Existen determinados datos que deber ser tratados cumpliendo con mayores exigencias. El tratamiento indebido de estos datos puede implicar perjudiciales consecuencias para sus titulares, por lo que la ley establece mayores requisitos para su tratamiento.
Entérate de cómo la nueva ley de datos personales regula estas categorías especiales de datos a continuación.
Contexto actual regulatorio v/s Nueva Ley de Datos Personales
La Ley 19.628 regulaba de forma general la protección a los datos personales, sin establecer regulaciones separadas para categorías especiales de datos, con excepción de los datos sensibles, para los cuales estableció fuentes de licitud especiales.
A continuación, presentamos una breve comparación de los cambios que introduce la nueva ley en relación con la Ley 19.628:
| Ley 19.628 | Nueva Ley de Datos Personales |
|---|---|
| Establece una definición de datos sensibles y se regulan las fuentes de licitud para el tratamiento de estos: se prohíbe su tratamiento salvo que la ley lo autorice, exista consentimiento del titular o sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares. No se regulan en profundidad otro tipo de datos personales especiales. | Se regula en profundidad los datos sensibles, datos sensibles de salud y perfil biológico, y datos biométricos. Además, se regula categorías nuevas de datos, como datos de niños, niñas y adolescentes; datos con fines históricos, estadísticos, científicos y de estudios o investigaciones; y datos de geolocalización. Se establece obligaciones de los responsables para el tratamiento de este tipo de datos. |
Categorías especiales
La nueva Ley de Datos Personales recoge en su Título II las categorías especiales de datos, dividiendo su regulación de la siguiente manera:
- Del tratamiento de los datos personales sensibles
- Del tratamiento de categorías especiales de datos personales
Datos Personales Sensibles
La nueva Ley define dichos datos como aquellos que se refieren a:
- Características físicas o morales de las personas.
- Hechos o circunstancias de la vida privada o intimidad de las personas.
Algunos ejemplos de datos sensibles de la nueva ley son los siguientes:
- Origen étnico o racial
- Afiliación política, sindical o gremial
- Situación socioeconómica
- Convicciones ideológicas o filosóficas
- Creencias religiosas
- Datos relativos a la salud y al perfil biológico humano
- Datos biométricos
- Información relativa a la vida sexual, a la orientación sexual y a la identidad de género.
La regla general para hacer tratamiento de datos sensibles es el consentimiento del titular. No obstante, la nueva ley permite tratar estos datos sin autorización del titular bajo ciertas causales expresamente establecidas, que incluyen: (i) que el tratamiento se base la existencia de un interés legítimo realizado por una persona jurídica de derecho público o de derecho privado que no persiga fines de lucro y se cumplan ciertas condiciones expresamente establecidas en la nueva ley; (ii) que el tratamiento sea indispensable su tratamiento para salvaguardar la vida, salud o integridad física o psíquica del titular o de otra persona o, que el titular se encuentre física o jurídicamente impedido de otorgar su consentimiento; (iii) que lo mandate la ley; entre otras.
Datos Personales Sensibles relativos a la Salud y al Perfil Biológico Humano
La nueva Ley no define datos de salud, pero los regula en forma especial, considerándolos como una especie de datos sensibles. También se refiere a los datos relativos al perfil biológico, y aunque no los define expresamente, sí enumera algunos ejemplos de este tipo de datos:
- Datos genéticos
- Datos proteómicos
- Datos metabólicos
De acuerdo la nueva ley, todos estos tipos de datos sensibles (de salud y relativos al perfil biológico humano) sólo pueden ser tratados con el consentimiento de los titulares y para los fines previstos por leyes especiales en materia sanitaria.
No obstante, la nueva ley establece fuentes de licitud especiales que permite tratar este tipo de dato sin el consentimiento del titular, tales como: (i) en caso de alerta sanitaria; (ii) cuando el tratamiento resulte indispensable para salvaguardar la vida o integridad física o psíquica del titular o de otra persona o, cuando el titular se encuentre física o jurídicamente impedido de otorgar su consentimiento; (iii) cuando el tratamiento de los datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia o un órgano administrativo; entre otras.
