Los datos personales se han vuelto cada vez más valiosos para las empresas que pueden utilizarlos para informar sus propias actividades y luego venderlos a anunciantes y otros terceros.

El RGPD estableció nuevos estándares para la protección de datos, limitando lo que las empresas podían hacer con los datos que procesaban.

Para ser cumplir con el RGPD, las organizaciones deben comprender si la información que procesan podría clasificarse como datos personales.

Datos Personales según el RGPD

Según el RGPD, se considera que los datos personales son cualquier información que se relacione con una persona que pueda ser identificada, ya sea directa o indirectamente. Ejemplos incluyen un número de cliente, dirección IP, número de teléfono o tarjeta de crédito, datos de ubicación o biométricos.

Los ejemplos anteriores son ejemplos relativamente sencillos de datos que pueden usarse para identificar a una persona. Sin embargo, hay otros tipos de datos, como nombres, etnia, género y afiliación política o religiosa, que podrían combinarse con otros datos (como una dirección, por ejemplo) para identificar a una persona. Estos tipos de datos hacen que una persona sea identificable y, por lo tanto, también entran en la definición de datos personales del RGPD.

Por ejemplo, un nombre como John Smith puede no ser un identificador único de una persona. Sin embargo, cuando se combina con su número de teléfono, está claro a qué John Smith se refiere.

Eso significa que la misma información podría clasificarse como datos personales por una organización pero no por otra. Por ejemplo, un título de trabajo por sí solo puede no ser un dato que identifique a una persona. Pero si también se recopila el nombre de la organización y solo hay una persona con ese título de trabajo en la organización, entonces significa que se podría identificar a la persona.

Entonces, cuando las organizaciones consideran si la información que procesan podría clasificarse como datos personales, deben considerar todas las formas en que la información podría usarse para identificar a esa persona.

A continuación se presentan algunos ejemplos para ayudarle a considerar qué datos podrían clasificarse como datos personales según el RGPD.

Qué SE considera datos personales:

• Nombres
• Fechas de nacimiento
• Direcciones físicas
• Números de teléfono
• Direcciones de correo electrónico
• Direcciones IP e identificadores de cookies
• Etiquetas de identificación por radiofrecuencia (RFID)
• Números de identificación, como números de licencia de conducir o pasaporte
• Datos de ubicación, como GPS
• Grabaciones de video/audio y fotografías
• Números de cuenta bancaria
• Datos de pago con tarjeta
• Antecedentes penales
• Registros médicos y datos de seguros
• Afiliaciones religiosas o políticas
• Datos étnicos
• Datos genéticos y biométricos
• Membresías sindicales
• Datos del empleador actual o anterior

Qué NO se considera datos personales:

• Datos relacionados con personas fallecidas
• Datos inexactos que no puedan identificarse a una persona
• Información sobre entidades legales

Datos Personales Sensibles según el RGPD

Según el RGPD, algunos datos personales se consideran sensibles y están sujetos a condiciones específicas de procesamiento. Por ejemplo, el procesamiento de estos datos puede ser necesario por razones relacionadas con reclamaciones legales o salud pública.

Los datos personales se consideran sensibles si revelan:

• origen racial o étnico
• opiniones políticas
• creencias religiosas o filosóficas
• la vida sexual u orientación sexual de una persona
• afiliación sindical
• datos genéticos o biométricos
• datos relacionados con la salud