La información personal sensible, una categoría legal de información personal, debe almacenarse y tratarse de formas específicas en virtud de leyes como el Reglamento General de Protección de Datos (rgpd) y la Ley de Derechos de Privacidad de California(CPRA) debido a su vulnerabilidad.
Aunque la definición legal de información personal cambia según las distintas leyes de privacidad, se refiere a cualquier dato que pueda identificar directa o indirectamente a un individuo o un hogar.
La información sensible, sin embargo, puede determinar cosas como las opiniones de una persona, sus preferencias personales o detalles susceptibles adicionales que podrían dar lugar a fraude, robo de identidad u otros perjuicios si los datos se filtran, se vulneran o se ponen en peligro.
A continuación, conozca las diferencias entre información personal y sensible y cómo gestionar este tipo de recopilación de datos según las distintas leyes de privacidad que pueden afectar a su empresa.
Definición de información personal sensible
La información personal sensible, a veces denominada SPI, son datos sujetos a estrictas directrices de protección en virtud de leyes como rgpd y la CCPA, e incluyen detalles muy íntimos, como:
- Afiliaciones políticas
- Creencias religiosas
- Creencias filosóficas
- Raza o etnia
- Orientación sexual
- Datos sanitarios
- Datos biométricos
- Antecedentes penales
- Datos crediticios o financieros
- Información sindical y de afiliación
- Números de identificación personal (DNI): carné de conducir, seguridad social, tarjetas estatales de identidad, pasaportes
Algunas leyes establecen directrices más estrictas para la recogida, uso y almacenamiento seguro de este tipo de información debido a la naturaleza vulnerable de los datos.
Si los datos sensibles de los usuarios se ven comprometidos o vulnerados, podrían causar daños permanentes en la calidad de vida de la persona o afectar a su capacidad para realizar actividades cotidianas, por lo que es esencial seguir todas las directrices legales pertinentes si se manejan datos sensibles de los usuarios.
Diferencias entre información personal y sensible
Las diferencias entre información personal y sensible son sutiles, pero la SPI es técnicamente una categoría distinta de datos personales que usted debe tratar, almacenar y manejar de forma diferente en función de las leyes de privacidad aplicables.
En términos generales, la información personal se refiere a cualquier dato que pueda identificar directa o indirectamente a una persona u hogar.
La información personal puede incluir cualquiera de los siguientes datos:
- Nombres
- Direcciones de correo electrónico
- Direcciones postales
- Direcciones IP
- Números de teléfono
- Fechas de nacimiento
- Códigos postales
- Información sensible
Pero el SPI, por naturaleza, es más vulnerable que otros identificadores personales.
Algunos ejemplos de datos personales sensibles son:
- Las creencias de una persona
- Datos médicos y genéticos
- Antecedentes penales
- Opiniones
- Identidad sexual
- Carrera
- Otros detalles más íntimos
Si se filtra cualquiera de los dos tipos de datos, podría perjudicar a las personas afectadas, pero el acceso no autorizado a datos sensibles es especialmente dañino, ya que podría dar lugar a:
- Discriminación
- Acoso
- Robo de identidad
- Otros tipos de daños permanentes
Por lo tanto, las diferentes leyes de privacidad de datos dictan cómo pueden las empresas recopilar, almacenar y utilizar legalmente esa información delicada y conceden a los usuarios más derechos sobre esos datos.
Tipos y ejemplos de datos personales sensibles
Las leyes de privacidad de datos utilizan diferentes definiciones para los datos sensibles, por lo que hemos esbozado lo que es y lo que no es un ejemplo de información sensible basado en algunas de las piezas más significativas de la legislación, incluyendo la:
- Reglamento general de protección de datos (rgpd) - texto jurídico oficial
- Ley de Protección del Consumidor de California (CCPA) - texto jurídico oficial
- Ley de Protección de Datos de los Consumidores de Virginia (VCDPA) - texto jurídico oficial
- Ley australiana de protección de la intimidad de 1988 - texto jurídico oficial
¿Qué se considera información personal sensible?
Eche un vistazo a la siguiente tabla para ver una lista de ejemplos de datos personales sensibles y las leyes de privacidad pertinentes que los incluyen en su definición legal de SPI.
| Legislación aplicable en materia de protección de datos | Tipo de información personal sensible |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Es importante tener en cuenta que, en algunos casos, la información anterior sólo se considera sensible si va acompañada de otros datos personales, como el nombre completo de una persona o la información pertinente para proporcionar acceso a la cuenta de alguien.
Además, algunas leyes, como la rgpd, utilizan a propósito definiciones amplias para que el término pueda abarcar otros tipos de detalles que no figuran en la lista.
