Datos personales especialmente protegidos o con protección reforzada

• Qué son, cómo y cuándo se pueden tratar y por qué suponen un desafío presente y futuro

Recientemente, el Tribunal Supremo dictaminó que los datos relativos al dopaje de los deportistas se deben considerar como datos especialmente protegidos al considerarse como datos relativos a la salud, una sentencia que ha sentado un precedente y supone un cambio notorio en la jurisdicción.

También, el Comité Europeo de Protección de Datos (CEPD) estableció hace poco la prohibición de usar los datos biométricos como método para identificación o autenticación de usuarios por considerarlos datos sensibles, lo cual les otorga una protección especial impidiendo, por ejemplo, su uso para el registro de la jornada laboral o el control de acceso de empleados.

No son más que dos ejemplos claros de que el mismo devenir de los tiempos está provocando continuos cambios en la regulación del tratamiento de la información personal, añadiendo una protección especial a datos personales que antes no gozaban de ella.

Por esta razón nos hemos puesto en contacto con una de las empresas de protección de datos más prestigiosas del país, Grupo Atico34, para que nos expliquen a fondo qué se consideran exactamente datos especialmente protegidos, cuándo está permitido su tratamiento y bajo qué condiciones.

¿Qué son los datos sensibles, datos especialmente protegidos o categorías especiales de datos?

Los datos personales especialmente protegidos son aquellos datos personales que, debido a su naturaleza, requieren un tratamiento reforzado y mayores medidas de seguridad para evitar riesgos que puedan afectar a los derechos y libertades de los individuos. El tratamiento de estos datos está prohibido, salvo en situaciones excepcionales. Pero, ¿cuáles son estos datos?

• Datos relativos al origen étnico o racial: Información que puede revelar la raza o el origen étnico de una persona.
• Datos sobre opiniones políticas: Información que exponga las creencias o afiliaciones políticas de un individuo.
• Convicciones religiosas o filosóficas: Datos relacionados con las creencias religiosas o filosóficas de una persona.
• Pertenencia a sindicatos: Información sobre la afiliación de una persona a sindicatos u organizaciones similares.
• Datos genéticos: Información que revela las características genéticas de una persona, como pruebas de ADN.
• Datos biométricos: Datos que permiten la identificación única de una persona a través de características físicas, como huellas dactilares, reconocimiento facial o del iris.
• Datos relativos a la salud: Cualquier información sobre la salud física o mental de una persona, que pueda incluir historiales médicos, enfermedades, tratamientos, discapacidades, etc.
• Datos sobre la vida sexual o la orientación sexual: Información que revele la vida íntima o la orientación sexual de una persona.

Todos estos datos están sometidos a una protección especial y para poder tratarlos es necesario que concurran una serie de circunstancias muy concretas.

¿Cuándo se pueden tratar estas categorías especiales de datos?

Para poder realizar un tratamiento relativo a datos sensibles es necesario que exista una base legitimadora para dicho tratamiento. Esto se puede dar en situaciones como las siguientes:

• Interés público esencial: El tratamiento puede estar justificado cuando sea necesario para garantizar el bienestar colectivo, por ejemplo en áreas como la salud o la seguridad..
• Fines médicos y de salud pública: El tratamiento de datos sensibles se permite para prestar servicios de atención sanitaria o para la protección frente a amenazas graves para la salud.
• Fundaciones y asociaciones sin ánimo de lucro: Estas entidades pueden tratar datos sensibles dentro de sus actividades legítimas, siempre y cuando se refieran a miembros o personas que estén en contacto regular con ellas.
• Reclamaciones legales: Se permite el tratamiento para la formulación, defensa o ejercicio de reclamaciones legales​.
• Cumplimiento de obligaciones laborales o de seguridad social: En algunos casos, es necesario el tratamiento de estos datos para cumplir con obligaciones contractuales o legales, como en el ámbito laboral.
• Protección de intereses vitales del interesado: Aplica en situaciones de emergencia donde el individuo no pueda otorgar su consentimiento, como una situación médica crítica.
• Finalidad del tratamiento: Los datos especialmente protegidos solo pueden ser tratados con un propósito específico, explícito y legítimo, y no se pueden utilizar para otros fines distintos de aquellos para los que fueron recogidos.

En este caso, el consentimiento explícito no podría considerarse como una base legitimadora en sí misma, puesto que este consentimiento puede no ser necesario  o carecer de carácter validatorio si no existe otra base legitimadora del tratamiento.

¿Qué medidas se han de aplicar al tratar este tipo de datos?

Como datos especiales, es necesario que su tratamiento reciba una especial atención, aplicando una serie de medidas obligatorias necesarias para garantizar la integridad, privacidad y seguridad de la información.

• Principio de minimización de datos: Solo se deben recopilar y procesar los datos necesarios y proporcionales para la finalidad específica del tratamiento. El principio de minimización de datos implica que los datos sensibles deben reducirse al mínimo necesario para el objetivo perseguido.
• Transparencia y derecho de información: Los interesados deben ser informados de manera clara y precisa sobre el tratamiento de sus datos sensibles. Esto incluye detalles como la identidad del responsable, la finalidad del tratamiento, el tiempo que se conservarán los datos, los destinatarios, y los derechos que les asisten.
• Seguridad de los datos: Al tratar con datos sensibles, las organizaciones deben implementar medidas de seguridad técnicas y organizativas reforzadas para garantizar la confidencialidad, integridad y disponibilidad de los datos.
• Evaluación de Impacto sobre la Protección de Datos (EIPD): El tratamiento de datos especialmente protegidos conlleva un alto riesgo para los derechos y libertades de las personas. Por ello, es obligatorio realizar una evaluación de impacto sobre la protección de datos (EIPD) antes de llevar a cabo el tratamiento, para identificar riesgos y establecer medidas adecuadas para mitigarlos. La evaluación de impacto es particularmente necesaria cuando se utilizan nuevas tecnologías o cuando el tratamiento implica un seguimiento o análisis a gran escala.
• Confidencialidad reforzada: Las personas que tengan acceso a datos sensibles deben estar sujetas a un deber de confidencialidad estricto. Esto suele implicar acuerdos de confidencialidad explícitos y formación específica en la gestión de datos sensibles.
• Plazos de conservación limitados: Los datos sensibles no pueden conservarse más allá del tiempo necesario para cumplir con los fines del tratamiento. Por lo tanto, deben establecerse políticas de retención adecuadas y mecanismos para la eliminación segura de estos datos una vez que ya no sean necesarios.
• Derechos reforzados de los interesados: se deberán reforzar los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición de los interesados.
• Nombrar un Delegado de Protección de Datos: El artículo 34 de la LOPDGDD indica las organizaciones que están obligadas a tener un DPO, entre las que se encuentran todas aquellas que manejen datos a gran escala y/o que realicen un tratamiento de categorías especiales de datos.

Cabe destacar que el cumplimiento de estas obligaciones es una exigencia imprescindible para evitar las sanciones de la AEPD, que podrían llegar a los 20 millones de euros o el 4% de la facturación del último ejercicio.