¿Qué son datos personales?
El artículo 4.1 del Reglamento (UE) 2016/679 (en adelante RGPD), define el concepto de datos personales como "toda información sobre una persona física identificada o identificable («el interesado»)". Es decir, toda información relativa a una persona física que la identifique o permita identificarla se considerará datos personales. Esto supone, por ejemplo, que el nombre, los apellidos, el Documento Nacional de Identidad (DNI), la dirección de correo electrónico, la dirección IP, u otra información, siempre que identifique o permita identificar a la persona física a la que se refiere, sea considerada como datos personales. Se trata, por tanto, de un concepto amplio con el que el legislador europeo quiere dejar claro que el objetivo es proteger a la persona física por lo que se refiere a las libertades y los derechos fundamentales.
No obstante, aunque la definición es muy amplia, no se trata de un concepto con un alcance absoluto. Al respecto, el Comité Europeo de Protección de Datos indicó en el Dictamen 4/2007 sobre el concepto de datos personales, que "un resultado no deseado sería el de terminar aplicando las normas de protección de datos a situaciones que, en principio, no deberían estar cubiertas por estas normas; y para las que no fueron concebidas por el legislador". Es decir, se trata de una cuestión de proporcionalidad en la aplicación de la normativa sobre protección de datos personales para garantizar a la persona física sus derechos y libertades fundamentales, evitando al mismo tiempo una aplicación de la normativa que "provoque una carga excesiva o incluso consecuencias absurdas", como ha manifestado el Comité Europeo de Protección de Datos en el Dictamen 4/2007.
Si los datos personales se refieren a una persona física, cabe entender que puede haber otra información que no sea considerada como tal, lo que va a determinar que no sea aplicable el RGPD. Así, en primer lugar, los datos anonimizados, siempre y cuando no sea posible reidentificar a la persona física a la que se refieren, no serán datos personales. Por el contrario, sí serán datos personales los pseudoniminzados, definiéndose la seudoannimización como "el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable" (art. 4.5 del RGPD).
Es decir, los datos seudo anonimizados y los cifrados siguen siendo datos personales. Por el contrario, tampoco serán datos personales los relativos a una persona jurídica, explicando al respecto el Considerando 14 del RGPD que este "no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto".
En relación con esto último, es necesario tener en consideración que sí son datos personales, como se desprende el artículo 19 de la LO 3/2018 de 5 Dic., de Protección de Datos Personales y garantía de los derechos digitales, (en adelante, LOPDGDD) los relativos a empresarios individuales y a los profesionales liberales que podrán tratarse sobre la base del interés legítimo, siempre y cuando no se haga para entablar una relación con los mismos fuera de dicha condición, es decir, cuando actúen en el tráfico jurídico como tales y no al margen de dicha condición. Es decir, si sus datos personales se tratan como personas físicas, será necesario cumplir con el RGPD y la LOPDGDD.
¿Qué componentes integran la definición de datos personales?
Al respecto, el Comité Europeo de Protección de Datos (en adelante CEPD) ha indicado en su Dictamen 4/2007, ya citado, que el concepto de datos personales tendría cuatro componentes, que son los relativos a 1) "toda información", 2) "sobre", 3) "identificada o identificable", y 4) "persona física").
En relación con el primer componente, que es el relativo a "toda información", el CEPD concluye que "sugiere una interpretación lata del concepto, independientemente de la naturaleza o del contenido de la información y del soporte técnico en el que se presente. Esto significa que tanto la información objetiva como la subjetiva sobre una persona, cualquiera que sea su amplitud, y con independencia del soporte técnico que la contenga, puede considerarse como «datos personales»".
Se trata de un componente muy amplio que incluye toda información relativa a una persona física, con independencia de que, por ejemplo, se trate de afirmaciones objetivas o subjetivas sobre una persona, su contenido o el formato de dicha información.
Por lo que se refiere al componente "sobre", el CEPD proporciona tres elementos alternativos - «contenido», «finalidad» o «resultado» - para determinar si la información versa «sobre» una persona física. Este componente abarca asimismo la información que puede tener claras repercusiones sobre la manera en que se trata o se valora a una persona". Es, por tanto, de que la información se refiera o sea relativa a una persona física.
