Ilier Navarro. El Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) detalla una lista de datos personales que se consideran especialmente sensibles porque tienen una relación directa con la intimidad de la persona, sus libertades públicas y sus derechos fundamentales. En estos casos, se debe cumplir una serie de requisitos para su almacenamiento y tratamiento, ya que están más protegidos. De hecho, tanto el Reglamento como la Ley Orgánica de Protección de Datos y Garantía de los Derechos digitales (LA LEY 19303/2018) (LOPDGDD ) prohíben su tratamiento, aunque también recogen una serie de excepciones.
El artículo 9 del RGPD (LA LEY 6637/2016) señala que está prohibido tratar datos sobre el origen étnico o racial de las personas. También los relacionados con sus opiniones políticas o sus convicciones religiosas o filosóficas. En esta categoría también entran los datos de afiliación sindical y la información genética o biométrica que se dirija a identificar a una persona física. Los datos sobre salud, sobre la vida o la orientación sexuales también se incluyen dentro de la categoría especial.
Cuando, de manera excepcional, sí se permite el tratamiento de estas categorías especiales de datos personales, se exige que se realice de manera adecuada y adaptada al objetivo que se persigue y, además, que se adopten medidas para garantizar la privacidad de las personas a las que se refiere dicha información.
La principal característica de los datos sensibles es que su publicidad puede tener efectos más lesivos en la intimidad de las personas a las que hacen referencia, ya que suelen ser datos vinculados a la vida privada y las preferencias ideológicas o creencias de los titulares. De este modo, si no se protegen, podrían producirse efectos indeseados, como que se las discrimine por sus preferencias políticas, por su vida sexual o su origen étnico, por ejemplo.
Casos en que está permitido tratarlos
Pero también hay algunas excepciones, es decir, casos en los que sí se pueden tratar estos datos especialmente sensibles. Es lo que ocurre, tal como señala el RGPD, si el titular dio su consentimiento explícito para ello con un fin específico. También si el tratamiento se necesita para que el responsable del tratamiento o el interesado cumplan con obligaciones laborales o de la protección social.
Esta permitido asimismo si se requiere para proteger los intereses vitales del titular de los datos, en el caso de que no esté capacitado para dar su consentimiento; o bien si el tratamiento se realiza por una fundación o asociación política, filosófica, religiosa o sindical sin ánimo de lucro sobre los datos de sus miembros actuales o antiguos, eso sí, con las debidas garantías de privacidad. Se permite también si el titular ha hecho públicos esos datos previamente o bien cuando sean necesarios para que los tribunales desarrollen su función judicial en reclamaciones.
Otra excepción que autoriza el tratamiento de estos datos de categoría especial es la relacionada con el interés público esencial, aunque el tratamiento debe ser proporcional y establecer medidas de protección del interesado. Otro caso en el que se permite el tratamiento es en el marco de la medicina preventiva o laboral, la evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social y también cuando existen razones de interés público en el ámbito de la salud pública.
Por último, también se permite tratarlos de manera excepcional cuando se necesitan para fines de archivo en interés público, investigación o estadísticas. En este caso, también se debe realizar de manera proporcional al fin que se persigue y con medidas adecuadas para proteger los intereses y derechos de los titulares de la información.
En España, la LOPDGDD (LA LEY 19303/2018) exige que, junto con el consentimiento del interesado, se produzca alguna de las otras circunstancias excepcionales que fija el RGPD y que dan una legitimación jurídica para hacerlo.
Protección de los datos sensibles
La regulación vigente establece una serie de medidas que se deben aplicar para proteger de manera adecuada los datos especialmente sensibles. Se deben adoptar medidas técnicas y organizativas adecuadas que ofrezcan garantías y elevados estándares de protección de este tipo de datos. Es decir, deben contar con medidas de protección reforzada de manera que se eviten posibles incidentes de seguridad, filtraciones o accesos no permitidos.
El responsable o el encargado del tratamiento de estos datos sensibles debe crear un registro de actividades de tratamiento. En él se deben documentar todos los tratamientos de esta información. Adicionalmente, estarán obligados a designar a un delegado de protección de datos (DPD) y realizar una evaluación de impacto cuando se vaya a realizar un tratamiento de datos especialmente sensibles a gran escala.
Esta evaluación se debe desarrollar previamente al tratamiento e implica un estudio pormenorizado de los riesgos y amenazas que pueden suponer estas actuaciones para los derechos y libertades de los titulares de dicha información, además de describir el potencial impacto negativo sobre las personas a las que hacen referencia los datos en cuestión. Este documento debe quedar registrado y a buen recaudo porque la Agencia Española de Protección de Datos (AEPD) puede requerirlo a efectos de comprobar que se ha cumplido con todas las obligaciones que establece la normativa vigente.
Entre las medidas adicionales de protección que se pueden aplicar a los datos especialmente sensibles están el cifrado; el registro de acceso a los mismos, especificando la fecha y el personal involucrado; la lista de personas autorizadas para acceder a esta información y otros procedimientos de seguridad adicionales que se consideren adecuados para cumplir con los requisitos que exige la ley. El incumplimiento de algunos de estas exigencias y de las medidas de seguridad puede derivar en sanciones por parte de la AEPD.