La definición de dato personal se encuentra en el art.4.1 del RGPD, y en los considerandos 26, 28 a 30, 34 y 35.
A través del mencionado artículo 4 apartado 1 se incluye la definición de Dato Personal como “Toda información sobre una persona física identificada o identificable”. Importante apuntar que el afectado o titular del dato será calificado por el RGPD como «el interesado».
A continuación, la definición pasa a determinar cuándo se entiende que una persona es identificable incluyendo elementos adicionales para la posible identificación respecto de nuestra normativa de protección de datos.
En el reglamento, por tanto, la identificación de una persona a los efectos de protección de datos se realiza cuando puede determinarse la identidad directa o indirectamente a través de:
Se aclara por tanto en nuestra normativa que un dato personal puede ser un identificador, un dato de localización o un nombre, siempre y cuando sean capaces de identificar a la persona (como por ejemplo una dirección MAC).
Así mismo y de forma similar a como se recoge en nuestra normativa en el considerando 26 se establece la forma en la que se puede determinar si una persona es identificable:
Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos.
Siguiendo con el considerando 26 el RGPD nos introduce la anonimización del dato personal, excluyéndola del ámbito de aplicación del RGPD.
Por lo tanto, los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.
A través de la definición de dato personal se introduce en la normativa de protección de datos una tercera categoría de dato personal ubicada entre el dato personal y la anonimización. Esta categoría nueva es denomina por el RGPD como la “Seudonimización”, definida en el apartado 5 del art. 4 relativo a las definiciones:
5) «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;
La seudonimización no implica, una completa anonimización de los datos o disociación completa sin retorno o posibilidad de reversión de los mismos, ya que existe siempre la posibilidad de identificar al interesado a través de información adicional. Esta información adicional, se encontrará separada por tanto de los datos seudonimizados, y almacenada y custodiada con las debidas medidas de seguridad para garantizar que los datos personales no se atribuyan a una determinada persona. De esta manera se consigue un tratamiento más seguro por parte del responsable que sólo autorizará a aquellas personas (trabajadores o terceros) el acceso a la identificación del interesado cuando sea necesario para el ejercicio de las funciones u obligaciones encomendadas (considerando 29).
La seudonimización a diferencia de la anonimización, sí es considerada como un dato personal por el RGPD, quién a través del considerando 26 establece:
Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable.
A través de esta técnica se pretende garantizar un mayor respeto a la privacidad de los interesados o afectados, ya que pesar de considerarse datos personales (considerando 26) el responsable limita el acceso a determinadas personas autorizadas, y por tanto reduce el riesgo en el tratamiento (considerando 28). Además, el RGPD crea incentivos para que los responsables apliquen la técnica de seudonimización, estableciendo obligaciones menos estrictas para los responsables quienes por ejemplo podrán procesar datos con seudónimo con finalidades distintas a las establecidas en la recogida o con fines científicos, históricos o estadísticos.
En este sentido comprobamos que la seudonimización puede jugar un gran papel en el contexto de la Privacidad por Diseño, considerándose como una buena práctica el uso de esta técnica para garantizar un tratamiento de datos más seguro.
Si un interesado ejerce su derecho a cancelación ¿es posible anonimizar sus datos y usarlos también para fines estadísticos toda la vida? ¿O pasado el plazo legal de conservación tengo que borrarlos de mis bases de datos?
La Anonimización trae consigo la irreversibilidad del dato, es decir el dato se encuentra disociado y el responsable o cualquier tercero que acceda al dato no podrán identificar a la persona física. La AEPD ha publicado una guía muy interesante sobre estas cuestiones:
Desde el momento en que se anonimiza el dato, el mismo deja estar dentro del ámbito de aplicación de la normativa de protección de datos, ya que es materialmente imposible identificar a la persona física, por tanto el responsable o un tercero podrá tratar, ceder o comunicar sin necesidad de consentimiento alguno, obligación de información o cumplimiento de obligaciones en materia de protección de datos. Desde el momento en que se anonimiza el dato el mismo no incide sobre la privacidad del individuo.
La anonimización puede ser realizada por la empresa siempre, ya que el resultado no es un dato personal sino información empresarial que no afecta a la privacidad de las personas físicas, pues las mismas no son identificables, de esta manera la información puede ser utilizada por la empresa para cualquier actividad, bien sean estadísticas, estudios, investigaciones, o toma de decisiones, Big Data etc…
¿La información seudonimizada puede utilizarse con finalidades distintas a las que se establecieron en su recogida sin necesidad de solicitar consentimiento alguno? ¿Existen más facilidades en su tratamiento?
