Los datos especialmente protegidos o datos sensibles son los que revelan la ideología, la religión, las creencias, la afiliación sindical y la información que se refiere al origen racial, a la salud y a la vida sexual. Están regulados en el artículo 9.1 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD) y el artículo 9 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD).
Esta regulación establece un tipo diferente de consentimiento en función de la naturaleza de los datos sensibles que se quieran tratar. Así, se exige:
– Consentimiento expreso y por escrito en el caso del tratamiento de los datos que revelan la ideología, la religión, las creencias y la afiliación sindical. Además, cuando se recogen estos datos se ha de advertir al interesado de que no tiene la obligación de facilitarlos.
– Consentimiento expreso en el caso de los datos que se refieren al origen racial, a la salud y a la vida sexual. Estos datos también se pueden tratar cuando una ley, por razones de interés general, así lo establezca.
Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico o la vida sexual.
También se establecen los datos relativos a la comisión de infracciones penales o administrativas. En este caso, se determina que solo pueden ser incluidos en los ficheros de las administraciones públicas competentes en los casos previstos en las normas que los regulan.
¿Qué es exactamente el RGPD?
Tanto el RGPD como la LOPD establecen un conjunto de excepciones a la necesidad de obtener el consentimiento en el tratamiento de los datos especialmente protegidos. Debe ser efectuado por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta a una obligación equivalente al secreto cuando el tratamiento sea requerido para:
– La prevención o el diagnóstico médico.
– La prestación de asistencia sanitaria o tratamientos médicos.
– La gestión de servicios sanitarios.
También pueden ser objeto de tratamiento los datos sensibles cuando el procedimiento sea necesario para salvaguardar el interés vital de la persona afectada o de otra que se halle física o jurídicamente incapacitada para dar su consentimiento.
Ejemplo de modelo de consentimiento
El artículo 14 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (RLOPD) ha establecido un procedimiento para la obtención del consentimiento de la persona interesada.
Sin embargo, quedan exceptuados aquellos tratamientos para los que la legislación determina que se ha de obtener el consentimiento expreso para poder implementar la terapia. Se hallan en esta casuística, por ejemplo, los datos especialmente protegidos regulados en el artículo 9 de la LOPD.
Procedimiento
El responsable del fichero debe dirigirse al interesado e informarle de acuerdo con lo pautado en el artículo 5 de la LOPD.
Cuando se trate de responsables que presten un servicio a la persona afectada que genere información, ya sea periódica o reiterada, o facturación periódica, la comunicación se puede llevar a cabo de manera conjunta, siempre que se haga de forma claramente visible.
Se debe conceder al interesado un plazo de 30 días para poder manifestar su negativa. Es necesario que se le advierta de que si no se pronuncia en este plazo se entiende que está dando su consentimiento al tratamiento y, en su caso, también a la cesión o cesiones de las que se informa.
Se le proveerá al interesado de un medio sencillo y gratuito para manifestar su negativa al tratamiento de los datos. Por ejemplo, se pondrán a su disposición procedimientos en los que la negativa pueda efectuarse mediante un envío prefranqueado al responsable del tratamiento o mediante la llamada a un número telefónico gratuito de los servicios de atención al público que el responsable haya establecido.
El responsable del fichero debe utilizar un procedimiento que le permita conocer si la comunicación ha sido objeto de devolución. En ese caso, no podrá proceder al tratamiento.
El RLOPD también ha regulado un supuesto especial que hasta el momento había generado numerosos inconvenientes. Nos referimos a cómo obtener el consentimiento de la persona interesada en el marco de una relación contractual, para fines que no se relacionen directamente. Esta previsión será aplicable al supuesto regulado en el artículo 14 del RLOPD cuando la solicitud de consentimiento alude a diferentes fines, tratamientos o cesiones concernientes a datos especialmente protegidos. En tal caso, se debería permitir negarse de manera individualizada a cada tratamiento.
