El Reglamento General de Protección de Datos (RGPD), de aplicación directa en toda la Unión Europea a partir del 25 de mayo de 2018, diferencia entre datos personales y datos sensibles.
Antes de pasar a definir qué son los datos sensibles y cuáles pertenecen a esta categoría especial, recordamos la definición de los datos personales: “cualquier información relativa a una persona física identificada o identificable”.
El artículo 9 del RGPD indica que los DATOS SENSIBLES merecen una protección especial, bien por su naturaleza o bien por su relación con los derechos y libertades fundamentales de las personas. Serán datos sensibles los siguientes:
• Origen racial o étnico
• Opiniones políticas
• Creencias religiosas o filosóficas
• Afiliación sindical
• Datos genéticos
• Datos biométricos con el objetivo de identificar a alguien de manera única
• Datos relativos a la salud, orientación y/o vida sexual
Estos datos deben mantenerse separados del resto de datos personales, preferiblemente en un cajón cerrado o archivador. Al igual que ocurre con los datos personales, si se guardan en un ordenador el archivo debería estar encriptado y/o utilizar un seudónimo, además de contar el equipo informático con herramienta antivirus / antimalware.
El RGPD alienta el uso de la seudonimización porque enmascara los datos reemplazando la información identificada con identificadores artificiales. Tal y como indica el Reglamento, “el uso de la seudonimización en datos personales puede reducir el riesgo asociado a la gestión de datos y ayudar a los responsables y encargados del tratamiento a cumplir con sus obligaciones de protección de datos”.
Sin embargo, la seudonimización tiene límites, por lo que el RGPD menciona el uso del cifrado en ciertas ocasiones. Si los datos están cifrados y se produce una violación de seguridad, no sería necesario notificarlo a la Agencia Española de Protección de Datos (AEPD) ya que están debidamente protegidos y los hackers no podrían hacer uso de ellos, a priori.
Mientras la seudonimización permite a todo aquel con acceso a los datos ver parte de los mismos, el cifrado facilita el acceso a los usuarios con permiso para ello ver el conjunto completo de la información. La seudonimización y el cifrado pueden realizarse simultáneamente o por separado.