¿Qué son los datos personales (GDPR)?

El GDPR se basa en la protección de los datos personales de los ciudadanos y residentes de la UE. Entender lo que esto significa permitirá a su empresa controlar los requisitos del GDPR. De hecho, el GDPR sólo se aplica a los datos personales. Pero, ¿qué son exactamente los datos personales? La amplitud de esta categoría puede sorprenderle. En este artículo, le ayudaremos a determinar cuáles de sus datos entran en la normativa del GDPR, con la esperanza de evitar que elimine información útil innecesariamente.

También explicaremos la diferencia entre los datos personales y los datos personales sensibles, una distinción clave en el marco del RGPD, con implicaciones para la forma en que se recogen, almacenan y procesan.

¿Qué son exactamente los datos personales?

Lamentablemente, el GDPR no incluye una lista exhaustiva de lo que considera datos personales. El reglamento establece que los datos personales son: "Cualquier información relativa a una persona física identificable".

Para el profano, esto significa cualquier información que pueda utilizarse -sola o en combinación con otra información- para identificar a un sujeto de datos vivo. Los datos personales pueden ser algo obvio, como un nombre o un nombre de usuario, o pueden ser algo menos aparente, como las imágenes de un circuito cerrado de televisión.

Esto se debe a que tales datos pueden utilizarse para confirmar su presencia física en algún lugar. También incluye los datos de localización del teléfono, las direcciones IP y los datos de las cookies, así como las direcciones de correo electrónico y de domicilio.

Sin embargo, es importante recordar que estas cosas por sí solas no constituyen necesariamente datos personales, tal y como se definen en la normativa del GDPR: todo depende de la circunstancia concreta.

¿Qué tiene que ver la circunstancia?

Por ejemplo, el nombre de una persona.

Se podría suponer que este nombre se consideraría siempre un dato personal según el GDPR, pero se equivocaría. Dado que hay 48.532 John Smiths en los Estados Unidos, este nombre por sí mismo no puede utilizarse para identificar a una persona concreta(Oficina del Censo de los Estados Unidos). En comparación, probablemente se pueda decir que el hijo de Elon Musk es la única persona del planeta que se llama X Æ A-12 Musk (por el momento).

Por lo tanto, es lógico que el GDPR considere su nombre como un dato personal, ya que esta información es suficiente por sí misma para determinar su identidad individual. Sin embargo, esto cambia si se combina con otra información en el archivo. La dirección de correo electrónico johnsmith@businessx.com se consideraría un dato personal, ya que indica que sólo hay un John Smith trabajando para esta empresa en particular.

¿Hay algo que no se considere datos personales?

En la mayoría de los casos, los datos de personas fallecidas no se consideran datos personales según el RGPD. El considerando 26 también establece que los datos anónimos no entran en la normativa del RGPD. La anonimización es el proceso de eliminar todos los identificadores personales de los datos. No debe confundirse con los datos seudónimos o encriptados, que pueden volver a procesarse para identificar a las personas. Sin embargo, el RGPD fomenta activamente la seudonimización de los datos personales porque proporciona un nivel adicional de seguridad para los interesados, ya que sólo pueden acceder a los datos seudónimos los empleados autorizados, con lo que se reducen los riesgos para la privacidad de las personas que han cedido sus datos a las empresas.

¿Qué pasa con los datos personales sensibles del GDPR?

Los datos personales sensibles -o "datos de categoría especial" en la jerga oficial del artículo 9- han sido destacados por el GDPR como algo que debe ser manejado con seguridad extra. Aquí están todos los ejemplos de datos personales sensibles:

• Origen racial o étnico
• Opiniones políticas
• Creencias religiosas o filosóficas
• Afiliación sindical
• Antecedentes penales
• Datos clasificados
• Datos genéticos
• Datos financieros
• Datos biométricos
• Datos sanitarios
• Vida sexual u orientación sexual
• Información empresarial o laboral

Esta distinción entre datos personales y datos personales sensibles es importante. Según el RGPD, los datos sensibles sólo pueden tratarse si cumplen una o varias de las siguientes condiciones:

• Si la persona ha dado su consentimiento explícito o ya ha hecho públicos los datos
• Si los datos son necesarios para proteger los intereses de los interesados que están físicamente incapacitados para dar su consentimiento
• si los datos son esenciales para cumplir los requisitos de empleo, seguridad social o protección social establecidos por la ley
• si los datos son necesarios para que una organización sin ánimo de lucro lleve a cabo actividades legítimas
• Si los datos son necesarios para actividades relacionadas con el interés público sustancial en materia de salud o medicina

Ya tiene los datos listos

Es de esperar que ahora tenga una mejor idea de los datos personales y sensibles que tiene archivados. Este es el primer paso para identificar y clasificar los datos, y garantizar que la forma en que almacena los datos personales respeta los derechos de los usuarios de Internet de la UE según el GDPR. Mejorar la seguridad de esta información sensible también le protegerá mejor en el desafortunado caso de una violación de datos, reduciendo las multas que su empresa recibiría de las autoridades de protección de datos.

Puede descubrir más información sobre el GDPR y la privacidad de los datos en nuestra completa guía.