Que (la persona física) sea "identificada o identificable" implica, que se deba prestar atención a las condiciones que deben darse para poder considerar a una persona como «identificable», y especialmente en «los medios que puedan ser razonablemente utilizados» por el responsable del tratamiento o por cualquier otra persona para identificar a dicha persona. También, al respecto, cabe tener en consideración que el artículo 4.1 del RGPD define a la persona física identificada o identificable ("el interesado"), como "toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona".
Y, por último, el componente relativo a que sea una "persona física" implica que "se centra en el requisito de que los «datos personales» se refieran a «seres vivos»", tal y como concluye el CEPD. Al respecto, cabe señalar que, aplicable al caso del RGPD, el CEPD ha señalado en relación con la información relativa a personas fallecidas que "no se debe considerar como datos personales sujetos a las normas de la Directiva, ya que los difuntos dejan de ser personas físicas para el Derecho civil. Sin embargo, en determinados casos los datos de los difuntos aún pueden recibir indirectamente una cierta protección." En el caso del nasciturus, es decir, el concebido pero no nacido, la aplicación de las normas de protección va a depender de lo que establezca el ordenamiento jurídico nacional. Y, de nuevo, cabe hacer referencia a que queda excluida la información relativa a personas jurídicas.
¿Qué tipos de datos personales se pueden distinguir?
En virtud de la naturaleza de los datos personales y de los requisitos aplicables según el caso, cabe distinguir entre datos personales y categorías especiales de datos personales, debiendo considerar también los datos personales relativos a condenas e infracciones penales. En cualquier caso, el tratamiento de datos personales, salvo excepciones, tendrá que cumplir con los requisitos exigibles en virtud de su naturaleza.
Las categorías especiales de datos, que son objeto, respectivamente, del artículo 9 del RGPD y del mismo artículo en la LOPDGDD, son las que se refieren "al origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física
Hay que tener en consideración que en el artículo 4 del RGPD se definen tres de estos datos personales.
En primer lugar, se entiende por datos genéticos los "datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona" (apartado 13).
En segundo lugar, por datos biométricos se entiende los "datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos" (apartado 14).
Y, por último, por datos relativos a la salud se entiende "datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud" (apartado 15).
El hecho de estar ante categorías especiales de datos implica, conforme al apartado 1 del artículo 9 del RGPD, que la norma general sea la de su prohibición de tratamiento, salvo que, como establece el apartado 2 del citado artículo, concurra alguna de las excepciones aplicables.
En particular en el caso de los datos biométricos es necesario tener en consideración, como explica el Considerando 51, que "el tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física." El CEPD, en el que se integró el Grupo de Trabajo del artículo 29, se ha pronunciado en varias ocasiones sobre los datos biométricos, pudiendo ser relevante al respecto su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas, WP 193, adoptado el 27 de abril de 2012, en el que concluye que los datos biométricos "requieren una atención específica porque identifican inequívocamente a los individuos utilizando sus características fisiológicas o de comportamiento únicas".
Por último, en el caso de "datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas", a los que el art. 27 LOPDGDD se refiere como "datos de naturaleza penal", especificando que quedan incluidos también los relativos a procedimientos y medidas conexas, siempre y cuando sean utilizados "para fines distintos de los de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales", su tratamiento queda también sujeto a requisitos específicos ya que su tratamiento, por una parte, "sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados" y, por otra parte, solo bajo el control de las autoridades públicas "podrá llevarse un registro completo de condenas penales" (art. 10 del RGPD). Al respecto, la LOPDGDD especifica que el tratamiento de estos datos podrá ser llevado "a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones".
Recuerde que...
- • Por datos personales se entiende "Toda información sobre una persona física identificada o identificable (el interesado)".
- • El legislador europeo quiso establecer un concepto amplio de datos personales, sin que la definición del RGPD suponga un concepto de alcance absoluto.
- • Atendiendo a la naturaleza de los datos personales, cabe distinguir las categorías especiales de datos y los datos personales relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas (datos de naturaleza penal).
- • En el tratamiento de categorías especiales o relativas a condenas e infracciones penales, deben observarse condiciones especiales.