Para que las empresas puedan tratar datos personales de cualquier colectivo, es necesario que determinen las finalidades de tratamiento y cuenten con alguna de las bases legales establecidas en el artículo 6 del RGPD.
Pero esto no opera siempre de igual forma ya que, en el apartado 1 del artículo 9 del RGPD, se establece la prohibición de tratar categorías especiales de datos. Dentro de estas categorías se incluyen datos que revelen el origen étnico o racial, las opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual o las orientaciones sexuales de una persona física. Estos datos son especialmente sensibles porque su uso inadecuado o la divulgación pueden causar discriminación, prejuicio o daño a la privacidad y dignidad de las personas.
Pero esta prohibición no será de aplicación si se da, entre otras, alguna de las siguientes excepciones:
- El interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros lo prohiba expresamente.
- El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social;
- El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
- El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;
- El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
- El tratamiento es necesario por razones de un interés público esencial.
Asimismo, el RGPD establece que los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud, como sucede específicamente en el caso español con la LOPDGDD, en su artículo 9 que, con el fin de evitar situaciones discriminatorias, establece que el consentimiento del titular del dato no es suficiente para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
En definitiva, todas estas garantías tienen su sentido por el elevado riesgo que supone para los titulares de los datos que las organizaciones traten dicha información relativa a su persona y, por eso también, al tratar categorías especiales de datos por parte de las organizaciones es importante que éstas verifiquen que no están obligadas a realizar una Evaluación de Impacto de la actividad de tratamiento en cuestión. La Evaluación de Impacto proporciona una visión detallada de la gestión de los riesgos relativos a la protección de datos que se realiza durante el ciclo de vida de los datos asociados a actividades de tratamiento que revisten un especial riesgo para los derechos y libertades de los interesados.
Además de todo lo anterior, debemos tener en cuenta otros aspectos de relevancia en la materia y que, por el tipo de datos tratados, es necesario poner especial atención, como puede ser la adopción de medidas de seguridad tendentes a minimizar los riesgos inherentes al tratamiento, el ejercicio de derechos por parte de los titulares de los datos, el bloqueo y cancelación segura de los datos, entre otros.
