El RGPD de la UE solo se aplica a los datos personales, que es cualquier información relacionada con una persona identificable. Es fundamental que cualquier empresa con consumidores de la UE comprenda este concepto para cumplir con el RGPD.
El Reglamento General de Protección de Datos (GDPR) de la UE trata de lograr un equilibrio entre ser lo suficientemente fuerte como para brindar a las personas una protección clara y tangible y lo suficientemente flexible como para permitir los intereses legítimos de las empresas y el público. Como parte de este acto de equilibrio, el RGPD hace todo lo posible para definir qué son y qué no son datos personales.
Si su organización recopila, usa o almacena datos personales de personas en la UE, entonces debe cumplir con lasRequisitos de privacidad y seguridad del RGPDo cara grandemultas. (Si no está seguro de si su organización está sujeta al RGPD, lea nuestro artículo sobreempresas fuera de Europa.)
Artículo 4 del RGPD, el RGPD da la siguiente definición de “datos personales”:
'Datos personales' significa cualquier información relacionada con una persona física identificada o identificable ('sujeto de datos'); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física.
Además, el RGPD solo se aplica a los datos personales procesados de una de dos maneras:
- Datos personales procesados total o parcialmente por medios automatizados (o información en forma electrónica); y
- Datos personales procesados de manera no automatizada que forma parte de, o está destinado a formar parte de, un "sistema de archivo" (o registros escritos en un sistema de archivo manual).
Hay mucho que desglosar aquí, pero la primera línea de la definición contiene cuatro elementos que son la base para determinar si la información debe considerarse como datos personales:
- "cualquier información"
- "relativa a"
- “un identificado o identificable”
- "persona natural"
Estos cuatro elementos trabajan juntos para crear la definición de datos personales. Desglosaremos cada uno en los siguientes párrafos.
Persona natural
Este elemento es el más fácil de definir. Al usar "persona física", el RGPD dice que los datos sobre empresas, que a veces se consideran "personas jurídicas", no son datos personales. Una advertencia final es que este individuo debe servivo. Los datos relacionados con el difunto no se consideran datos personales en la mayoría de los casos según el RGPD.
Cualquier información
Este elemento es muy inclusivo. Incluye información "objetiva", como la altura de una persona, e información "subjetiva", como evaluaciones de empleo. Tampoco se limita a ningún formato en particular. Los datos de video, audio, numéricos, gráficos y fotográficos pueden contener datos personales. Por ejemplo, el dibujo de un niño de su familia que se realiza como parte de una evaluación psiquiátrica para determinar cómo se siente acerca de los diferentes miembros de su familia podría considerarse información personal, en la medida en que esta imagen revele información relacionada con el niño (su salud mental evaluada por un psiquiatra) y el comportamiento de sus padres.
Información inexacta
La información que se atribuye de manera inexacta a una persona específica, ya sea de hecho incorrecta o información que en realidad está relacionada con otra persona, aún se considera información personal en lo que respecta a esa persona específica. Si los datos son inexactos hasta el punto de que no se puede identificar a ninguna persona, entonces la información no es información personal. (por ejemplo, si se refiere a "el hombre que vive en 12 Mulberry Lane tuvo una fiesta anoche", cuando Mulberry Lane termina en el número 10, eso no es información personal).
Individuos identificables e identificadores
En su forma más básica, cada vez que diferencia a un individuo de los demás, está identificando a ese individuo. Cualquier individuo que pueda distinguirse de los demás se considera identificable.
Llamar a alguien por su nombre es la forma más común de identificar a alguien, pero a menudo depende del contexto. Hay millones de Roberts en el mundo, pero cuando dices el nombre “Robert”, generalmente estás tratando de llamar la atención de la persona a la que te enfrentas. Al agregar otro punto de datos al nombre (en este ejemplo, proximidad), tiene suficiente información para identificar a una persona específica. Estos puntos de datos son identificadores.
