Categorías especiales de datos personales para proteger la información más sensible

Determinados datos personales por su naturaleza merecen una protección especial dado que son especialmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. Estos datos se denominan en el RGPD y la LOPD: categorías especiales de datos personales.

¿Cuáles son las categorías especiales de datos personales en el RGPD?

El artículo 9 del Reglamento General de Protección de Datos regula el tratamiento de categorías especiales de datos personales, el mismo establece que quedan prohibidos el tratamiento de datos personales que revelen:

1. El origen étnico o racial.
2. Las opiniones políticas.
3. Las convicciones religiosas o filosóficas.
4. La afiliación sindical.
5. El tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física,
6. Los datos relativos a la salud.
7. Los datos relativos a la vida o las orientaciones sexuales de una persona física.

¿Cuáles son las bases de legitimación para el tratamiento de las categorías especiales de datos personales?

La regla general contemplada en el Reglamento es la prohibición del tratamiento de categorías especiales de datos personales. No obstante, se recoge un amplio abanico de excepciones a esta regla general como son las siguientes (art. 9.2 RGPD):

1. El interesado de su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición no puede ser levantada por el interesado;
2. El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;
3. El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
4. El tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;
5. El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;
6. El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
7. El tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;
8. El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario. Cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional;
9. El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,
10. El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

¿Cuándo el consentimiento explicito no es suficiente para el tratamiento de categorías especiales de datos?

El artículo 9 de la Ley Orgánica de Protección de Datos Personales establece que, a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

Esto no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artículo 9.2 del RGPD.

Quizás también le pueda interesar: Obtener la certificación como DPD. Delegado de protección de datos