Son un tipo de datos personales que, por su relevancia e importancia para la privacidad, deben ser tratados y almacenados con mayor cuidado y requisitos más estrictos. La información sensible es la que afecta a la intimidad del titular o aquella cuyo uso indebido puede generar discriminación.
Los datos que se consideran especialmente sensibles y están sujetos a unas condiciones de protección especiales son:
- Datos que revelen origen racial, étnico, opiniones políticas, convicciones religiosas o filosóficas
- Afiliación sindical
- Datos genéticos o biométricos
- Datos sobre salud
- Datos relativos a la orientación o la vida sexuales
- Comisión de infracciones penales o administrativas
Los datos sensibles están protegidos por el Derecho de la Unión Europea y sólo pueden ser tratados por las organizaciones si existen unas garantías específicas. Por regla general se prohíbe su tratamiento, tan solo está permitido cuando existe un consentimiento explícito por parte del interesado y para unas finalidades especificadas, y además se da alguna de las siguientes circunstancias:
- Cumplimiento de las obligaciones y ejercicio de derechos en los ámbitos del derecho laboral y de la seguridad y protección social.
- Protección de intereses vitales del interesado.
- Ámbito de fundaciones o asociaciones cuya finalidad sea política, filosófica, religiosa o sindical.
- Datos manifiestamente públicos.
- Formulación, ejercicio o defensa de reclamaciones, o tratamientos efectuados por tribunales en el ejercicio de su función judicial.
- Interés público en el ámbito de la salud pública.
- Fines de archivo e interés público, fines de investigación científica o histórica o fines estadísticos.
Las medidas de seguridad que se exigen en la regulación para poder ejercer el tratamiento de los datos sensibles son:
- Cifrado de los datos, tanto en su comunicación como en su almacenamiento.
- Registro de acceso a los datos, con el detalle de fecha y personas que accedieron a los mismos.
- Listas de personas autorizadas a acceder a los datos sensibles.
- Procedimiento seguro para ejercer su tratamiento.
La normativa que regula el uso y tratamiento de los datos sensibles está recogida en el Reglamento General de Protección de Datos (RGPD), vigente para toda la Unión Europea desde el 25 de mayo de 2018. Desde entonces, las compañías se han visto obligadas a adaptar sus procesos y sistemas para proteger la información sensible. A pesar de ello, han sido numerosos los casos de incumplimiento de la norma por parte de las organizaciones. España es uno de los países europeos que más sanciones ha recibido como consecuencia del incumplimiento del RGPD.
Una de las multas más cuantiosas fue la que se impuso a la aerolínea British Airways como consecuencia de una brecha de datos en la que los ciberdelincuentes se hicieron con información personal de unos 500.000 clientes. La multa ascendió a más de 200 millones de euros. La cadena de hoteles Marriott también fue multada con 23,8 millones de dólares por no proteger adecuadamente los datos sensibles, incluidas tarjetas de crédito, de 30 millones de clientes (sólo en Europa). El ciberataque se produjo en 2014, pero la multinacional hotelera no lo descubrió hasta cuatro años después, periodo durante el que se mantuvo activa la brecha de datos.
La todopoderosa Google tampoco se libra de las multas, ya que recibió una sanción de 50 millones de euros porque el regulador entendió que sus declaraciones de procesamiento de datos no eran fácilmente accesibles para los usuarios y, además, la recogida de datos de navegación por parte de la compañía no había recibido el consentimiento de sus visitantes.
También te interesa: datos personales – información personal, identidad digital, Agencia Española de Protección de Datos