Mirando hacia atrás en la definición de GDPR, tenemos una lista de diferentes tipos de identificadores: “un nombre, un número de identificación, datos de ubicación, un identificador en línea.” También hay que hacer una mención especial a los datos biométricos, como las huellas dactilares, que también pueden funcionar como identificadores. Si bien la mayoría de estos son sencillos, los identificadores en línea son un poco más complicados. Afortunadamente, el RGPD proporciona varios ejemplos enconsiderando 30que incluye:
- direcciones de protocolo de Internet (IP);
- identificadores de cookies; y
- otros identificadores, como etiquetas de identificación por radiofrecuencia (RFID).
Estos identificadores se refieren a información relacionada con las herramientas, aplicaciones o dispositivos de una persona, como su computadora o teléfono inteligente. Lo anterior no es de ninguna manera una lista exhaustiva. Cualquier información que pueda identificar un dispositivo específico, como su huella digital, son identificadores.
Finalmente, hay "factores relacionados", que el RGPD enumera como "factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física.” Estos factores son características que están directamente relacionadas con un individuo específico que podría ayudarlo a identificarlo.
Identificar a un individuo directa e indirectamente
Un individuo es directamente identificable si puede identificarlo usando nada más que la información que posee. En el ejemplo anterior, al conocer su nombre y ubicación, pudo identificar directamente a Robert. Sin embargo, un nombre no siempre es necesario. Si no hubiera sabido el nombre de Robert, aún podría haberlo identificado a través de su proximidad y alguna combinación de factores físicos, como la altura y el color del cabello.
Hay más factores a considerar con la identificación indirecta. La identificación indirecta significa que no puede identificar a una persona solo a través de la información que está procesando, pero puede hacerlo utilizando otra información que posee o información que puederazonablementeacceso desde otra fuente. Un tercero que usa sus datos y los combina con información que puederazonablementeel acceso para identificar a un individuo es otra forma de identificación indirecta.
Un ejemplo fácil de información que podría usarse para identificar indirectamente a alguien es el número de placa de un individuo. La policía (un tercero) puede hacer coincidir rápidamente un nombre con un número de placa.
El calificador "razonablemente" es importante. Los métodos de identificación que no existen hoy en día podrían desarrollarse en el futuro, lo que significa que los datos almacenados durante períodos prolongados deben revisarse continuamente para asegurarse de que no puedan combinarse con nuevas tecnologías que permitan una identificación indirecta.
Cualquier información que pueda conducir a la identificación directa o indirecta de una persona probablemente se considerará información personal según el RGPD.
Datos personales que "se relacionan con" un individuo identificable
Aquí es importante considerar el contenido de los datos. La información que identifica a una persona, incluso sin un nombre adjunto, puede ser información personal si la está procesando para aprender algo sobre esa persona o si el procesamiento de esta información tendrá un impacto en esa persona. Los registros que contienen información que es claramente sobre un individuo específico se consideran "relacionados con" ese individuo, como su historial médico o antecedentes penales. Los registros que tienen información que describe las actividades de un individuo también pueden calificar, como un extracto bancario. Cualquier dato que se relacione con un individuo identificable es un dato personal.
Los datos que se utilizan para aprender o tomar decisiones sobre un individuo también son datos personales. Los registros sobre el uso de electricidad y agua se considerarían datos personales, ya que esta información se utiliza para determinar cuánto cobrar a una persona.
La información que, cuando se procesa, podría tener un impacto en un individuo, incluso si ese no fuera su objetivo principal, también se considera información personal. Por ejemplo, Uber rastrea a todos sus conductores para que pueda encontrar el automóvil disponible más cercano para asignarlo a una solicitud de Uber. Sin embargo, estos datos también podrían usarse para monitorear si los conductores de Uber siguen las reglas de tránsito y para medir su tasa de productividad. Este tratamiento de los datos debe estar sujeto a las normas de protección de datos.
Datos personales y finalidad del tratamiento
El RGPD exige que se tenga en cuenta cómo se utilizan los datos para tomar decisiones sobre personas específicas. Una parte de la información que no califica como datos personales para una organización podría convertirse en datos personales si una organización diferente tomara posesión de ellos en función del impacto que estos datos podrían tener en el individuo. Todo depende del motivo por el cual la organización está procesando los datos. Si una organización procesa datos con el único propósito de identificar a alguien, entonces los datos son, por definición, datos personales.
