¿Qué se considera un dato personal?

Una pregunta sencilla que genera más dudas de las que parece

Si preguntamos qué es un dato personal, la mayoría de las personas responderán rápidamente: el nombre, el DNI, el teléfono o el correo electrónico. Y tendrán razón.

Sin embargo, cuando trasladamos esta cuestión al día a día de una empresa, las dudas empiezan a aparecer:

  • ¿Una matrícula es un dato personal?
  • ¿Una dirección IP identifica a una persona?
  • ¿Una fotografía siempre es un dato personal?

  • ¿Los datos de un autónomo están protegidos por la normativa de protección de datos?

  • ¿Un número de empleado es un dato personal?

La respuesta en muchos casos es: depende.

Por eso es fundamental comprender qué entiende realmente la Normativa de Protección de Datos, por dato personal.

Definición

El artículo 4.1 del RGPD define el dato personal como:

Toda información sobre una persona física identificada o identificable”.

Esta definición es mucho más amplia de lo que muchas personas imaginan.

No se limita a los datos que identifican directamente a una persona, también incluye cualquier información que permita identificarla de forma indirecta.

Persona identificada o identificable

Una persona está identificada cuando conocemos directamente quién es.

Por ejemplo:

  • Nombre y apellidos.
  • DNI o NIE.
  • Número de pasaporte.
  • Correo electrónico nominativo.
  • Número de la Seguridad Social.

Pero una persona también puede ser identificable cuando, aunque no conozcamos su nombre, disponemos de información suficiente para averiguar quién es.

Por ejemplo:

  • Una matrícula de vehículo.
  • Una dirección IP.
  • Un identificador de cliente.
  • Un número de empleado.
  • Una ubicación GPS.
  • Una combinación de datos que permita distinguirla del resto.

Lo importante no es el dato por sí mismo, sino la posibilidad razonable de relacionarlo con una persona física concreta.

Más allá de los datos evidentes

Uno de los errores más frecuentes es pensar que solo son datos personales aquellos que contienen el nombre de alguien.

La realidad es mucho más amplia.

Datos identificativos

  • Nombre y apellidos.
  • DNI, NIE o pasaporte.
  • Firma.
  • Fotografía.
  • Voz grabada.
  • Correo electrónico.

Datos de contacto

  • Teléfono.
  • Dirección postal.
  • Correo electrónico profesional cuando identifica a una persona.

Datos de localización

  • Coordenadas GPS.
  • Direcciones IP.
  • Datos de geolocalización de dispositivos.

Datos económicos

  • Número de cuenta bancaria.
  • Información salarial.
  • Historial de pagos.
  • Datos fiscales.

Datos laborales

  • Número de empleado.
  • Evaluaciones de desempeño.
  • Horarios de trabajo.
  • Registros de acceso a instalaciones.

Datos digitales

  • Cookies identificativas.
  • Identificadores de dispositivos.
  • Nombres de usuario.
  • Historial de navegación asociado a una persona.

¿Y los datos de empresas?

Aquí existe una confusión muy habitual, pues El RGPD protege a las personas físicas, no a las personas jurídicas.

Por tanto:

  • La denominación social de una sociedad limitada no es un dato personal.
  • El CIF de una empresa no es un dato personal.

Sin embargo, cuando la información permite identificar a una persona física, sí puede existir protección.

Por ejemplo:

  • El correo juan.garcia@empresa.com.
  • El teléfono directo de un trabajador.
  • Los datos de un empresario individual o autónomo.

Los datos especialmente protegidos

Existen determinadas categorías de datos que reciben una protección reforzada. Entre ellas encontramos:

  • Datos de salud.
  • Datos biométricos utilizados para identificar a una persona.
  • Datos genéticos.
  • Opiniones políticas.
  • Creencias religiosas o filosóficas.
  • Afiliación sindical.
  • Datos sobre la vida sexual o la orientación sexual.
  • Datos relativos al origen racial o étnico.

Su tratamiento está sometido a requisitos más estrictos y, en muchos casos, para tratarlo se requiere de una habilitación específica prevista por la normativa.

La clave práctica: pensar en la persona

Cuando surja una duda, existe una pregunta muy útil:

¿Este dato permite identificar a una persona, directa o indirectamente, por sí solo o combinado con otra información disponible?

Si la respuesta es sí, o incluso existe una posibilidad razonable de que lo haga, lo más prudente es considerarlo un dato personal y aplicar las obligaciones previstas por la normativa de protección de datos.

Cualquier información que permita identificar o hacer identificable a una persona física puede estar protegida por el RGPD y comprender esta idea es el primer paso para aplicar correctamente la Normativa de protección de datos y evitar errores que, en muchas ocasiones, surgen precisamente por considerar que determinados datos «no parecen personales».

Porque en protección de datos, lo importante no es cómo se llama la información, sino si permite saber quién hay detrás de ella.

Business Adapter® te ayuda

Cualquier ente privado o público, trata datos personales para el desarrollo de su actividad, por tanto, como Responsable del tratamiento de esos datos, tiene el deber de aplicar todas aquellas medidas técnicas, organizativas y de resiliencia necesarias, para tratarlos de manera lícita y velar por su integridad, confidencialidad y disponibilidad en todo momento. En defintiva, cumplir con la Normativa de Protección de Datos.

En Business Adapter® ayudamos a empresas y profesionales a cumplir con la Normativa de Protección de Datos (RGPD, LOPDGDD y LSSI) y a implantar medidas reales de seguridad adaptadas a su actividad. Trabajamos en:

Si tienes dudas contacta a tu consultor de Business Adapter® para solicitarle asesoramiento personalizado.

Si no eres cliente y necesitas ayuda para cumplir con lo publicado, contáctanos en el email: info@businessadapter.es, también puedes llamar al 96 131 88 04, o deja tu mensaje en nuestro formulario:

Consúltanos, estaremos encantados de ayudarte
error: Content is protected !!