Usted trata datos personales constantemente: en cada correo electrónico que envía, en cada venta que registra y en las interacciones con los clientes. El tratamiento de los datos personales es la piedra angular de la confianza entre usted y sus clientes. Es el tejido de sus relaciones comerciales y un requisito legal del RGPD.

Cada dato personal que gestiona tiene un peso, y el más mínimo desliz en el manejo de los datos personales puede hacer tambalear esa confianza y tener consecuencias más amplias de lo que imagina.

¿Qué son los datos personales? Esta es una pregunta central, y todos los empleados de su organización deben conocer la respuesta si desea mantener esta confianza y cumplir con el RGPD.

La definición de datos personales en el RGPD

El concepto de datos personales se define en el apartado 1 del artículo 4 del RGPD de la siguiente manera:

“…cualquier información relativa a un identificada o identificable persona física (“interesado”); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular mediante un identificador tal como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física”.

La definición consta de cuatro elementos clave: “today información”, “sobre”, “una persona identificada o identificable” y “persona física”.

Estos componentes están interrelacionados y contribuyen colectivamente a comprender lo que constituyen los datos personales. Por ello, a continuación profundizaremos en estos conceptos.

1) Toda información

Los datos personales incluyen cualquier información sobre un individuo y pueden ser “datos sensibles” o información más general sobre un individuo.

Los datos personales son cualquier información relacionada con un individuo identificable, independientemente de su exactitud. Así pues, los datos inexactos relativos a un individuo también se consideran información sobre ese individuo. Este hecho está consagrado en el RGPD, que concede a las personas el derecho de rectificación, lo que les permite corregir sus datos personales inexactos.

El término “datos personales” incluye toda información relativa a la vida privada y familiar de la persona y a cualquier tipo de actividad que realice, por ejemplo, relaciones laborales o comportamiento económico o social. Incluye información sobre individuos, independientemente de su posición o capacidad, por ejemplo, consumidor, paciente, empleado, cliente, etc.

Formatos de los datos personales

Los datos personales engloban cualquier forma de información que pueda almacenarse, ya sea alfabética, numérica, gráfica, fotográfica o acústica. Esto incluye los datos personales almacenados en papel, digitalmente, en cinta o de cualquier otro modo.

Cualquier archivo que contenga información identificable sobre una persona se clasifica como dato personal. Esto se extiende a los textos de los documentos electrónicos, que también se consideran datos personales cuando contienen detalles identificables de una persona y cumplen los criterios generales de los datos personales.

Ejemplo: Instrucciones telefónicas a la compañía de seguros

Cuando un cliente llama a la compañía de seguros y da instrucciones sobre sus pólizas de seguros, la compañía de seguros podría grabar estas instrucciones, que se considerarían datos personales.

Ejemplo: Videovigilancia

Las imágenes de personas captadas por un sistema de videovigilancia pueden ser datos personales cuando estas personas son reconocibles, lo que sería casi siempre el caso.

Ejemplo: Dibujo a mano

Un dibujo realizado como parte de una evaluación psicológica podría reflejar los sentimientos de la persona, por ejemplo, sobre la familia, el trabajo o similares y, por tanto, puede considerarse un dato personal.

2) Sobre (una persona física)

Se puede considerar que la información se refiere a una persona cuando trata sobre ella.

En general, la información puede referirse a una persona cuando la información tiene un elemento de contenido, finalidad o resultado.

Contenido

A menudo es evidente que el contenido de la preocupación se refiere claramente a un individuo concreto.

La información contenida en el expediente personal de un empleado es claramente información relativa a su condición de empleado. Del mismo modo, los resultados de las pruebas médicas de un paciente que figuran en su historial médico le conciernen directamente.

Propósito

Una misma información puede referirse simultáneamente a distintas personas. Una misma información puede mostrar diferentes datos personales en función de la finalidad de nuestra evaluación.

Ejemplo de historial médico

La historia clínica de un paciente muestra su estado de salud, la evaluación realizada por el personal médico y sus acciones correspondientes.

Ejemplo de atención al cliente

Los correos electrónicos de atención al cliente de una empresa reflejan las preguntas de los clientes y las respuestas de los agentes. El personal de seguridad de TI también podría supervisar y examinar estos correos electrónicos, convirtiéndolos en datos personales relevantes para múltiples partes: el servicio de atención al cliente, los clientes y el personal de TI.

Resultado

Cuando el resultado del tratamiento de datos repercute en una persona, puede considerarse que se trata de datos personales, aunque no fuera esa la finalidad del tratamiento.

