GDPR 13. Tractament de categories especials de dades


Josep Aragonés Salvat     07/09/2016

Categories especials de dades


El Reglament estableix a l'article 9, les categories especials de dades referint-se a les dades sensibles que necessiten una especial protecció, ja sigui per la seva naturalesa o per la relació que puguin tenir amb els drets i les llibertats fonamentals de les persones i els aplica disposicions específiques quan el seu tractament pugui comportar alts riscos en la protecció de dades.

El GDPR estableix per defecte la prohibició del tractament d'aquestes categories de dades amb excepcions específiques per quan l'interessat hagi donat el seu consentiment explícit o en el marc d'activitats legítimes per determinades associacions o fundacions en que l'objectiu sigui permetre l'exercici de les llibertats fonamentals.

També determina que es podran tractar dades sensibles quan hi hagi un interès públic fonamentat en la legislació vigent de cada país de la UE, per exemple en l'àmbit laboral, protecció social, pensions, sanitat o altres amenaces greus per a la salut.

 

Prohibició per tractar categories especials de dades


El Reglament disposa expressament la prohibició de tractar dades que revelin:
 
  • Origen ètnic o racial.
  • Opinions polítiques.
  • Conviccions religioses o filosòfiques.
  • Afiliació sindical.
  • Dades genètiques
  • Dades biomètriques que permetin la identificació unívoca d'una persona.
  • Dades relatives a la salut.
  • Dades relatives a la vida i orientació sexuals.
 

Quan està permès tractar categories especials de dades


Com a excepció a la prohibició per defecte exposada en l'apartat anterior, el Reglament permet tractar categories especials de dades quan:
 
  • L'interessat hagi donat el seu consentiment explícit per a fins específics (excepte si està prohibit per la legislació vigent).
  • És necessari per protegir els interessos vitals de l'interessat, quan estigui incapacitat per donar el seu consentiment.
  • El tractament el realitza legítimament una organització sense ànim de lucre amb finalitat política, filosòfica, religiosa o sindical amb relació als seus fins.
  • L'interessat ha fet manifestament públiques les seves dades.

O quan el tractament estigui fonamentat en la legislació vigent:
 
  • Sota la responsabilitat de persones subjectes a l'obligació del secret professional.
  • Per a fins d'assistència sanitària o social, medicina preventiva o laboral o diagnòstic mèdic inclosa l'avaluació de la capacitat laboral del treballador.
  • Per procediments judicials.
  • És necessari per complir la legislació laboral, o la de seguretat o protecció social o la de convenis col·lectius.
  • És necessari per raons d'interès públic en l'àmbit de la salut pública o l'assistència sanitària.
  • És necessari per a fins d'arxiu en interès públic en investigacions científiques, històriques o estadístiques.
 

Obligacions quan es tracten categories especials de dades


Els Responsables o Encarregats que realitzin tractaments de categories especials de dades s'han d'atenir a les següents obligacions específiques que disposa el Reglament:
 
  • Elaboració de perfils (article 22, apartat 4)
Està prohibit el tractament basat en una elaboració de perfils que contempli la confecció de decisions individuals basades en un tractament automatitzat destinat a avaluar aspectes personals o analitzar o predir dades de salut, excepte si l'interessat ha donat el consentiment per a fins específics permesos per la legislació vigent o el tractament es realitza per a fins d'interès públic o sota la supervisió de poders públics, fonamentats en la legislació vigent.
 
  • Registre d'activitats (article 30, apartat 5)
Els Responsables o Encarregats que realitzin tractaments de categories especials de dades tindran l'obligació de portar un Registre de les activitats del tractament.
 
  • Avaluació d'impacte (article 35, apartat 3.b)
Els Responsables que realitzin tractaments a gran escala de categories especials de dades tindran l'obligació de realitzar una avaluació d'impacte relativa a la protecció de dades.
 
  • Delegat de protecció de dades, DPO (article 37, apartat 1.c)
Els Responsables o Encarregats que realitzin tractaments a gran escala de categories especials de dades tindran l'obligació de designar un DPO.

