¿Sabe a qué se están refiriendo cuando le solicitan información acerca de las categorías de datos personales RGPD que trata su empresa?
Esta petición de información suele realizarse a la hora de elaborar el Registro de Actividades de Tratamiento (RAT) o rellenar el contrato o acuerdo de tratamiento de datos como Encargado del Tratamiento.
En este artículo, analizaremos: (I) el concepto de “categorías de datos personales RGPD” y (II) ofreceremos un listado orientativo a falta de mayor regulación en el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) y en la Ley Orgánica 3/2108, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”).
¿Qué se entiende por categorías de datos personales RGPD?
No existe una definición de “categorías de datos personales” ni en el RGPD ni tan siquiera en la LOPDGDD.
Sin embargo, en números preceptos del RGPD, se obliga a las organizaciones a que identifiquen las “categorías de datos personales” a la hora de:
- Informar al interesado sobre el tratamiento de sus datos cuando los datos no han sido obtenidos directamente de él (art.14.1ºd – RGPD).
- Elaborar el RAT tanto en la posición de Responsable del Tratamiento como en la de Encargado de Tratamiento (art.30 RGPD).
- Elaborar el contrato o acuerdo de tratamiento de datos (el denominado, “contrato de Encargado de Tratamiento”). No obstante, en este caso, el precepto utiliza la palabra “tipo de datos personales” en vez de “categorías de datos personales” (art.28.3º RGPD).
- Elaborar normas corporativas vinculantes para realizar transferencias internacionales de datos seguras (art.47.2ºb – RGPD).
Listado orientativo de categorías de datos personales RGPD
Pero entonces, si no hay una definición exacta de “categorías personales de datos”, ¿cómo puede mi empresa cumplir con las obligaciones citadas?.
Dado que no hay un concepto jurídico determinado de categorías de datos personales RGPD, quedaría a discrecionalidad de la empresa realizar dicha categorización. En todo caso, le facilitamos unas pautas para realizar ese análisis:
▸ Aplicar el sentido común y aglutinar aquellos datos personales que, por sus características o circunstancias del tratamiento, guardan cierta similitud.
▸ Como orientación, y sin ánimo de ser limitativo ni exhaustivo, puede servirle de base el siguiente listado orientativo de categorías de datos personales RGPD:
- Identificativos: Nombre y apellidos; DNI / CIF / documento identificativo; Dirección; Correo electrónico; Teléfono; Fax; Nº de registro de personal; Nº seguridad social / mutualidad; Tarjeta sanitaria; Firma; Firma electrónica; Nombre de usuario; Huella; Imagen; Carné de conducir; Datos de geolocalización; Datos de tráfico de red de telecomunicaciones; Datos de navegación del usuario que pueden identificarle; Carné de Identidad; IP; Voz.
- Características personales: Sexo; Estado civil; Nacionalidad, Edad; Fecha y lugar de nacimiento; Lengua materna; Altura; Peso; Características antropométricas; Marcas físicas; Aptitudes; Comportamientos; Gustos y / o preferencias; Aficiones.
- Circunstancias familiares y sociales: Número de hijos; Edad de hijos; Permisos, licencias y autorizaciones; Filiación; Inscripciones en foros, clubes o asociaciones; Ayudas y subvenciones; Permiso de residencia.
- Detalles de empleo: Puesto / cargo; Categoría o grupo profesional; Departamento; Empresa; Datos no económicos de nómina; Datos de baja; Datos de contacto corporativos; Permiso de trabajo.
- Académicos y profesionales: Titulaciones; Formación; Experiencia profesional; Historial de estudiante; Datos de colegios profesionales.
- Judiciales y administrativos: Procedimientos administrativos; Reclamaciones y recursos; Sanciones; Registros; Solicitudes; Expediente o historial judicial; Procedimientos judiciales.
- De control de presencia: Fecha / hora entrada y salida; Motivo de ausencia; ID control de presencia.
- Económicos, financieros y de seguros: Ingresos; Rentas; Inversiones; Créditos; Préstamos; Avales; Deducciones impositivas; Baja de haberes correspondiente al puesto de trabajo anterior; Retenciones; Datos bancarios; Datos de actividad económica y solvencia; Bienes patrimoniales; Herencias; Impuestos; Planes de pensión y jubilación.
- Información comercial: Actividades y negocios; Licencias comerciales; Subscripciones a publicaciones o medios de comunicación; Creaciones artísticas, literarias, científicas o técnicas.
- Relativos a condenas e infracciones penales: certificado de antecedentes penales, certificado de delitos de naturaleza sexual, demandas y sentencias penales, etc.
- Categorías especiales: Origen étnico o racial; Opiniones políticas.; Convicciones religiosas o filosóficas; Afiliación sindical; Datos genéticos; Datos biométricos; Datos relativos a la salud; Datos relativos a la vida o la orientación sexual.
*NOTA: las categorías especiales de datos se encuentran regulados en el art.9 RGPD.