Ejemplo: Localización geográfica de los coches

Consideremos el caso de una empresa de taxis que utiliza el GPS para encontrar la ubicación de sus coches disponibles. El objetivo es mejorar el servicio y ahorrar combustible enviando el coche más cercano a la ubicación del cliente. Sin embargo, el sistema puede controlar si los conductores respetan los límites de velocidad, eligen rutas eficientes o conducen activamente o se toman un descanso. Como resultado de este tratamiento se obtienen datos personales sobre los conductores.

3) Identificada o identificable

Los datos personales deben referirse a una persona física identificada o identificable.

Una persona está “identificada” cuando se distingue de todos los demás miembros de un grupo de personas.

La identificación puede producirse directamente a través de identificadores explícitos como un nombre o indirectamente a través de elementos como un número de teléfono, un número de la seguridad social o un número de pasaporte. Además, se puede identificar a un individuo combinando varios criterios -como la edad, la ocupación y el lugar de residencia-, lo que acota y distingue a un individuo dentro de un grupo.

El nombre de la persona es el identificador más común y, en la práctica, la noción de “persona identificada” implica la mayoría de las veces una referencia al nombre de la persona. Sin embargo, pueden ser necesarios detalles adicionales como la fecha de nacimiento o la dirección para evitar confusiones, ya que las personas pueden compartir el mismo nombre, por ejemplo, James Smith no sería un identificador único ya que miles de personas comparten el nombre.

Una persona es “identificable” si existe la posibilidad de identificarla, aunque aún no haya sido identificada. Por lo tanto, cualquier información que pueda utilizarse para identificar a una persona, identificada o no, se considera dato personal.

Identificable por cualquier medio

Para determinar si una persona es identificable, debe tener en cuenta todos los métodos razonables que puedan conducir a su identificación, no sólo los controlados por el responsable del tratamiento. Esto incluye los medios de que disponen otras partes, como los encargados del tratamiento.

Sin embargo, una posibilidad teórica de identificación por sí sola no califica a alguien de ” identificable“. Tras considerar todos los métodos prácticos de identificación accesibles al responsable del tratamiento y a otros, si la probabilidad de identificar a la persona es baja o inexistente, no es “identificable”. En consecuencia, la información no cuenta como “datos personales”.

A la hora de evaluar si una persona puede ser identificada, son importantes factores como el coste de la identificación, la finalidad del tratamiento de datos por parte del responsable del tratamiento, los beneficios potenciales, los intereses individuales y los riesgos de violación de los datos.

La evaluación de la identificabilidad debe ser un proceso continuo que tenga en cuenta no sólo las capacidades tecnológicas actuales, sino también los posibles avances futuros.

Los datos cuya identificación sea improbable durante su periodo de almacenamiento no se consideran datos personales. Por ejemplo, los datos almacenados durante un mes sin identificación factible no son datos personales. Sin embargo, supongamos que los datos se conservan durante diez años. En ese caso, la posibilidad de identificación en el noveno año adquiere relevancia.

En los casos de videovigilancia, las empresas suelen argumentar que sólo una fracción de la grabación conduce a la identificación, lo que sugiere que no se trata de tratamiento de datos personales. Sin embargo, si el objetivo de la vigilancia es identificar a las personas según sea necesario, entonces toda la actividad se considera tratamiento de datos personales, aunque algunas personas sigan siendo inidentificables.

Pseudonimizados

La seudonimización oculta a un individuo identificado sustituyendo los identificadores personales por seudónimos aleatorios e impredecibles. Esto permite recopilar datos adicionales relacionados con una persona sin revelar su identidad.

Los datos seudonimizados se consideran identificables indirectamente. El seudónimo crea un vínculo con la persona, permitiendo su identificación en condiciones específicas y controladas.

Imagine una lista de nombres emparejados con sus historiales médicos. La sustitución de los nombres por códigos aleatorios oscurece y seudonimiza la conexión directa con los individuos. Sin embargo, una lista separada y segura correlaciona estos códigos con los nombres reales y sólo es accesible al personal autorizado. Esto garantiza la seguridad de los datos al tiempo que permite su identificación en caso de que fuera necesario.

Datos anónimos

Los datos anónimos no pueden utilizarse para identificar a una persona, ni siquiera teniendo en cuenta todos los métodos de identificación razonables de que disponen el responsable del tratamiento y otras personas.

Los datos anonimizados son un tipo específico de datos anónimos que inicialmente eran identificables pero que han sido tratados, por lo que ya no es posible identificarlos.