Por tanto, aunque la tabla anterior es un buen punto de partida, no es en absoluto exhaustiva: muchas otras leyes de protección de datos de todo el mundo afectan a la forma en que las empresas recopilan, almacenan y procesan los datos personales y los IPS.
¿Qué no se considera información personal sensible?
Dependiendo de las leyes de protección de la intimidad a las que se acoja, es posible que los siguientes datos no se consideren información personal sensible:
- Información de dominio público procedente de registros gubernamentales federales, estatales o locales.
- Información veraz obtenida legalmente que sea de interés público.
- Información que una empresa tiene motivos razonables para creer que ha sido puesta legalmente a disposición del público en general por el consumidor o por medios de comunicación de amplia difusión.
- Información facilitada por una persona a la que el consumidor ha revelado los datos si el consumidor no ha restringido esa información a un público específico.
Sin embargo, lo que se considera y lo que no se considera SPI puede cambiar de una ley a otra.
Por ejemplo, rgpd aclara que siempre considera determinados tipos de datos como SPI, pero concede seis casos específicos en los que esas categorías pueden ser tratadas por un responsable del tratamiento, entre los que se incluyen:
- Obtener el consentimiento explícito de los interesados antes de iniciar el seguimiento
- Cumplimiento de las obligaciones contractuales
- Obligaciones legales para el cumplimiento de la ley
- Para llevar a cabo intereses vitales y proteger o salvar la vida de alguien
- Por interés legítimo del responsable del tratamiento
- Para llevar a cabo tareas esenciales de interés público
Los matices de las leyes de privacidad de datos son sutiles pero importantes de entender, especialmente cuando se recopila información sensible.
Cómo aborda la legislación sobre privacidad la información sensible
En la siguiente sección, examinamos la definición técnica de información personal sensible según todas las leyes siguientes y le proporcionamos directrices para seguir cumpliendo cada una de ellas:
- Reglamento General de Protección de Datos (RGPD)
- Ley de Protección del Consumidor de California(CCPA) modificada por la Ley de Derechos de Privacidad de California(CPRA)
- Ley de Protección de la Privacidad en Línea de California(CalOPPA)
- Ley de Protección de Datos Personales y Documentos Electrónicos(PIPEDA)
- Leyes adicionales de todo el mundo
rgpd Definición de información sensible
Según rgpd, la información sensible es una categoría especial de datos personales, y para recopilarla y utilizarla legalmente es necesario demostrar una base legal para tratar este tipo de información.
La siguiente captura de pantalla muestra la definición legal de información personal sensible según artículo 9 de la ley.
En virtud de la rgpd, los siguientes datos se consideran información personal sensible:
- Raza o etnia
- Opiniones políticas
- Creencias religiosas o filosóficas
- Afiliación sindical
- Datos genéticos
- Datos biométricos
- Datos sanitarios
- Orientación sexual y vida sexual
Para tratar legalmente cualquier categoría especial de datos personales, las empresas deben demostrar uno de los siguientes fundamentos jurídicos:
- Ha obtenido el consentimiento explícito de los usuarios para tratar los datos con uno o varios fines específicos.
- El tratamiento es necesario para el cumplimiento de las obligaciones o el ejercicio de los derechos del responsable del tratamiento o del interesado en el contexto de la legislación laboral, de seguridad social y de protección social.
- El tratamiento de datos es necesario para proteger los intereses vitales del interesado o de la persona legalmente incapacitada para dar su consentimiento autónomo.
- El tratamiento es necesario para fundaciones, asociaciones o cualquier otro organismo sin ánimo de lucro con fines políticos, filosóficos, religiosos o sindicales, a condición de que se refiera únicamente a miembros o antiguos miembros y los datos no se divulguen fuera del organismo sin el consentimiento de los interesados.
- El tratamiento es necesario para establecer, ejercer o defender reclamaciones legales o cuando los tribunales actúan en capacidad judicial.
- El tratamiento de datos es necesario por motivos importantes de interés público o en virtud del Derecho de la Unión o de los Estados miembros, siempre que se salvaguarden los derechos fundamentales del interesado.
- El tratamiento de los datos es necesario para la medicina del trabajo preventiva, la evaluación de la capacidad laboral de un empleado, un diagnóstico médico, o existen disposiciones para la asistencia sanitaria o social y los tratamientos.
- El tratamiento de datos es necesario por razones de interés público en materia de salud pública, como las amenazas transfronterizas para la salud o la garantía de altos niveles de calidad y seguridad de la asistencia sanitaria y los medicamentos o dispositivos.
