Según el RGPD, los datos personales se definen como cualquier información identificable sobre una persona. Esto puede incluir información como el nombre, la dirección, la dirección de correo electrónico, la dirección IP, los datos biométricos y más de una persona.
El RGPD es la legislación de protección de datos de mayor alcance del mundo. Regula la recopilación, el almacenamiento y la destrucción de datos personales de todos los ciudadanos de la UE. Tampoco están exentas las organizaciones ubicadas geográficamente fuera de la UE. Esta normativa general abarca todos los datos personales de los ciudadanos de la UE.
Solo hay una área de confusión: ¿qué son exactamente los datos personales? ¿Y qué cubre el RGPD?
Al fin y al cabo, si no se obtiene el consentimiento explícito para la recopilación de datos personales, no cumplirá el RGPD. Eso puede dar lugar a multas de decenas de millones.
Aquí cubriremos la definición exacta de datos personales bajo el GDPR. Proporcionaremos algunos ejemplos y discutiremos las implicaciones de esta definición.
¿Qué son los datos personales?
De acuerdo con el RGPD, los datos personales se definen como:
«Por ‘datos personales’ se entiende cualquier información relativa a una persona física identificada o identificable (‘interesado’).
Si eso suena vago, es porque lo es.
El RGPD no especifica con precisión qué se considera datos personales. No hay una lista definitiva. Es puramente especulativo, basado en la interpretación del GDPR.
La norma aclara además que solo es aplicable cuando una persona puede ser identificada, directa o indirectamente, «por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física».
Esencialmente, todo sobre ellos. Presumiblemente, la legislación fue redactada intencionalmente vaga para incluir toda la gama de datos personales que podrían recopilarse. Pero sí hace que el incumplimiento del RGPD sea muy posible.
Ejemplos de datos personales en virtud del RGPD
Entender cuándo y dónde algo se considera datos personales es complicado. Para ayudar, aquí hay cinco escenarios posibles. ¿Puedes adivinar qué se considera datos personales para cada uno?
1. Tienes una taberna para perros y quieres expandirte en línea. Usted crea un sitio web que recopila información sobre direcciones de protocolo de Internet e identificadores de cookies. También mantienes un foro donde la gente habla de todo lo relacionado con los perros: su cuenta está vinculada a la raza de perro que poseen.
Respuesta: Aquí, las cookies son definitivamente datos personales. Por el contrario, la raza de perro puede no serlo, ya que no se puede utilizar para identificar a la persona en cuestión.
2. Diriges un sitio web de foros donde la gente debate de forma anónima sobre su política local. No se proporciona información sobre la localidad de una persona, su nombre, edad o profesión. Solo se enumeran sus opiniones políticas.
Respuesta: A pesar de que las opiniones políticas se dan de forma anónima, se siguen considerando datos personales. Por lo tanto, están sujetos al RGPD.
3. Trabajas para una empresa de encuestas en línea. Como parte de su encuesta, recopila información anónima sobre las opciones de compra de las personas. Las opciones de compra se guardan en una base de datos y se utilizan para evaluar las tendencias públicas.
Respuesta: Dado que la información de compra ya está anonimizada, el RGPD no es relevante en este caso. Inicialmente, aún será necesario obtener el consentimiento. Pero, posteriormente, no es necesario cumplir más con el RGPD, siempre que no se recopile más información.
4. Creas una aplicación que permite a los usuarios chatear con personas en su entorno inmediato. La aplicación recopila datos de ubicación y almacena la conversación incluso después de que una persona haya eliminado la aplicación.
Respuesta: Los datos de ubicación, el contenido de la conversación y cualquier otra información relacionada con su cuenta están cubiertos por el RGPD. Eso significa que el consentimiento y el cumplimiento son esenciales. Sin embargo, el GDPR también especifica que los datos personales solo deben conservarse durante el tiempo que sea necesario. Por lo tanto, es posible que no cumplas con el RGPD si conservas los datos mucho después de que alguien haya eliminado la aplicación.
5. Creas un sitio web que permite a las personas transformar las fotos de sus rostros. El sitio web le permite cargar la foto y luego descargar la imagen final. Sin embargo, si el usuario hace clic fuera de la página, el sitio web no recuerda las imágenes anteriores cargadas.
Respuesta: En circunstancias normales, una foto se considera un dato personal. En esta ocasión, sin embargo, como la foto se elimina automáticamente, el propietario del sitio no está regulado por el GDPR. El RGPD solo cubriría la información, como las cookies recopiladas.
Cómo las organizaciones pueden manejar los datos personales
Siguiendo el GDPR, es fundamental que las organizaciones manejen los datos personales con diligencia y cuidado. Las infracciones del RGPD pueden dar lugar a grandes multas o incluso a acciones legales.
Hay dos formas de evitarlo:
- Anonimización
- Seudonimización
La anonimización es ampliamente entendida por todos. Aquí, cualquier dato personal se elimina o encripta para evitar la fácil identificación de las personas involucradas. El cifrado es particularmente útil, ya que permite que los datos personales sean reemplazados por otros datos.
Eso permite que los datos personales se transfieran o utilicen fácilmente sin preocuparse significativamente por el impacto de una violación de datos.
La seudonimización funciona de manera similar. Permite sustituir los datos personales por «identificadores artificiales». Eso permite a las empresas analizar los datos recopilados sin correr el riesgo de una violación de datos y se mantiene dentro de los parámetros del consentimiento del usuario.
Estos son algunos ejemplos de seudonimización:
- Un nombre de usuario en un foro en línea (en lugar de su nombre legal)
- Una empresa que analiza las compras de los usuarios genera aleatoriamente seudónimos y datos de direcciones falsos
- En un ensayo clínico, a un sujeto se le asigna un «número de estudio» en lugar de su nombre
Conclusión
Ese es nuestro desglose completo de lo que se considera datos personales según el RGPD. Si tienes un negocio en línea o recopilas datos personales de forma rutinaria, es probable que te veas afectado por el RGPD. Por lo tanto, es importante conocer la legislación pertinente y cómo puede cumplirla.
Si cree que está afectado por GDPR, le recomendamos que lea el reglamento de 88 páginas .
Fuentes:
https://www.ucl.ac.uk/data-protection/guidance-staff-students-and-researchers/practical-data-protection-guidance-notices/anonymisation-and#Pseudonymisation
https://www.gdpreu.org/the-regulation/key-concepts/personal-data/
https://www.british-assessment.co.uk/insights/what-is-personal-data-under-gdpr/
https://www.itgovernance.eu/blog/en/the-gdpr-what-exactly-is-personal-data
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/what-is-personal-data/what-is-personal-data/
https://www.investopedia.com/terms/g/general-data-protection-regulation-gdpr.asp