Los principios de protección de datos no se aplican a los datos anonimizados en la medida en que el sujeto deja de ser identificable, como debería ocurrir con los datos anonimizados.

El carácter anónimo de los datos depende del contexto y debe analizarse caso por caso. Esto es especialmente importante en contextos estadísticos, en los que los datos agregados aún pueden permitir la identificación individual si el tamaño de la muestra es pequeño o si se dispone de otra información, que podría ayudar a identificar a la persona, que de otro modo sería anónima.

4) Persona física

Los datos personales deben referirse a una persona física, un ser humano individual, por oposición a una persona jurídica, que se refiere a entidades como empresas, instituciones gubernamentales, ONG y organizaciones similares. Estas entidades están reconocidas por la ley como capaces de derechos y deberes.

En el contexto de los datos personales, se refiere a información sobre personas físicas, no sobre organizaciones. Sin embargo, los datos relacionados con una empresa, como en el caso de una empresa unipersonal, siguen considerándose información personal, ya que están directamente vinculados al propietario individual.

Persona jurídica

Los datos personales se refieren principalmente a la información sobre las personas. Sin embargo, en determinados casos, los detalles relacionados con la empresa pueden considerarse datos personales si se refieren indirectamente a personas físicas.

Por ejemplo, cuando el nombre de una empresa incluye el nombre de una persona o cuando un empleado concreto utiliza sistemáticamente una dirección de correo electrónico corporativa, esta información queda vinculada a esa persona. Además, los datos sobre una pequeña empresa pueden reflejar estrechamente los tratos personales de su propietario y los datos relacionados con una empresa, como en el caso de una empresa unipersonal, también se consideran información personal, ya que están directamente vinculados al propietario individual.

Para simplificar el cumplimiento de las normas de protección de datos, algunas empresas tratan todos los datos, incluida la información relacionada con la empresa entremezclada con datos individuales, como datos personales. Este enfoque elimina la necesidad de una categorización específica de los datos y se ajusta a la normativa sobre privacidad.

Categorías de datos personales

Está ampliamente reconocido que algunos datos personales son más sensibles que otros.

Este entendimiento se recoge formalmente en el RGPD mediante la existencia de diferentes categorías de datos personales, como las categorías especiales de datos personales (comúnmente conocidas como datos personales sensibles) y los datos personales no sensibles.

El RGPD también considera los datos sobre menores una categoría distinta que debe tratarse con mayor cuidado, ya que los niños suelen ser menos conscientes de cómo se tratan sus datos.

La información sobre delitos y condenas penales de una persona también debe tratarse con mayor cuidado, ya que el RGPD limita cómo pueden tratarse estos datos y quién puede hacerlo.

Por último, algunos datos personales, como la información sobre su patrimonio, no querría que fueran públicos. Este tipo de datos personales suelen clasificarse como datos personales confidenciales.

Datos personales no sensibles

Los datos personales no sensibles son información no clasificada específicamente en las “categorías especiales” del artículo 9 del RGPD. Esto incluiría los siguientes ejemplos:

• Nombre y apellidos
• Dirección
• Correo electrónico
• Número de teléfono
• Fecha de nacimiento
• Perfiles de redes sociales
• Número del permiso de conducir
• Identificación del empleado
• Dirección IP

A pesar de calificar estos datos de no sensibles, pueden plantear riesgos si se utilizan indebidamente. Por ejemplo, un número de teléfono podría dar lugar a ataques de phishing. Al mismo tiempo, alguien podría aprovecharse de una fecha de nacimiento para acceder a una cuenta sin autorización.

Esta información personal es ampliamente utilizada o generada en cada interacción en línea o al hacer negocios, y se podría categorizar un sinfín de información personal como no sensible.

Datos personales sensibles

El RGPD enumera todas las categorías de datos personales sensibles en el artículo 9, incluidos el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos para la identificación única, los datos sanitarios y los datos relativos a la vida sexual o la orientación sexual de una persona.

Histórica y actualmente, dicha información se ha utilizado indebidamente para discriminar o perjudicar. Por ejemplo, las afiliaciones políticas de una persona podrían dar lugar a discriminación laboral o, en casos extremos, como en una dictadura, la información personal sobre salud, como las alergias, podría utilizarse contra una persona para causarle daño.

Debido a estos riesgos, el tratamiento de datos personales sensibles está estrictamente regulado y sólo puede tratarse en las condiciones mencionadas en el artículo 9 (2), por ejemplo, un hospital está autorizado a tratar datos sanitarios de pacientes.