La seudonimización no implica, una completa anonimización de los datos o disociación completa sin retorno o posibilidad de reversión de los mismos, ya que existe siempre la posibilidad de identificar al interesado a través de información adicional. Esta información adicional, se encontrará separada por tanto de los datos seudonimizados, y almacenada y custodiada con las debidas medidas de seguridad para garantizar que los datos personales seudonimizados no se atribuyan a una determinada persona física. De esta manera, se consigue un tratamiento más seguro por parte del Responsable que sólo autorizará a aquellas personas (trabajadores o terceros) el acceso a la identificación del interesado cuando sea necesario para el ejercicio de las funciones u obligaciones encomendadas.
Por otro lado, el RGPD establece que se puedan tratar los datos personales con otras finalidades a las utilizadas en la recogida, si se dan los requisitos que el apartado 4 del art. 6. En concreto de entre dichos requisitos destaca la letra e) que establece la seudonimización como una garantía de seguridad que posibilitaría el uso del dato con finalidad distinta a la recogida.
El dato seudonimizado aporta mayores garantías de seguridad, ya que no identifica a la persona durante su procesamiento del dato, permitiendo realizar tratamientos de datos sin implantar todas las medidas de seguridad que serían necesarias en caso de no estar seudonimizados, de ahí que el RGPD promueva su aplicación por los responsables y encargados de tratamiento.
El RGPD introduce una serie de nuevas definiciones en las categorías especiales de datos, como son los datos genéticos y biométricos los cuales define en el art. 4 apartado 13 y 14, y complementa en los considerandos 34, 35 y 51.
De esta manera por un lado define como Dato Genético como:
“datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona”.
Por otro lado, define Dato Biométrico como:
“datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Estas nuevas categorías de datos se incluyen entre las categorías especiales de datos (lo que en nuestra normativa denominamos datos especialmente protegidos), pero sólo en aquellos supuestos en los que están siendo tratados con el fin de identificar de forma única a una persona. En este sentido conviene hacer mención al considerando 51, que establece que las fotografías no deben de considerarse como un dato sensible pese a tratarse de imágenes faciales,
“pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física”.
Adicionalmente el RGPD también realiza una definición de Dato de Salud como aquellos “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”. Además de esta definición el considerando 35 viene a aclarar y a incluir dentro de la categoría de datos de salud a aquellos referidos a una asistencia sanitaria.
¿Qué tratamiento recibe con el RGPD la huella dactilar para el control de acceso a los edificios o el control de presencia laboral? ¿es un dato de especialmente sensible?
La huella dactilar se considera un dato biométrico a ojos del RGPD. El uso de la huella, actualmente, es puramente identificativo, una captación por infrarrojos de una imagen de un dedo que mediante un tratamiento informático se relaciona con otra serie de datos registrados para identificar a la persona.
El RGPD cataloga estos datos como especialmente sensibles cuando son tratados para identificar a una persona de forma única. En estos supuestos el responsable o en su caso encargado deberá proteger dicho dato de forma especial para evitar que terceros puedan utilizar el dato y suplantar la personalidad del interesado. Básicamente podría asimilarse la contraseña de acceso a los sistemas de información que debe de permanecer encriptada para dar fiabilidad al sistema y garantizar que sólo el usuario puede conocer la misma, de esta manera garantizamos que sólo el usuario es el que pudo acceder ya que nadie podía acceder a la contraseña. Por tanto, si la huella dactilar digitalizada puede identificar a una persona de manera unívoca deberá ser conservada y administrada con las debidas garantías de seguridad, integridad y confidencialidad, ya no sólo para garantizar la privacidad del interesado sino por la propia fiabilidad del sistema que lo utilice para la identificación y autenticación de las partes o interesados.
A parte de los conceptos nuevos introducidos anteriormente señalados el RGPD hace referencia a determinados conceptos o figuras nuevas que merece la pena destacar y tener en consideración dichos conceptos son:
3) «limitación del tratamiento»: el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro;
4) «elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;
12) «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;
16) «establecimiento principal»:
17) «representante»: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27 (Representantes de responsables o encargados del tratamiento no establecidos en la Unión), represente al responsable o al encargado en lo que respecta a sus respectivas 0obligaciones en virtud del presente Reglamento;
18) «empresa»: persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica;
19) «grupo empresarial»: grupo constituido por una empresa que ejerce el control y sus empresas controladas;
20) «normas corporativas vinculantes»: las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta;
21) «autoridad de control»: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51 (Autoridad de Control);
22) «autoridad de control interesada»: la autoridad de control a la que afecta el tratamiento de datos personales debido a que:
al responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control;
23) «tratamiento transfronterizo»:
24) «objeción pertinente y motivada»: la objeción sobre la existencia o no de infracción del presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones previstas en relación con el responsable o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades fundamentales de los interesados y, en su caso, para la libre circulación de datos personales dentro de la Unión;