- El tratamiento de datos es necesario para fines de archivo en interés público, investigación científica o histórica, o fines estadísticos.
Para recopilar información personal sensible de los usuarios bajo la rgpd, también debe almacenar los datos de forma segura que se ajuste al artículo 32 de la ley, que recomienda las siguientes medidas técnicas:
- Seudonimización y cifrado de datos personales.
- Garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de procesamiento.
- Capacidad para restablecer rápidamente la disponibilidad y el acceso a los datos personales en caso de incidente.
- Crear un proceso de comprobación, valoración y evaluación periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento de datos.
Describa la base jurídica de por qué y cómo recopila categorías sensibles de datos y las medidas de seguridad aplicadas para protegerlos en distintas cláusulas de una política de privacidad conforme con rgpd.
Definición CCPA/CPRA de información sensible
Cuando la CPRA entró en vigor, modificó la CCPA y creó una definición legal específica para la información personal sensible, cambiando permanentemente la forma en que interpretamos la CCPA.
También creó nuevos derechos y obligaciones de los consumidores para las empresas que rastrean, almacenan y utilizan este tipo de datos.
Según la sección 1798.40 de la enmienda, por información personal sensible se entienden los datos que revelan:
- El número de la seguridad social, del permiso de conducir, de la tarjeta de identificación estatal o del pasaporte del consumidor.
- El número de acceso a una cuenta, cuenta financiera, tarjeta de débito o tarjeta de crédito de un consumidor en combinación con cualquier código de seguridad o de acceso, contraseña u otras credenciales necesarias para acceder a una cuenta.
- Geolocalización precisa
- Origen racial o étnico, creencias religiosas o filosóficas, o afiliación sindical
- Contenido del correo, correo electrónico y mensajes de texto del consumidor, a menos que la empresa sea la destinataria de las comunicaciones.
- Datos genéticos
- Tratamiento de datos biométricos para identificar a una persona
- Datos sanitarios
- Orientación sexual
En virtud de esta ley modificada, los consumidores tienen derecho a solicitar que no se venda o comparta su información personal sensible, como se indica en la sección 1798.121.
Para garantizar que los usuarios puedan ejercer este derecho a la intimidad, las empresas deben poner de forma clara y visible "No Vender Ni Compartir Mis Datos Personales"en la página de inicio de su sitio web o aplicación.
Si procesa información personal sensible, también necesita un enlace "Limitar el uso de mi información personal sensible", ya que los consumidores también tienen derecho a limitar el procesamiento de SPI en virtud de la CCPA modificada por la CPRA.
Pero la ley aclara que las empresas no necesitan incluir enlaces si se utilizan y siguen las señales de preferencia de exclusión voluntaria de los consumidores enviadas con su consentimiento por una plataforma, tecnología o mecanismo, como se muestra en la siguiente captura de pantalla.
Las plataformas, la tecnología y los mecanismos a los que se hace referencia en esta parte de la ley se refieren a la configuración del navegador, como el Control Global de la Privacidad(GPC), que avisa a los sitios web de las preferencias de consentimiento del usuario en cuanto entra en el sitio.
Cualquier información personal que recopile de los usuarios, incluida la SPI, debe estar recogida en una política de privacidad conforme a la CCPA que siga unas directrices específicas.
Definición de información sensible de la CCPA antes de las enmiendas a la CPRA
Antes de que la CPRA modificara la CCPA, no había distinción entre los datos personales normales y la información sensible.
Consulte la captura de pantalla siguiente para ver la definición legal original de información personal descrita en la sección 1798.140 de la CCPA.
El texto original de la ley enumeraba los siguientes detalles como ejemplos de datos personales:
- Nombres reales, alias, direcciones postales, identificadores personales únicos, identificadores en línea, direcciones de protocolo de Internet, direcciones de correo electrónico, nombres de cuentas, números de la seguridad social, números de carné de conducir, números de pasaporte u otros identificadores similares.
- Información comercial, registros de bienes personales, productos o servicios comprados, obtenidos, considerados u otros historiales y tendencias de compra y consumo.
- Información biométrica
- Actividad en Internet y redes electrónicas, información, historial de navegación, historial de búsqueda, información relativa a la interacción del consumidor con un sitio web, una aplicación o un anuncio.
- Datos de geolocalización
- Información sonora, electrónica, visual, térmica, olfativa o similar
- Información profesional o relacionada con el empleo
- Información sobre educación que no está a disposición del público
Ahora existe una categoría de información sensible, tiene una definición completa y está sujeta a requisitos más estrictos que los datos personales normales.