Niños

En virtud del RGPD, “niños” se refiere normalmente a personas menores de 16 años. No obstante, los Estados miembros de la UE pueden fijar esta edad de consentimiento entre los 13 y los 16 años.

En los contextos en los que el consentimiento es la base para tratar datos de menores, debe darlo el tutor legal del menor cuando éste no haya alcanzado la edad de consentimiento establecida por el Estado miembro. Por ejemplo, España, Francia y Portugal han fijado sus edades de consentimiento en 14, 15 y 13 años, respectivamente.

El Reglamento tiene por objeto proteger a los niños del uso indebido de datos en línea, garantizando que los servicios digitales dirigidos a ellos salvaguarden su intimidad y comuniquen de forma clara y comprensible cómo se tratan sus datos.

Delitos o condenas penales

El RGPD impone restricciones estrictas al tratamiento de datos personales relacionados con delitos o condenas penales. Esta categoría incluye, por ejemplo

• Antecedentes penales con condenas anteriores.
• Datos de procedimientos judiciales que indiquen un comportamiento delictivo.
• Información de los informes policiales sobre detenciones.
• Sentencias judiciales o condenas relacionadas con actividades ilegales.
• Los registros sugieren que una persona está siendo investigada por un presunto delito.

El tratamiento de estos datos sólo está permitido en condiciones específicas, como el desempeño de funciones oficiales o cuando la ley lo autorice. Este enfoque refleja la protección de los datos personales sensibles en virtud del RGPD. El objetivo es evitar el uso indebido y la discriminación.

Por ejemplo, imagine los riesgos si las empresas pudieran tratar datos sobre delitos penales sin restricciones. Podría dar lugar a intrusiones en la intimidad y a una discriminación injusta de las personas. Estas normas tienen por objeto proteger a las personas de un posible uso indebido de su información personal.

Datos personales confidenciales

Los datos personales confidenciales no se categorizan explícitamente en el RGPD, pero son un concepto fundamental. Esta categoría incluye información como el patrimonio, el salario o los números de identificación nacional, datos que normalmente no están destinados a la divulgación pública.

Reconocer y clasificar los datos personales confidenciales es importante para un mapeo exhaustivo de los datos, las evaluaciones de riesgos y el cumplimiento del RGPD. También orienta la aplicación de salvaguardias adecuadas en el tratamiento de datos, garantizando una mayor protección de los datos personales cuando deben seguir siendo confidenciales.

Otras categorías de datos

Para aclarar el concepto de datos personales, es útil considerar otras categorías, como los datos comerciales, y su relación con los datos personales.

Datos comerciales

Los datos empresariales se refieren a información sobre las operaciones de una empresa, como registros financieros, actividades de mercado, cifras de ventas y datos demográficos de los clientes. Se centra en los resultados empresariales y ofrece información sobre las tendencias del mercado y el comportamiento de los clientes.

Aunque orientados principalmente a las empresas, estos datos se cruzan a menudo con datos personales. Por ejemplo, los datos de clientes y empleados son una parte esencial de las estrategias de marketing y la gestión de recursos humanos y, por lo tanto, entran en el ámbito de aplicación del RGPD.

Se debe prestar especial atención al aspecto de los datos personales dentro de sus operaciones comerciales para garantizar el cumplimiento del RGPD. Un mapeo de datos eficaz, como parte de los registros de actividades de tratamiento exigidos por el artículo 30 del RGPD, ayuda a identificar, documentar y tratar con precisión esta superposición de datos personales y empresariales.

Datos agregados

La agregación de datos consiste en fusionar puntos de datos individuales para identificar patrones o tendencias al tiempo que se ocultan detalles personales; por ejemplo, calcular la renta media de una región a partir de los ingresos de muchos individuos da como resultado datos que reflejan tendencias sin revelar contribuciones específicas.

Las oficinas nacionales de estadística suelen utilizar datos agregados para describir la demografía o la situación económica de un país. Aunque se parte de datos personales, la forma agregada final es anónima y no debe revelar detalles personales.

A diferencia de los datos personales, que detallan atributos individuales identificables, los datos agregados se centran en patrones de grupo más amplios. Sus aplicaciones van desde el análisis de mercado a los estudios demográficos, pasando por el uso centrado en el individuo en la publicidad dirigida o el servicio al cliente.

Aunque normalmente no suponen un problema para la privacidad, los datos agregados pueden plantear riesgos si el conjunto de datos carece de diversidad o el tamaño de la población es pequeño, permitiendo potencialmente la identificación de individuos.

