Artículo 9

Tratamiento de categorías especiales de datos personales

1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

(a)

el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

(b)

el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

(c)

el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

(d)

el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

(e)

el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

(f)

el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

(g)

el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

(h)

el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;

(i)

el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,

(j)

el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.

4. Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.

¿Qué significa?

Los datos personales sensibles se definen explícitamente en el RGPD, y el acceso tratar dicha información es más restringido que el de los datos personales ordinarios.

Los datos personales sensibles se refieren a:

  • origen racial y étnico
  • Creencias políticas
  • Creencias religiosas o filosóficas
  • Afiliación sindical
  • Datos genéticos
  • Datos biométricos con fines de identificación única
  • Información sanitaria
  • Orientación sexual o relación.

Sólo los datos mencionados anteriormente son datos personales sensibles. El RGPD clasifica todos los demás datos personales como no sensibles si no lo son.

Los datos personales sensibles incluyen la raza, las opiniones políticas, las creencias religiosas, los datos de salud y la orientación sexual. Todas estas son categorías de datos personales que se utilizan para perseguir a las personas en algunos países.

En general, está prohibido tratar datos personales sensibles, pero hay algunas excepciones a esta prohibición.

Puede tratar datos personales sensibles sin consentimiento si el interesado ha hecho públicos los datos previamente.

Además, puede tratar datos personales sensibles si es necesario para:

  • Las obligaciones y derechos laborales, sanitarios y de seguridad social del responsable del tratamiento o del interesado.
  • Los intereses vitales del interesado o de otra persona física si el consentimiento es imposible.
  • Una organización política, filosófica, religiosa o sindical sin ánimo de lucro que tratamiento datos de sus miembros o datos de contacto regulares (no incluye la divulgación fuera de la organización).
  • El establecimiento o la tratamiento de una reclamación legal.
  • Interés público sustancial.
  • Tramitación de carácter profesional en el sector sanitario.
  • Tratamiento con fines de archivo, investigación científica o histórica o con fines estadísticos.

Cuando se tratamiento datos sensibles, además de tener una base legal, se debe poder identificar una de las excepciones a la prohibición del tratamiento datos sensibles. Sin ello, podrá tratar legalmente los datos personales sensibles.

Los datos confidenciales son una categoría particular de datos personales que no se mencionan explícitamente en el RGPD, pero en los que sería pertinente adoptar salvaguardias específicas para aplicar el RGPD, dado su carácter. Además, los datos confidenciales suelen estar sujetos a regulaciones específicas en otras legislaciones.

Los datos personales sensibles serán sin duda datos confidenciales. Por el contrario, la información confidencial no siempre es sensible.

Los datos personales no sensibles pueden ser confidenciales en determinadas situaciones. Esto se aplica, por ejemplo, a la información de carácter puramente objetivo, como la relativa a la expedición de pasaportes, permisos de conducir, permisos de caza, etc. Este puede ser el caso de la información sobre ingresos, activos, empleo, educación y formación. Lo mismo ocurre con la información sobre las relaciones familiares internas, incluida la información sobre, por ejemplo, los intentos de suicidio y los accidentes.

Sí, la mayoría de las empresas tratan datos personales sensibles relativos a sus empleados, por ejemplo, si tratar información relativa a la afiliación de sus empleados a un sindicato. También estará tratamiento datos personales sensibles relativos a los empleados si registra información sobre su estado de salud si están de baja por enfermedad.

Sensibilización

Asegúrese de que toda su empresa cuenta con la formación de concienciación necesaria sobre los aspectos básicos del RGPD y la seguridad informática.

Discover

About

Get Started within 24 hours.

Once you have submitted your details, you’ll be our top priority!