 

Què diu el GDPR



Considerant 51

Especial protecció mereixen les dades personals que, per la seva naturalesa, són particularment sensibles en relació amb els drets i les llibertats fonamentals, ja que el context del seu tractament podria comportar importants riscos per als drets i les llibertats fonamentals. S'ha d'incloure entre aquestes dades personals les dades de caràcter personal que revelin l'origen racial o ètnic, entenent-se que l'ús del terme «origen racial» en el present Reglament no implica l'acceptació per part de la Unió de teories que tractin de determinar l'existència de races humanes separades. El tractament de fotografies no s'ha de considerar sistemàticament tractament de categories especials de dades personals, ja que únicament es troben compreses en la definició de dades biomètriques quan el fet de ser tractades amb mitjans tècnics específics permeti la identificació o l'autenticació unívoques d'una persona física. Aquestes dades personals no han de ser tractades, llevat que es permeti el seu tractament en situacions específiques previstes en el present Reglament, tenint en compte que els Estats membres poden establir disposicions específiques sobre protecció de dades per tal d'adaptar l'aplicació de les normes del present Reglament al compliment d'una obligació legal o al compliment d'una missió realitzada en interès públic o en l'exercici de poders públics conferits al responsable del tractament. A més dels requisits específics d'aquest tractament, s'han d'aplicar els principis generals i altres normes del present Reglament, sobretot pel que fa a les condicions de licitud del tractament. S'han d'establir de manera explícita excepcions a la prohibició general de tractament d'aquestes categories especials de dades personals, entre altres coses quan l'interessat doni el seu consentiment explícit o si es tracta de necessitats específiques, en particular quan el tractament sigui realitzat en el marc d'activitats legítimes per determinades associacions o fundacions l'objectiu sigui permetre l'exercici de les llibertats fonamentals.


Considerant 52

Així mateix s'han d'autoritzar excepcions a la prohibició de tractar categories especials de dades personals quan ho estableixi el dret de la Unió o dels Estats membres i sempre que es donin les garanties apropiades, per tal de protegir dades personals i altres drets fonamentals, quan sigui en interès públic, en particular el tractament de dades personals en l'àmbit de la legislació laboral, la legislació sobre protecció social, incloses les pensions i amb fins de seguretat, supervisió i alerta sanitària, la prevenció o control de malalties transmissibles i altres amenaces greus per la salut. Tal excepció és possible per a fins en l'àmbit de la salut, incloses la sanitat pública i la gestió dels serveis d'assistència sanitària, especialment per tal de garantir la qualitat i la rendibilitat dels procediments utilitzats per resoldre les reclamacions de prestacions i de serveis en el règim de l'assegurança de malaltia, o amb fins d'arxiu en interès públic, fins d'investigació científica i històrica o finalitats estadístiques. S'ha d'autoritzar així mateix a títol excepcional el tractament d'aquestes dades personals quan sigui necessari per a la formulació, l'exercici o la defensa de reclamacions, ja sigui per un procediment judicial o un procediment administratiu o extrajudicial.


Considerant 54

El tractament de categories especials de dades personals, sense el consentiment de l'interessat, pot ser necessari per raons d'interès públic en l'àmbit de la salut pública. Aquest tractament ha d'estar subjecte a mesures adequades i específiques per tal de protegir els drets i llibertats de les persones físiques. En aquest context, «salut pública» s'ha d'interpretar en la definició del Reglament (CE) n.o 1338/2008 del Parlament Europeu i del Consell (1), és a dir, tots els elements relacionats amb la salut, concretament l'estat de salut, amb inclusió de la morbiditat i la discapacitat, els determinants que influeixen en aquest estat de salut, les necessitats d'assistència sanitària, els recursos assignats a l'assistència sanitària, la posada a disposició d'assistència sanitària i l'accés universal a ella, així com les despeses i el finançament de l'assistència sanitària, i les causes de mortalitat. Aquest tractament de dades relatives a la salut per raons d'interès públic no ha de donar lloc al fet que tercers, com a empresaris, companyies d'assegurances o entitats bancàries, tractin les dades personals amb altres fins.
 
 

Seguiment del curs Expert en el GDPR


Tema anterior: 12. La violació de la seguretat     Tema següent: 14. Tractament amb alt risc: L'avaluació d'impacte



Informació relacionada