Legal

Los tres candados que una empresa debe poner sobre los datos especialmente protegidos

Sage

Dada su importancia, la ley de Protección de Datos asigna un estatus muy especial a una serie de datos que están especialmente protegidos y que en ningún caso pueden ser recogidos si no es de forma voluntaria. Hablamos de información como la ideología, afiliación sindical, origen racial, vida sexual o infracciones cometidas por referirse a cuestiones sumamente íntimas de las personas.

Estos datos, que están recogidos en el artículo 7 de la LOPD, son los que se denominan datos especialmente protegidos o «datos sensibles». Dado que tienen una especial influencia en los derechos fundamentales, la intimidad y las libertades públicas de los individuos, es vital que si una empresa trata con ellos establezca medidas de seguridad de nivel alto a fin de garantizar su seguridad.

Datos especialmente protegidos: ¿qué son?

No existe una definición del concepto como tal de dato especialmente protegido. No obstante, la LOPD si enumera los distintos tipos de datos que se engloban en dicha categoría. Se pueden dividir en tres bloques.

En primer lugar, datos que revelen la ideología, afiliación sindical, religión y creencias. Cuando se proceda a su recogida será preciso que se advierta sobre el derecho que se tiene a no facilitar este tipo de datos y, además, solo será posible con consentimiento expreso y por escrito del afectado.

En un segundo bloque, los datos que hagan referencia al origen racial, la salud y la vida sexual. En cuanto a estos datos, solo podrán ser recogidos, tratados y cedidos cuando exista una finalidad de interés general, lo disponga una ley o lo consienta el protagonista de forma expresa.

También existen excepciones. Por ejemplo, cuando exista una razón de prevención, prestación de asistencia sanitaria o tratamiento médico no hará falta el consentimiento siempre que el sujeto que trata los datos sea un profesional sanitario u otro sujeto al secreto profesional.

Como podemos ver, queda bastante acotado los supuestos en los que podemos recopilar información de este tipo. Además, destacar que queda totalmente prohibido crear un fichero que contenga algún tipo de datos de los de arriba comentados con la finalidad exclusiva de almacenar por almacenar.

Por último, también otorga un tratamiento especial a los datos relativos a las infracciones penales o administrativas. Aunque podemos afirmar que se consideran de un rango menor que los anteriores, solo pueden ser incluidos en ficheros que posean las Administraciones Públicas en determinados supuestos.

Reunir, tratar y ceder datos especialmente protegidos puede suponer multas de más de 60.000 euros.¡Tuitéalo!

¿Cómo protegerlos?

Los datos especialmente protegidos o «datos sensibles» son una categoría de datos que por su naturaleza requieren de una mayor protección. El responsable del fichero debe adoptar medidas de índole técnica y organizativas que garanticen la seguridad de los datos y eviten su modificación, pérdida o acceso no autorizado.

Existen tres niveles de seguridad diferentes: básico, medio y alto. Al ser acumulativos, se supone que cada nivel que se aumenta, ya incorpora las medidas dispuestas en el nivel inferior. Es decir, que un fichero con nivel alto incorporará medidas de nivel alto, medio y básico.

De esta forma, la aplicación de dichos niveles de seguridad a los datos especialmente protegidos se realiza de la siguiente forma:

  1. Respecto a los ficheros que contengan información de las infracciones penales o administrativas, deberán implantarse medidas de nivel medio.
  2. Los datos de ideología, afiliación sindical, religión, salud, vida sexual y origen racial deberán ser sujetos a medidas de seguridad nivel alto con carácter general.

En el segundo punto existen excepciones en las que basta con aplicar medidas de seguridad de nivel básico. Ejemplo de ello son los ficheros que contengan datos exclusivamente referentes al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

Lo mismo sucede cuando se trate de ficheros o tratamientos en los que de forma «incidental o accesario» contengan los datos del segundo punto sin pretenderlo. Es decir, imaginemos que en un currículum viene incluido un dato referente a la salud cuando la finalidad de la empresa es reunir currículum para cubrir una vacante.

Y la última excepción: cuando el fichero contenga datos de de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean miembros.

Infracciones y sanciones

No hacer un uso correcto de este tipo de datos puede ser consecutivo de una infracción y sancionado por la Agencia Española de Protección de Datos con multas de hasta 600.000 euros. Aunque el tipo de sanciones e infracciones son muy variadas (por ejemplo, no inscribir un fichero puede suponer una multa entre 60.101,21 y 300.506,25 euros), vamos a desatacar las relacionadas con los datos especialmente protegidos.

En ese caso, el hecho de reunir y tratar datos especialmente protegidos cuando no exista un consentimiento expreso por el afectado o no lo disponga una ley puede ser sancionable por la Agencia con multas desde los 300.000 euros hasta los 600.000 euros.

Igualmente, se considera infracción de carácter grave el no guardar secreto sobre los datos relativos a las infracciones administrativas o penales, servicios financieros, solvencia patrimonial, etc. así como otros datos de carácter personal que sean suficientes para evaluar la personalidad de su sujeto. En caso de caer en esta infracción se puede sancionar con multas de 60.000 a 300.000 euros.

Continuando con el deber de secreto, también se establece como infracción muy grave el no guardar secreto respecto a los datos que revelen ideología, afiliación sindical, religión y creencias, origen racial, salud y vida sexual. Dicha infracción es sancionable con multas entre 300.000 a 600.000 euros.