El Reglamento establece en el artículo 9, las categorías especiales de datos refiriéndose a los datos sensibles que precisan una especial protección, ya sea por su naturaleza o por la relación que puedan tener con los derechos y las libertades fundamentales de las personas y les aplica disposiciones específicas cuando su tratamiento pueda entrañar altos riesgos en la protección de datos.
El GDPR establece por defecto la prohibición del tratamiento de estas categorías de datos con excepciones específicas para cuando el interesado haya dado su consentimiento explícito o en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.
También determina que se podrán tratar datos sensibles cuando exista un interés público fundamentado en la legislación vigente de cada país de la UE, por ejemplo en el ámbito laboral, protección social, pensiones, sanidad u otras amenazas graves para la salud.
El Reglamento dispone expresamente la prohibición de tratar datos que revelen:
Como excepción a la prohibición por defecto expuesta en el apartado anterior, el reglamento permite tratar categorías especiales de datos cuando:
O cuando el tratamiento esté fundamentado en la legislación vigente:
Los Responsables o Encargados que realicen tratamientos de categorías especiales de datos deberán atenerse a las siguientes obligaciones específicas que dispone el Reglamento:
Está prohibido el tratamiento basado en una elaboración de perfiles que contemple la confección de decisiones individuales basadas en un tratamiento automatizado destinado a evaluar aspectos personales o analizar o predecir datos de salud, excepto si el interesado ha dado su consentimiento para fines específicos permitidos por la legislación vigente o el tratamiento se realiza para fines de interés público o bajo la supervisión de poderes públicos, fundamentados en la legislación vigente.
Los Responsables o Encargados que realicen tratamientos de categorías especiales de datos tendrán la obligación de llevar un Registro de las actividades del tratamiento.
Los Responsables que realicen tratamientos a gran escala de categorías especiales de datos tendrán la obligación de realizar una evaluación de impacto relativa a la protección de datos.
Delegado de protección de datos, DPO (artículo 37, apartado 1.c)
Los Responsables o Encargados que realicen tratamientos a gran escala de categorías especiales de datos tendrán la obligación de designar un DPO.
Considerando 51
Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. Debe incluirse entre tales datos personales los datos de carácter personal que revelen el origen racial o étnico, entendiéndose que el uso del término «origen racial» en el presente Reglamento no implica la aceptación por parte de la Unión de teorías que traten de determinar la existencia de razas humanas separadas. El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física. Tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones específicas contempladas en el presente Reglamento, habida cuenta de que los Estados miembros pueden establecer disposiciones específicas sobre protección de datos con objeto de adaptar la aplicación de las normas del presente Reglamento al cumplimiento de una obligación legal o al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Además de los requisitos específicos de ese tratamiento, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.
Considerando 52
Asimismo deben autorizarse excepciones a la prohibición de tratar categorías especiales de datos personales cuando lo establezca el Derecho de la Unión o de los Estados miembros y siempre que se den las garantías apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interés público, en particular el tratamiento de datos personales en el ámbito de la legislación laboral, la legislación sobre protección social, incluidas las pensiones y con fines de seguridad, supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud. Tal excepción es posible para fines en el ámbito de la salud, incluidas la sanidad pública y la gestión de los servicios de asistencia sanitaria, especialmente con el fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad, o con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. Debe autorizarse asimismo a título excepcional el tratamiento de dichos datos personales cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial.
Considerando 54
El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. En ese contexto, «salud pública» debe interpretarse en la definición del Reglamento (CE) n.o 1338/2008 del Parlamento Europeo y del Consejo ( 1 ), es decir, todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad. Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.
Tema anterior: 12. La violación de seguridad Tema siguiente: 14. Tratamientos con alto riesgo: La evaluación de impacto