CalOPPA Definición de información sensible
Establecida en 2003, la CalOPPA es la ley original que obliga a los sitios web con visitantes de California a publicar políticas de privacidad, pero no tiene una categoría de información sensible.
CalOPPA definió originalmente la información personal identificable (PII ) en EE.UU. como cualquiera de los siguientes datos:
- Nombre y apellidos
- Domicilio u otra dirección física
- Dirección de correo electrónico
- Número de teléfono
- Número de la seguridad social
- Cualquier otro identificador que permita ponerse en contacto físico o en línea con una persona concreta.
- Información relativa a un usuario que el sitio web o el servicio en línea recopila y que puede identificar a una persona cuando se combina con un identificador descrito anteriormente.
En virtud de esta ley, las entidades que recopilan información de identificación personal deben publicar de forma visible una política de privacidad en la que se describa:
- Categorías de IIP recogidas y con quién se comparten
- Si existe un proceso para que los consumidores revisen o soliciten cambios en sus datos.
- Cómo informará a los consumidores de los cambios en la política de privacidad
- Una fecha de entrada en vigor claramente indicada
- Revelar cómo responde a las señales de "no rastrear" u otros mecanismos.
- Indique si otras partes pueden recopilar datos personales sobre las actividades en línea de una persona a lo largo del tiempo o en diferentes sitios web.
- Proporcione un hipervínculo claro y visible en la política de privacidad que explique los protocolos de solicitud "Do Not Track" que sigue
Pero la CCPA, modificada por la CPRA, amplía las obligaciones empresariales, los derechos de los consumidores y los protocolos técnicos esbozados originalmente en la CalOPPA, por lo que debe ser consciente de cómo las tres leyes pueden afectar al seguimiento y tratamiento de sus datos personales sensibles.
Definición de información sensible de la CDPA de Virginia
La Ley de Protección de Datos de los Consumidores de Virginia (VCDPA), una de las más recientes del Estado de EE.UU., establece legalmente dos categorías de información: datos personales y datos personales sensibles.
Los datos personales se definen en el artículo 59.1-571 de la CDPA como:
... cualquier información vinculada o razonablemente vinculable a una persona física identificada o identificable.
Pero excluye cualquier información desidentificada o públicamente disponible.
La ley también define una categoría distinta de información denominada datos sensibles, que engloba cualquier categoría de información que incluya:
- Origen racial o étnico
- Creencias religiosas
- Diagnóstico de salud mental o física
- Orientación sexual
- Ciudadanía o estatuto de inmigrante
- Tratamiento de datos biométricos o genéticos
- Cualquier dato recogido de un niño conocido
- Geolocalización precisa
En virtud de la VCDPA, los responsables del tratamiento de datos necesitan el consentimiento expreso del consumidor para tratar datos sensibles, que debe ser libre, informado e inequívoco, como se muestra en la siguiente captura de pantalla.
Definición de información sensible según la LPRPDE
En Canadá, la Ley de Protección de Datos Personales y Documentos Electrónicos (PIPEDA, por sus siglas en inglés) es una ley federal de privacidad de datos que impone restricciones a la forma en que las organizaciones recopilan y utilizan los datos personales, incluida la información sensible.
En 2022, la Oficina del Comisario de Privacidad de Canadá (OPC) publicó un Boletín de Interpretación sobre información sensible, en el que afirmaba que, en virtud de la LPRPDE, cualquier dato puede considerarse sensible en función del contexto, como se muestra en la siguiente captura de pantalla.
Aclara que los siguientes datos se consideran generalmente sensibles y requieren un mayor grado de seguridad y protección:
- Datos sanitarios
- Datos financieros
- Origen étnico o racial
- Opiniones políticas
- Datos genéticos
- Datos biométricos
- Orientación sexual
- Creencias religiosas
- Creencias filosóficas
Si recopila SPI y entra en el ámbito de aplicación de la LPRPDE, debe seguir los diez principios de información justa que establece la ley y tomar medidas adicionales para almacenar los datos de forma segura y adecuada.