El RGPD no regula los datos agregados per se debido a su naturaleza no identificable. Aun así, los datos personales iniciales deben tratarse correctamente durante la agregación para evitar una posible reidentificación.

Errores comunes

Existen muchos conceptos erróneos sobre lo que son o no son los datos personales. A continuación encontrará algunos ejemplos de datos personales, que a menudo se confunden por no ser datos personales.

Las grabaciones de voz procedentes de interacciones con el servicio de atención al cliente o a través de asistentes virtuales se clasifican como datos personales porque pueden revelar la identidad de la persona que habla.

Las notas con letra manuscrita que incluyen observaciones personales o estilos propios de un individuo son datos personales debido a su naturaleza identificable.

Los números de registro mercantil se consideran datos personales cuando se vinculan directamente a los empresarios individuales. El número de registro de una empresa también es un dato personal cuando la razón social incluye el nombre del propietario.

Los datos personales inscritos en registros públicos mantienen su condición de datos personales a pesar de su disponibilidad pública debido a la información identificable que contienen.

Las direcciones de correo electrónico facilitadas a los empleados para comunicaciones relacionadas con el trabajo tienen categoría de datos personales, independientemente de si la dirección incluye el nombre de la persona si el empleado puede ser identificado. Una dirección de correo electrónico laboral suele estar vinculada a una persona. Por lo tanto, la comunicación a través de esa dirección de correo electrónico se considera datos personales.

Las imágenes de personas que aparecen en los sitios web de las empresas se reconocen como datos personales porque permiten identificar a los retratados.

La información biométrica para garantizar el acceso al lugar de trabajo, como las huellas dactilares o el reconocimiento facial, se consideran datos personales sensibles.

Las grabaciones de seguridad que muestran a personas identificables se tratan como datos personales incluso cuando captan escenas en zonas públicas.

La información sobre los empleados recopilada con fines administrativos es un dato personal, aunque parezca un registro empresarial rutinario.

Las respuestas en formularios de opinión llevan la etiqueta de datos personales cuando contienen detalles que pueden identificar al individuo que proporciona la opinión.

Estudio de caso: Empresa de consultoría

Para ilustrar que los datos personales se tratan de muchas maneras diferentes y por muchos tipos de empresas, veamos como ejemplo una consultoría habitual.

Datos personales en la consultoría

En consultoría, los datos personales pueden tratarse de muchas maneras, en las que quizá no piense desde el principio:

Los asesores mantienen una lista de información de contacto de los clientes, como nombres, direcciones y formas de ponerse en contacto. Esto les ayuda a mantenerse conectados y a acudir cuando lo necesitan.

Los asesores compilarían perfiles de clientes, captando sus requisitos empresariales y preferencias personales relevantes para cumplir su servicio al cliente.

Las competencias y cualificaciones del personal de la consultora se ajustan a los proyectos de los clientes adecuados, lo que significa que deben manejar con cuidado la información profesional de los empleados.

Se mantiene un historial detallado de las conversaciones con los clientes, a través de correos electrónicos, llamadas o reuniones, para seguir mejorando la forma de trabajar con cada cliente.

Los asesores documentan los procesos de venta y captación de clientes en su sistema CRM, desde el contacto inicial hasta la incorporación satisfactoria, anotando cualquier interacción individualizada o modificación solicitada por el cliente.

Los comentarios de los clientes se guardan en el sistema CRM para garantizar que el servicio de consultoría satisface las necesidades del cliente.

Se toman notas de las reuniones y visitas para establecer una mejor conexión con el cliente y ayudar a planificar el futuro.

La información obtenida de la investigación de clientes se analiza y ayuda a comprender lo que les gusta y hacen las distintas personas, lo que los asesores utilizan para elaborar estrategias que se dirijan a sus clientes.

Resumen

Lo básico para cumplir con el RGPD es identificar cuándo tratas datos personales en tu trabajo.

Su conocimiento de lo que constituyen los datos personales le permitirá actuar contra el tratamiento incorrecto de los mismos, ayudará a su empresa a avanzar hacia el cumplimiento de la normativa y mejorará la fiabilidad de la empresa.

En este artículo hemos tratado a fondo la definición de datos personales y las diferentes categorías de datos personales, y sirve como recurso al que puede volver siempre que necesite aclaraciones sobre qué son los datos personales.

En nuestra formación de sensibilización “¿Qué son los datos personales?”, encontrará una formación de fácil acceso de 5 vídeos adecuada para colegas sin conocimientos previos del RGPD.