Datos Personales Sensibles de carácter Biométrico
La nueva Ley también considera a los datos biométricos como datos personales sensibles y los define como aquellos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona que permitan o confirmen la identificación única de ella, tales como la huella digital, el iris, los rasgos de la mano o faciales y la voz.
Solo puede hacerse tratamiento de estos datos con el consentimiento de los titulares y habiendo informado al titular sobre: a) la identificación del sistema biométrico usado; b) la finalidad específica para la cual los datos serán utilizados; c) el período durante el cual los datos serán utilizados, y d) la forma en que el titular puede ejercer sus derechos. No obstante, se podrá hacer tratamiento de estos datos sin consentimiento del titular en los mismos casos excepcionales contemplados para los datos de salud y perfil bilógico.
Infracciones ante incumplimiento en el tratamiento de Datos Personales Sensibles
La nueva Ley da una gran importancia al cuidado de los datos sensibles y por ello establece como infracción gravísima las siguientes conductas:
- Vulnerar el deber de secreto o confidencialidad sobre los datos personales sensibles.
- Tratar, comunicar o ceder, a sabiendas, datos personales sensibles en contravención a las normas de la ley.
Deber de reportar vulneraciones de seguridad de Datos Personales Sensibles a los titulares
El responsable tiene la obligación de notificar tanto a la Agencia como a los titulares de los datos si es que sufre una vulneración de seguridad que afecte datos sensibles.
Categorías especiales de Datos Personales
1. Datos personales relativos a los niños, niñas y adolescentes (Datos de NNA)
Con respecto a los datos de niños, niñas y adolescentes, la nueva ley establece que su tratamiento debe atender al interés superior de éstos y con respeto a su autonomía progresiva.
En cuanto a la base de licitud para el tratamiento de estos datos, la nueva ley hace una distinción:
- Datos personales de niños y niñas (datos de menores de catorce años): se requiere el consentimiento de los padres, representantes legales o quienes tengan a su cargo el cuidado personal del niño o niña, salvo que expresamente lo autorice o mandate la ley.
- Datos de adolescentes (mayores de catorce y menores de dieciocho años):
- Adolescentes mayores a 16 años: se podrá tratar sus de acuerdo a las normas de autorización previstas en la ley para los adultos.
- Adolescentes menores de 16 años: sólo se podrán tratar con el consentimiento otorgado por sus padres o representantes legales o quien tiene a su cargo el cuidado personal del menor, salvo que expresamente lo autorice o mandate la ley.
Frente a vulneraciones a las medidas de seguridad de datos de niños y niñas menores de 14 años, el responsable además de reportar a la Agencia debe reportar a los padres o representantes legales o por quien tiene a su cargo el cuidado personal del niño o niña, salvo que expresamente lo autorice o mandate la ley.
2. Datos personales con fines históricos, estadísticos, científicos y de estudios o investigaciones
En relación a este tipo de datos personales, la nueva ley establece que respecto de ellos existe una causal de interés legítimo que autoriza su tratamiento, cuando el tratamiento se realiza exclusivamente con fines históricos, estadísticos, científicos y para estudios o investigaciones, todos los cuales deben atender fines de interés público.
Para hacer tratamiento de datos personales con esas finalidades, el responsable de datos debe adoptar y acreditar que ha cumplido con todas las medidas de calidad y seguridad necesarias para resguardar que los datos se utilicen exclusivamente para tales fines.
Una vez cumplidas esas condiciones, el responsable podrá almacenar y utilizar los datos por un período indeterminado de tiempo y si desea efectuar publicaciones con los resultados y análisis obtenidos, debe anonimizar dichos datos.
Hay que hacer la prevención que este tipo de datos no son lo mismo que los “datos estadísticos”, definidos por la nueva ley como el «el dato que, en su origen, o como consecuencia de su tratamiento, no puede ser asociado a un titular identificado o identificable». Estos últimos no son datos personales, a diferencia de los datos personales con fines históricos, estadísticos, científicos y de estudios o investigaciones.
3. Datos de geolocalización
Si bien la nueva ley no los define, se establece respecto de ellos que el titular de datos deberá ser informado de manera clara, suficiente y oportuna:
- El tipo de datos de geolocalización que serán tratados.
- Finalidad y duración del tratamiento.
- Posibilidad de comunicación o cesión a un tercero para la prestación de un servicio con valor añadido.