Dos ejemplos:
Primero, una foto de una calle en manos de un fotógrafo no es un dato personal, mientras que esa misma foto en manos de un investigador que está trabajando para identificar a las personas y vehículos que estaban presentes en esa calle en ese momento en particular se consideraría información personal para los individuos en cuestión.
En segundo lugar, las imágenes de videovigilancia o de seguridad cuyo único propósito sea utilizar para identificar a las personas cuando y donde las autoridades lo consideren adecuado deben considerarse como procesamiento de datos sobre personas identificables, incluso si, en algunos casos, las personas registradas no pueden ser identificadas.
Esta guía no es una lista exhaustiva, pero debería ayudarlo a comprender algunos de los conceptos para determinar si los datos que procesa su organización están sujetos a los requisitos del RGPD de la UE. Si necesita más ayuda con el cumplimiento de GDPR, diríjase a nuestroLista de verificación del RGPD, que puede ayudarlo a determinar si su organización está en el camino correcto.
Artículos Relacionados
Arte. 34 RGPD - Comunicación de una violación de datos personales al interesado
Arte. 50 RGPD - Cooperación internacional para la protección de datos personales
Arte. 10 RGPD - Tratamiento de datos personales relativos a condenas e infracciones penales
(Video) Protección de Datos Personales - Datos de las personas fallecidas
Deja una respuesta
FAQs
¿Qué es un dato personal según el RGPD? ›
Respuesta. Los datos personales son cualquier información relativa a una persona física viva identificada o identificable. Las distintas informaciones, que recopiladas pueden llevar a la identificación de una determinada persona, también constituyen datos de carácter personal.
¿Qué se considera como datos personales? ›Los datos personales son toda aquella información que pertenece a una persona física o jurídica colectiva que puede ser usada para identificarla directa o indirectamente.
¿Qué 3 categorías de datos personales hay en el RGPD? ›De acuerdo con algunas de las distinciones que se hacen en el propio RGPD, y de cara a llevar a cabo los diferentes tipos de tratamientos de datos personales de acuerdo con la normativa, podemos hablar de tres categorías de datos personales: de carácter general, de categorías especiales y de naturaleza penal.
¿Qué es RGPD y cuál es su función? ›El Reglamento General de Protección de Datos (RGPD) es el nuevo marco legal de la Unión Europea que rige la recopilación y el tratamiento de los datos personales de los usuarios.
¿Qué tipo de datos no están protegidos por el RGPD? ›Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos ...
¿Cuáles son los datos personales protegidos por la ley? ›Datos identificativos: dni-nie, nº pasaporte, dirección postal o electrónica, imagen, voz, nº Seguridad Social o Mutualidad, teléfono, fax, marcas físicas, nombre y dos apellidos, firma o huella, firma electrónica, tarjeta sanitaria.
¿Qué no se considera información personal? ›El tipo de dispositivo, el tipo de navegador, los detalles del complemento, la preferencia de idioma, la zona horaria, el tamaño de la pantalla son algunos ejemplos de datos que no son PII. Las empresas generalmente recopilan datos que no son PII para rastrear y comprender el comportamiento digital de sus consumidores.
¿Qué datos personales se consideran privados o confidenciales? ›Datos confidenciales
Su identidad: nombre, dirección, teléfono, mail, firma, claves de acceso, RFC, CURP, fecha de nacimiento, edad, nacionalidad, estado civil… Su trabajo: Institución o compañía donde labora, cargo, dirección, correo o compañía, teléfono del trabajo…
Los datos personales pueden, por ejemplo, incluir información sobre el nombre, la dirección, la dirección de correo electrónico, el número de identificación personal, el número de registro, la fotografía, las huellas dactilares, los diagnósticos, el material biológico , cuando sea posible identificar a una persona a partir de los datos o en combinación con otros datos
¿Cómo trata el RGPD la protección de datos personales? ›Algunos de los requisitos clave de privacidad y protección de datos del RGPD incluyen: Requerir el consentimiento de los sujetos para el procesamiento de datos . Anonimizar los datos recopilados para proteger la privacidad. Proporcionar notificaciones de violación de datos.
¿Qué tipos de datos personales están definidos en la Ley 1581 de 2012? ›
datos financieros y crediticios, dirección, teléfono, correo electrónico,).