Données sensibles et catégories particulières de données : bonnet blanc et blanc bonnet ?

Datos sensibles y categorías especiales de datos: ¿seis de uno y media docena del otro?

Vigilancia Legal No. 43 – Enero de 2022

Datos sensibles y categorías especiales de datos: ¿seis de uno y media docena del otro?. Cuando se trata de datos relativos a la salud, a opiniones políticas o religiosas, la calificación que inmediatamente viene a la mente es la de “datos sensibles”., que requieren una protección especial en el sentido del Reglamento Europeo de Protección de Datos.

La CNIL también clasifica los datos sensibles en su sitio web como «categorías especiales de datos» reguladas por el RGPD.

¿Significa esto que estas dos nociones son lo mismo?

La cuestión es importante porque su interpretación conlleva la aplicación de una serie de disposiciones legales que vinculan al responsable del tratamiento de datos.

El RGPD especifica que “los datos personales que, por su naturaleza, son especialmente sensibles desde el punto de vista de las libertades y los derechos fundamentales merecen una protección específica, porque el contexto en el que se tratan podría generar riesgos significativos para estas libertades y derechos”.

Se ha identificado explícitamente una determinada cantidad de datos sensibles y su tratamiento está prohibido salvo las excepciones especificadas en el artículo 9 del RGPD.

Se trata de categorías especiales de datos que revelan el supuesto origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

Teniendo en cuenta los riesgos, en particular de discriminación, que plantea el tratamiento de dichos datos, el Reglamento europeo exige una mayor responsabilidad de los responsables del tratamiento de datos y un uso cuidadoso de los datos en cumplimiento de las excepciones previstas por la ley.

Se refieren principalmente a intereses públicos vitales o importantes, que tienen más probabilidades de justificar tal intrusión.

Cabe señalar que otros datos a veces también calificados como sensibles, pero no incluidos en la lista del artículo 9 del RGPD, también están sujetos a protección específica..

Así, el concepto de datos sensibles se considera a veces, por ejemplo en los documentos oficiales de las autoridades de protección de datos británicas y belgas, como si abarcara de manera informal un conjunto más amplio de datos cuyo tratamiento puede considerarse especialmente perjudicial para las personas afectadas.

Además de las categorías especiales de datos del artículo 9, los datos relativos a condenas e infracciones penales (artículo 10), pero también los datos de telecomunicaciones o los identificadores únicos también pueden estar sujetos a medidas de protección específicas, en el contexto del RGPD o la Directiva sobre privacidad electrónica.

El nombramiento de un DPO, el mantenimiento de un registro de operaciones de tratamiento y la realización de análisis de impacto se dirigen así tanto a las categorías especiales de datos del artículo 9 como a los datos judiciales del artículo 10 del RGPD (en caso de tratamiento a gran escala de estos datos).

Para evitar cualquier malentendido, se recomienda utilizar los términos del RGPD y hacer referencia bien a las categorías especiales de datos previstas en el artículo 9, bien a las demás disposiciones del RGPD que protegen otros datos específicos, y así identificar claramente los principios aplicables..

Incluso dentro de categorías especiales de datos, determinar qué cae dentro del alcance del RGPD a veces puede ser un desafío.

Así, si los resultados de un análisis médico entran sin discusión en la categoría de datos de salud, también podrían encontrarse allí otras informaciones menos obvias, independientemente del marco de los profesionales de la salud y de las vías de atención.

Por ejemplo, pensamos en los datos registrados por un reloj conectado, analizando la frecuencia cardíaca o posibles trastornos del sueño.

Por lo tanto, estos datos transmitidos y analizados en línea por un tercero están sujetos al estricto marco del artículo 9 del RGPD.

Es diferente si la información permanece almacenada en el terminal del usuario y sólo es accesible para él.

Además de la naturaleza de los datos, el elemento determinante es el contexto en el que estos datos serán tratados y la información que se deducirá de ellos.

Así, una fotografía puede revelar el color de piel de la persona fotografiada, y también constituir datos biométricos.

Un apellido puede utilizarse para inferir, con cierto grado de probabilidad, el origen étnico de la persona en cuestión.

Sin embargo, estos datos “brutos” no son categorías especiales de datos.

Dependiendo de las finalidades para las que sean tratados podrán llegar a serlo.

Se prohibirá un fichero que clasifique a las personas enumeradas nominalmente en función de su probable origen étnico (salvo la excepción prevista en el artículo 9 del RGPD), incluso si no se garantiza la exactitud de las deducciones.

De igual forma, el RGPD especifica que “el tratamiento de fotografías no debe considerarse sistemáticamente como tratamiento de categorías especiales de datos personales, dado que éstos solo entran en la definición de datos biométricos cuando se tratan mediante un método técnico específico que permite la identificación o autenticación unívoca de una persona física”.

Por tanto, el alcance de las disposiciones relativas a categorías especiales de datos es amplio y está sujeto a interpretación en función del contexto del tratamiento.

En caso de duda, el carácter discriminatorio de esta información y la finalidad perseguida son elementos útiles de valoración.

Y también

Francia:

El 30 de diciembre, el Consejo de Estado consideró infundado el recurso de Quadrature du Net y otros demandantes contra el decreto del 27 de marzo de 2020 relativo a la base de datos DataJust..

Esta base de datos permite el tratamiento de datos judiciales, incluidos datos sensibles, mediante un algoritmo, con el fin de facilitar la valoración de las indemnizaciones en materia de responsabilidad civil y administrativa.

El Consejo de Estado también rechazó, el 28 de enero, el recurso de Google LLC y Google Ireland Limited contra la decisión de la CNIL que había impuesto una multa de 100 millones de euros a la empresa en diciembre de 2020 por uso ilegal de cookies.

Esta decisión confirma la competencia de la CNIL para adoptar este tipo de sanciones contra empresas establecidas en otros países europeos y confirma el carácter proporcionado de las sanciones.

El Diario Oficial del 26 de diciembre de 2021 publicó un decreto que autoriza la creación de un archivo destinado a combatir el ransomware, denominado “MISP-PJ”.

Este archivo almacenará durante seis años los datos de las personas víctimas de ataques informáticos así como información técnica relativa al ataque y a su autor.

El Tribunal de Casación dictaminó en sentencia del 10 de noviembre que las pruebas obtenidas violando el derecho a la privacidad de un trabajador pueden, no obstante, conservarse ante el tribunal.

Aun cuando el trato que prevé la vigilancia de los trabajadores sin su conocimiento sea ilícito, corresponde al juez sopesar el derecho a la prueba y los derechos del trabajador y verificar caso por caso si se respeta la equidad del procedimiento.

Europa:

Google Analytics está en el punto de mira de varias autoridades de protección de datos:

  • Austria acaba de decidir que su uso no cumple los requisitos del RGPD en lo que respecta a los flujos de datos transfronterizos, tal y como especificó el Tribunal de Justicia de la Unión Europea en su sentencia Schrems II.
  • El Supervisor Europeo de Protección de Datos ha sancionado al Parlamento Europeo por la misma razón por transferir ilegalmente datos a Estados Unidos.
  • Países Bajos, que gestiona dos quejas sobre Google Analytics, advierte de que su uso podría ser ilegal y Noruega anunció el 26 de enero que también está investigando el asunto.

La cuestión de los traslados a Estados Unidos también está en el centro de la decisión del Tribunal Estatal de Múnich del 20 de enero. :Cuando un usuario descarga fuentes de Google, su dirección IP se transmite automáticamente a Estados Unidos.

El tribunal consideró ilegal esta cesión y concedió al demandante una indemnización de 100 euros.

La Autoridad Europea de Supervisión se pronunció el 20 de enero sobre un proyecto de reglamento sobre publicidad política.

En su opinión, recomienda prohibir totalmente el microtargeting en el marketing político, que tiene como objetivo influir en grupos específicos de votantes en función de su perfil en línea.

También aboga por restricciones en las categorías de datos que pueden utilizarse para tales fines de marketing.

El 27 de enero, la Comisión Europea y la red de autoridades nacionales de protección del consumidor enviaron una carta a WhatsApp exigiendo que la compañía informe más claramente a los usuarios sobre las condiciones de uso de sus datos..

Se solicita a la empresa que especifique los cambios realizados en sus condiciones generales, su política de protección de datos y que cumpla con la legislación europea.

El Instituto Europeo de Innovación y Tecnología (EIT) publicó el 20 de enero una herramienta diseñada para promover el uso de la inteligencia artificial por parte de las empresas europeas.

La "herramienta de madurez de la inteligencia artificial" debería permitir a las empresas evaluar su grado de preparación para el uso de la IA, de conformidad con el marco legal europeo.

El 15 de diciembre de 2021, la Comisión Europea lanzó un proyecto de consorcio para apoyar el desarrollo de tecnologías de próxima generación.

El consorcio, denominado "Alianza Europea para Datos Industriales, Edge y Nube", retoma el proyecto Gaia-X y también está abierto a empresas extranjeras, siempre que cumplan con los requisitos de seguridad europeos (propiedad intelectual, adquisiciones, información) y los objetivos clave de la Unión Europea en este ámbito.

El Comité Europeo de Protección de Datos adoptó en su sesión plenaria del 18 de enero unas directrices sobre el derecho de las personas a acceder a sus datos..

Para responder a las demandas de una interpretación uniforme de las normas relativas al uso de cookies, el Comité anuncia la creación de un grupo de trabajo sobre el tema.

El Tribunal de Justicia de la Unión Europea consideró en su sentencia del 25 de noviembre pasado que, en el contexto de un servicio de mensajería gratuito financiado mediante publicidad, Este tipo de publicidad mostrada automáticamente en el buzón de entrada de un correo electrónico puede considerarse un correo electrónico de prospección y, por lo tanto, está sujeta a la condición del consentimiento previo del usuario según lo previsto en la Directiva europea sobre privacidad electrónica.

La autoridad italiana de protección de datos ha impuesto a Enel Energia varias medidas correctivas y una multa de más de 26.000 euros. por el tratamiento ilícito de datos de millones de usuarios con fines de telemarketing.

La Autoridad Noruega de Protección de Datos ha multado a la Administración de Carreteras Públicas con 400.000 euros. por retención indebida de datos relativos a los pasos de peaje.

En Portugal, la autoridad de protección de datos multó a la ciudad de Lisboa con 1.250.000 euros por compartir datos personales y sensibles de manifestantes.s con terceros, incluidas las embajadas y los ministerios de Asuntos Exteriores de los países atacados por los manifestantes.

El Tribunal Administrativo Supremo de Baviera ha dictaminado que el requisito de que los estudiantes no vacunados presenten un certificado de prueba negativo El tratamiento de datos sensibles por razones de interés público relacionadas con la salud está justificado por el artículo 9(2)(i) del RGPD, que permite el tratamiento de datos sensibles por razones de interés público relacionadas con la salud.

Internacional :

La Conferencia de Autoridades Alemanas de Protección de Datos publicó un informe el 15 de noviembre que resume las conclusiones de un análisis realizado por SI Vladeck sobre la Marco jurídico para las medidas de vigilancia en Estados Unidos.

Contiene información útil sobre las condiciones de aplicación del derecho estadounidense a las empresas y filiales europeas. 

Siempre En Estados Unidos, cuatro fiscales generales acusan a Google de engañar a sus usuarios, continuando el seguimiento de aquellos que han cambiado sus preferencias de seguimiento y han rechazado la recopilación de sus datos.

Las demandas fueron presentadas por los estados de Texas, Washington, Indiana y el Distrito de Columbia.

Anne Christine Lacoste

Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.

Descubra Viqtor®
es_ESES
fr_FRFR en_USEN de_DE_formalDE elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL es_ESES