Opiniones políticas
• Convicciones religiosas o filosóficas
• Afiliación sindical
• Tratamiento de datos genéticos
• Datos biométricos dirigidos a identificar de manera unívoca a una persona física.
• Datos relativos a la salud o vida sexual
• Orientación sexual
2. Excepciones a la prohibición del tratamiento de datos especialmente protegidos
Esta prohibición de tratamiento quedará exceptuada cuando concurran las siguientes circunstancias:
• El interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto si está prohibido por la legislación vigente.
• El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice la normativa vigente o un convenio colectivo.
• El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.
• El tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados.
• Cuando los datos personales se han hecho manifiestamente públicos por el interesado.
• Cuando es necesario realizar el tratamiento para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial.
• Por razones de interés público esencial, siempre que sea proporcional al objetivo perseguido.
• Es necesario realizar el tratamiento para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.
• Es necesario el tratamiento de esos datos por razones de interés público en el ámbito de la salud pública, como podría ser una amenaza transfronteriza grave para la salud.
• El tratamiento debe realizarse debido a fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
• Cuando el tratamiento sea realizado bajo la responsabilidad de un profesional sujeto a la obligación de secreto profesional con fines de diagnóstico médico o asistencia o tratamiento sanitario.
3. Los datos especialmente protegidos en la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
No solo el RGPD se pronuncia respecto del tratamiento de este tipo de datos, también el artículo 9 de la vigente LOPDGDD apunta a una protección máxima y a una cautela extrema en el tratamiento de estos datos especialmente protegidos, superando incluso lo dispuesto en el RGPD.
En este sentido se establece en el precepto mencionado literalmente lo siguiente “a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico”. Por tanto, podrá efectuarse el tratamiento de estas categorías especiales de datos cuando opere cualquiera de las excepciones dadas por el RGPD y anteriormente mencionadas, pero no cuando el tratamiento se base meramente en el consentimiento del interesado.
4. Obligaciones cuando se tratan datos especialmente protegidos.
El tratamiento de estas categorías especiales de datos incide en muchos aspectos del tratamiento, conllevando esa especial protección que mencionábamos anteriormente una serie de obligaciones adicionales:
• Registro de Actividades de Tratamiento: según el artículo 30.5 del RGPD, los Responsables o Encargados del Tratamiento que realicen tratamientos de categorías especiales de datos tendrán la obligación de llevar un Registro de las Actividades del Tratamiento, incluso aunque la empresa u organización emplee a menos 250 personas.
• Designación del Delegado de Protección de Datos: el artículo 37.1.c) dispone que los Responsables o Encargados que realicen tratamientos a gran escala de datos especialmente protegidos tendrán la obligación de designar un DPO.
• Evaluación de impacto: el artículo 35 apartado 3.b del RGPD estipula que será necesario realizar una evaluación de impacto en el momento en que se traten a gran escala categorías especiales de datos. Además según se indica en la Lista de Tipos de Tratamientos de Datos que requieren Evaluación de Impacto que ha sacado recientemente la AEPD, se indica que los tratamientos en que se vea implicado el mero uso de datos especialmente protegidos combinado con uno o más de los restantes criterios dados en el listado, dará lugar a la realización de una Evaluación de Impacto.