“Protección de Datos: Aclarando conceptos” Entrada 3 — Qué es un dato especialmente protegido y por qué cambia todo

 

“Protección de Datos: Aclarando conceptos”

Entrada 3 — Qué es un dato especialmente protegido y por qué cambia todo

1. Por qué este concepto necesita aclararse

En protección de datos, pocas categorías generan tanta confusión como los datos especialmente protegidos (o “categorías especiales” del artículo 9 del RGPD). Muchas organizaciones creen que:

• solo son “sensibles” los datos médicos,
• basta con tratarlos “con más cuidado”,
• o que solo importan cuando se recogen directamente del interesado.

Nada de esto es correcto.

Los datos especialmente protegidos no son una etiqueta emocional, sino una categoría jurídica que activa:

• prohibiciones de tratamiento,
• excepciones estrictas,
• garantías reforzadas,
• y obligaciones adicionales.

Comprender qué datos entran en esta categoría —y por qué— es esencial para evitar riesgos graves.

2. Qué son exactamente los datos especialmente protegidos

El RGPD define como categorías especiales los datos que revelan:

• origen étnico o racial,
• opiniones políticas,
• convicciones religiosas o filosóficas,
• afiliación sindical,
• datos genéticos,
• datos biométricos dirigidos a identificar de manera unívoca,
• datos relativos a la salud,
• datos relativos a la vida sexual o la orientación sexual.

Estos datos están prohibidos por defecto. Solo pueden tratarse si concurre una de las excepciones del artículo 9.2 (consentimiento explícito, interés público esencial, medicina, investigación, etc.).

3. El error más común: creer que solo importan los datos “directos”

Muchas empresas piensan que solo son datos especialmente protegidos cuando:

• se recogen explícitamente,
• se piden en un formulario,
• o se almacenan como tales.

Pero el RGPD es claro: también lo son los datos que permiten inferir estas categorías, aunque no se recojan directamente.

Ejemplos:

• un patrón de ausencias médicas puede revelar salud,
• un historial de donaciones puede revelar ideología,
• una geolocalización recurrente puede revelar afiliación religiosa,
• un análisis de voz puede generar datos biométricos.

Esto es crítico en IA, analítica avanzada y big data.

4. Qué implica que un dato sea especialmente protegido

Cuando un tratamiento incluye categorías especiales, la organización debe aplicar garantías reforzadas, entre ellas:

1) Base jurídica + excepción del artículo 9

No basta con una base jurídica del artículo 6. Debe existir una excepción válida del artículo 9.

2) Medidas de seguridad reforzadas

Incluye:

• cifrado,
• seudonimización,
• control de accesos estricto,
• trazabilidad completa,
• políticas de retención más estrictas.

3) DPIA obligatoria en la mayoría de casos

El tratamiento de datos especialmente protegidos suele activar la necesidad de una Evaluación de Impacto.

4) Limitación estricta de finalidades

No se pueden reutilizar para fines secundarios sin una nueva excepción válida.

5) Formación específica

Los equipos que acceden a estos datos deben recibir formación reforzada.

5. Señales de que una empresa está gestionando mal esta categoría

• Trata datos de salud sin excepción del artículo 9.
• Usa consentimiento “normal” en lugar de consentimiento explícito.
• No aplica medidas de seguridad reforzadas.
• No realiza DPIA cuando es obligatoria.
• No identifica datos inferidos como especialmente protegidos.
• Permite accesos amplios o no controlados.
• Reutiliza datos sensibles para finalidades no previstas.

6. Cómo identificar correctamente si un dato es especialmente protegido (modelo práctico)

Paso 1 — Pregunta directa

¿El dato pertenece a una de las categorías del artículo 9? → Si sí, es especialmente protegido.

Paso 2 — Pregunta indirecta

¿El dato permite inferir una de esas categorías? → Si sí, también es especialmente protegido.

Paso 3 — Pregunta contextual

¿El contexto convierte un dato neutro en sensible? Ejemplo:

• una dieta puede revelar religión,
• un horario puede revelar afiliación sindical.

→ Si sí, debe tratarse como dato especial.

7. Cierre: hacia la Entrada 4

Comprender qué es un dato especialmente protegido —y por qué activa obligaciones reforzadas— es esencial para gestionar el riesgo y evitar incumplimientos graves.

La Entrada 4 abordará otro concepto que se confunde constantemente:

Análisis de riesgos y DPIA: cuándo se hace cada uno, cómo se relacionan y por qué no son lo mismo.