Cómo definen otras leyes los datos personales sensibles
Existen leyes adicionales en todo el mundo que afectan a la recopilación y el uso de datos personales sensibles, por lo que hemos recopilado varias definiciones para usted en la siguiente tabla.
| Legislación sobre protección de datos | Definición de información personal sensible |
| Reglamento general de protección de datos (rgpd) |
|
| Ley de Derechos de Privacidad de California (CPRA) |
|
| Ley de Protección de los Consumidores de California (CCPA) |
|
| Ley de Protección de Datos de los Consumidores de Virginia (VCDPA) |
|
| Ley de Protección de Datos Personales y Documentos Electrónicos (PIPEDA) |
|
| Ley australiana de protección de la intimidad de 1988 |
|
| Ley de privacidad de Nueva Zelanda de 2020 |
|
| Ley china de protección de datos personales (PIPL) |
|
| México Ley Federal de Protección de Datos Personales en Posesión de los Particulares |
|
Aunque hay solapamientos en la forma en que las leyes definen la información sensible, cada una introduce identificadores, directrices y requisitos únicos que las empresas deben seguir para rastrearla, almacenarla y utilizarla.
Puede resultar abrumador, pero nosotros le cubrimos las espaldas.
FAQ sobre información personal sensible
Obtenga más información sobre la información personal confidencial consultando algunas de las preguntas más frecuentes que recibimos sobre este tema.
¿Cómo sé si recojo información personal sensible?
Puede saber si recopila información personal sensible comparando el tipo de datos personales de usuario que rastrea con las distintas definiciones legales de datos personales sensibles.
Ejemplos de información personal sensible pueden ser cualquiera de los siguientes:
- Raza o etnia
- Afiliaciones políticas
- Creencias religiosas o filosóficas
- Afiliación a sindicatos o asociaciones
- Datos sanitarios o genéticos
- Datos biométricos
- Orientación sexual
¿Cómo se utiliza la información personal sensible?
Las empresas utilizan información personal sensible para mejorar o crear una experiencia en línea más personalizada para los usuarios, obtener información sobre cómo interactúan los usuarios con un sitio o enviar anuncios dirigidos.
¿Cómo se recopila la información personal sensible?
Los sitios web o las aplicaciones recopilan información sensible a través de rastreadores de terceros, cookies, métodos de recopilación de datos de origen o cuando un usuario proporciona datos a través de elementos como un formulario de registro, un formulario de pago o un nuevo perfil de usuario.
¿Por qué es importante proteger la información personal sensible?
Proteger la información personal sensible de las filtraciones de datos es importante debido a la naturaleza de los datos: si caen en manos malintencionadas, podrían dar lugar a fraude, usurpación de identidad, difamación de personajes u otros tipos de perjuicios.
¿Cómo revelo que recopilo información personal sensible?
Puede revelar a los usuarios que recopila información personal sensible elaborando una política de privacidad exhaustiva y enlazándola a algún lugar visible, como un banner de consentimiento emergente y el pie de página de su sitio, para que los usuarios puedan leerla y decidir si la aceptan o no.
Para recopilar y utilizar estos datos sin dejar de cumplir leyes como rgpd, CalOPPA y la CPRA, su política de privacidad debe explicar:
- Si recopila o no información sensible
- Si comparte o vende la información sensible con terceros
- Cómo almacena o protege de forma segura la información confidencial que recopila
- Derechos de los usuarios sobre su información personal sensible
¿Cómo pueden los consumidores controlar su información personal sensible?
Dependiendo de las leyes que amparen a las personas, los consumidores pueden controlar su información personal sensible de las siguientes maneras:
- Acceder a las herramientas de consentimiento de los sitios web o navegadores y optar por que no se recojan (o se recojan) sus datos.
- Presentación de formularios de Solicitud de Acceso del Sujeto a los Datos (DSAR).
- Utilizando los enlaces "No Vender Ni Compartir Mis Datos Personales" y "Limitar el uso de mis datos personales sensibles" y enviando los formularios correspondientes.
Resumen
En virtud de leyes de protección de la intimidad como la CCPA y la rgpd, la información personal sensible es una categoría distinta de datos, y las empresas deben tratarla con salvaguardias adicionales.
Dependiendo de la ley de privacidad que se aplique, los usuarios tienen diferentes derechos sobre sus SPI en comparación con las categorías regulares de datos personales.
Dado que los datos sensibles incluyen detalles vulnerables como las creencias, la orientación sexual, las afiliaciones políticas o la raza de una persona, su exposición podría causar daños al usuario, entre otros:
- Discriminación
- Humillación
- Robo de identidad
- Fraude
- Difamación
Si recopila datos de los usuarios que entran en la categoría de SPI, tome medidas adicionales para garantizar que los datos se almacenan de forma segura y a salvo de posibles ciberdelitos.
Publique de forma visible una política de privacidad en su sitio web o aplicación en la que se describan los datos confidenciales que recopila, la base jurídica para ello y explique los derechos que tienen los usuarios sobre esos datos.
Más sobre el autor
Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido Responsable de Protección de Datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implementar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, PIPEDA, Directiva ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor
