Categorías de datos personales en la normativa de protección de datos

¿Qué son los datos personales?

Según el apartado primero del artículo 4 del RGPD, se entenderá por datos personales:

«(...) toda información sobre una persona física identificada o identificable ("el interesado"); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».

Pues bien, de lo anterior podemos colegir que la referida definición consta de varios elementos diferenciados, que son:

a) Toda Información.

b) Sobre una persona física.

c) Identificada o identificable.

Sobre esta definición es sumamente aclaratorio el Dictamen 4/2007, de 20 de junio, sobre el concepto de datos personales del Grupo de Trabajo del artículo 29, que analiza de forma pormenorizada cada uno de ellos llegando a las siguientes conclusiones:

1. La expresión «toda información»:

«La expresión "toda información" utilizada en la Directiva indica claramente la voluntad del legislador de dar un sentido amplio al concepto "datos personales". Esta redacción exige una interpretación amplia. Desde el punto de vista de la naturaleza de la información, el concepto de datos personales incluye todo tipo de afirmaciones sobre una persona. Por consiguiente, abarca información "objetiva" como, por ejemplo, la presencia de determinada sustancia en su sangre, pero también informaciones, opiniones o evaluaciones "subjetivas". (...)

Desde el punto de vista del contenido de la información, el concepto de datos personales incluye todos aquellos datos que proporcionan información cualquiera que sea la clase de ésta. Por supuesto esto incluye la información personal considerada "datos sensibles" en el artículo 8 de la Directiva a causa de su naturaleza particularmente delicada, pero también otras categorías más generales de información. (...)

Desde el punto de vista del formato o el soporte en que la información está contenida, el concepto de datos personales incluye la información disponible en cualquier forma, alfabética, numérica, gráfica, fotográfica o sonora, por ejemplo. Desde este punto de vista, el concepto incluye la información conservada en papel, así como la información almacenada en una memoria de ordenador, utilizando un código binario, o en una cinta de video, por ejemplo».

2. Sobre una persona física:

«Este componente de la definición es crucial, ya que es muy importante determinar con precisión cuáles son las relaciones, los vínculos, que importan y cómo distinguirlos. De modo general, se puede considerar que la información versa "sobre" una persona cuando se refiere a ella. (...)

En algunas ocasiones, la información que proporcionan los datos se refiere no tanto a personas como a objetos. Esos objetos suelen pertenecer a alguien, o pueden estar bajo la influencia de una persona o ejercer una influencia sobre ella o pueden tener una cierta proximidad física o geográfica con personas o con otros objetos. En esos casos, sólo indirectamente puede considerarse que la información se refiere a esas personas u objetos».

3. Persona física identificada o identificable:

«De modo general, se puede considerar "identificada" a una persona física cuando, dentro de un grupo de personas, se la "distingue" de todos los demás miembros del grupo. Por consiguiente, la persona física es "identificable" cuando, aunque no se la haya identificado todavía, sea posible hacerlo (que es el significado del sufijo "ble"). Así pues, esta segunda alternativa es, en la práctica, la condición suficiente para considerar que la información entra en el ámbito de aplicación del tercer componente.

La identificación se logra normalmente a través de datos concretos que podemos llamar "identificadores" y que tienen una relación privilegiada y muy cercana con una determinada persona. Cabe citar como ejemplos su apariencia exterior, es decir su altura, el color del cabello, la ropa, etc. o una cualidad de la persona que no puede percibirse inmediatamente, como su profesión, el cargo que ocupa, su nombre, etc. La Directiva menciona esos "identificadores" en la definición de "datos personales" del artículo 2 cuando establece que "se declarará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social"».

La LOPDGDD regula las categorías de datos personales que siguen:

a) Tratamiento de datos por obligación legal, de interés público o ejercicio de poderes públicos (artículo 8 de la LOPDGDD).

b) Categorías especiales de datos (art. 9 de la LOPDGDD).

c) Tratamiento de datos de naturaleza penal (artículo 10 de la LOPDGDD).

Asimismo, el RGPD establece el tratamiento de la siguientes clases de datos:

a) Tratamiento de categorías especiales de datos personales (artículo 9 del RGPD).

b) Tratamiento de datos personales relativos a condenas e infracciones penales (artículo 10 del RGPD).

c) Tratamiento que no requieren identificación (artículo 11 del RGPD).