Este artículo forma parte de un Especial GDPR en el que te aclaramos, con preguntas y respuestas, algunos puntos críticos de la implantación de la directiva. Y, si lo necesitas, te ofrecemos una auditoría gratuita de tu negocio sobre esta directiva.
¿Qué datos se consideran sensibles?
Solamente puede tratar datos sensibles si cumple algunas de las condiciones que se enumeran a continuación:
- Haber obtenido el consentimiento explícito de la persona (una ley puede regir esta opción en determinados casos).
- Se le exige, en virtud de una ley de la Unión Europea (UE) o nacional o un convenio colectivo, que trate los datos para cumplir sus obligaciones y derechos, y los de las personas, en el ámbito laboral, de la seguridad social y la legislación sobre protección social.
- Los intereses vitales de la persona, o de una persona sin la capacidad física o jurídica de dar su consentimiento, están en peligro.
- Es una fundación, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad es política, filosófica, religiosa o sindical, que realiza el tratamiento de los datos sobre sus miembroso personas que mantienen contactos regulares con su organización.
- La persona ha hecho manifiestamente públicos los datos personales.
- Necesita los datos para la formulación, el ejercicio o la defensa de reclamaciones.
- Trata los datos por razones de un interés público esencial sobre la base del Derecho de la Unión o nacional.
- Trata los datos para alguno de los fines siguientes: medicina preventiva u ocupacional; evaluación de la capacidad de trabajo del empleado; diagnóstico médico; prestación de servicios médicos, asistencia social o tratamientos, o la gestión de sistemas sanitarios o de asistencia social sobre la base del Derecho de la Unión o nacional, o sobre la base de un contrato como profesional sanitario.
- Trata los datos por razones de interés público en el ámbito de la salud pública sobre la base del Derecho de la UE o nacional.
- Trata los datos para fines de archivo, investigación científica o histórica o para fines estadísticos sobre la base del Derecho de la UE o nacional.
El Derecho nacional puede imponer más condiciones sobre el tratamiento de los datos genéticos, biométricos y los datos relativos a la salud.
Dos ejemplos
- Se pueden tratar los datos sensibles. Un médico visita a varios pacientes en su clínica. Registra las visitas en una base de datos que contiene campos como el nombre y los apellidos del paciente, la descripción de los síntomas y la medicación que se le ha recetado. Estos se consideran datos sensibles. Se permite el tratamiento de datos sanitarios por parte de la clínica en virtud del Reglamento de protección de datos, puesto que este es necesario para atender a la persona y se realiza bajo la responsabilidad de un médico que está sujeto a la obligación de secreto profesional.
- No se pueden tratar los datos sensibles. Pepe dirige una empresa que vende vestidos por internet. Con el fin de personalizar los servicios a los intereses específicos de sus clientes, les pide que le proporcionen información sobre la talla, el color preferido, el método de pago, el nombre y la dirección para poder enviar el producto. Además, su empresa pregunta la opinión política de sus clientes. Necesita la mayor parte de la información para cumplir con su parte del contrato. Sin embargo, la opinión política de sus clientes no es necesaria para confeccionar y enviar sus vestidos. No puede pedirla en virtud de este contrato.
Te ayudamos
¿Todavía no has aplicado la GDPR a tu negocio? Aunque has dado los primeros pasos, ¿piensas que todavía necesitas ayuda para implantarlo correctamente? ¿Has tenido una mala experiencia y quieres confirmar que, efectivamente, cumples GDPR? Es importante valorar cada caso individualmente, por eso te ofrecemos una auditoría gratuita (y sin compromiso) en GDPR. Contacta con nosotros por mail o por teléfono.