Navegaci贸n
RGPD > Art铆culo聽9. Tratamiento de categor铆as especiales de datos personales
Descargar PDF

Art铆culo聽9 RGPD. Tratamiento de categor铆as especiales de datos personales

Article 9 GDPR. Processing of special categories of personal data

1. Quedan prohibidos el tratamiento de datos personales que revelen el origen 茅tnico o racial, las opiniones pol铆ticas, las convicciones religiosas o filos贸ficas, o la afiliaci贸n sindical, y el tratamiento de datos gen茅ticos, datos biom茅tricos dirigidos a identificar de manera un铆voca a una persona f铆sica, datos relativos a la salud o datos relativos a la vida sexual o las orientaci贸n sexuales de una persona f铆sica.

1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.

Ley de Directrices y caso Considerandos

(51) Especial protecci贸n merecen los datos personales que, por su naturaleza, son particularmente sensibles en relaci贸n con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podr铆a entra帽ar importantes riesgos para los derechos y las libertades fundamentales. Debe incluirse entre tales datos personales los datos de car谩cter personal que revelen el origen racial o 茅tnico, entendi茅ndose que el uso del t茅rmino 芦origen racial禄 en el presente Reglamento no implica la aceptaci贸n por parte de la Uni贸n de teor铆as que traten de determinar la existencia de razas humanas separadas. El tratamiento de fotograf铆as no debe considerarse sistem谩ticamente tratamiento de categor铆as especiales de datos personales, pues 煤nicamente se encuentran comprendidas en la definici贸n de datos biom茅tricos cuando el hecho de ser tratadas con medios t茅cnicos espec铆ficos permita la identificaci贸n o la autenticaci贸n un铆vocas de una persona f铆sica. Tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones espec铆ficas contempladas en el presente Reglamento, habida cuenta de que los Estados miembros pueden establecer disposiciones espec铆ficas sobre protecci贸n de datos con objeto de adaptar la aplicaci贸n de las normas del presente Reglamento al cumplimiento de una obligaci贸n legal o al cumplimiento de una misi贸n realizada en inter茅s p煤blico o en el ejercicio de poderes p煤blicos conferidos al responsable del tratamiento. Adem谩s de los requisitos espec铆ficos de ese tratamiento, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma expl铆cita excepciones a la prohibici贸n general de tratamiento de esas categor铆as especiales de datos personales, entre otras cosas cuando el interesado d茅 su consentimiento expl铆cito o trat谩ndose de necesidades espec铆ficas, en particular cuando el tratamiento sea realizado en el marco de actividades leg铆timas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.

(51) Personal data which are, by their nature, particularly sensitive in relation to fundamental rights and freedoms merit specific protection as the context of their processing could create significant risks to the fundamental rights and freedoms. Those personal data should include personal data revealing racial or ethnic origin, whereby the use of the term 鈥榬acial origin鈥 in this Regulation does not imply an acceptance by the Union of theories which attempt to determine the existence of separate human races. The processing of photographs should not systematically be considered to be processing of special categories of personal data as they are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person. Such personal data should not be processed, unless processing is allowed in specific cases set out in this Regulation, taking into account that Member States law may lay down specific provisions on data protection in order to adapt the application of the rules of this Regulation for compliance with a legal obligation or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. In addition to the specific requirements for such processing, the general principles and other rules of this Regulation should apply, in particular as regards the conditions for lawful processing. Derogations from the general prohibition for processing such special categories of personal data should be explicitly provided, inter alia, where the data subject gives his or her explicit consent or in respect of specific needs in particular where the processing is carried out in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms.

2. El apartado聽1 no ser谩 de aplicaci贸n cuando concurra una de las circunstancias siguientes:

2. Paragraph 1 shall not apply if one of the following applies:

Considerandos

(52) Asimismo deben autorizarse excepciones a la prohibici贸n de tratar categor铆as especiales de datos personales cuando lo establezca el Derecho de la Uni贸n o de los Estados miembros y siempre que se den las garant铆as apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en inter茅s p煤blico, en particular el tratamiento de datos personales en el 谩mbito de la legislaci贸n laboral, la legislaci贸n sobre protecci贸n social, incluidas las pensiones y con fines de seguridad, supervisi贸n y alerta sanitaria, la prevenci贸n o control de enfermedades transmisibles y otras amenazas graves para la salud. Tal excepci贸n es posible para fines en el 谩mbito de la salud, incluidas la sanidad p煤blica y la gesti贸n de los servicios de asistencia sanitaria, especialmente con el fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el r茅gimen del seguro de enfermedad, o con fines de archivo en inter茅s p煤blico, fines de investigaci贸n cient铆fica e hist贸rica o fines estad铆sticos. Debe autorizarse asimismo a t铆tulo excepcional el tratamiento de dichos datos personales cuando sea necesario para la formulaci贸n, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial.

(52) Derogating from the prohibition on processing special categories of personal data should also be allowed when provided for in Union or Member State law and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where it is in the public interest to do so, in particular processing personal data in the field of employment law, social protection law including pensions and for health security, monitoring and alert purposes, the prevention or control of communicable diseases and other serious threats to health. Such a derogation may be made for health purposes, including public health and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. A derogation should also allow the processing of such personal data where necessary for the establishment, exercise or defence of legal claims, whether in court proceedings or in an administrative or out-of-court procedure.

(53) Las categor铆as especiales de datos personales que merecen mayor protecci贸n 煤nicamente deben tratarse con fines relacionados con la salud cuando sea necesario para lograr dichos fines en beneficio de las personas f铆sicas y de la sociedad en su conjunto, en particular en el contexto de la gesti贸n de los servicios y sistemas sanitarios o de protecci贸n social, incluido el tratamiento de esos datos por las autoridades gestoras de la sanidad y las autoridades sanitarias nacionales centrales con fines de control de calidad, gesti贸n de la informaci贸n y supervisi贸n general nacional y local del sistema sanitario o de protecci贸n social, y garant铆a de la continuidad de la asistencia sanitaria o la protecci贸n social y la asistencia sanitaria transfronteriza o fines de seguridad, supervisi贸n y alerta sanitaria, o con fines de archivo en inter茅s p煤blico, fines de investigaci贸n cient铆fica o hist贸rica o fines estad铆sticos, basados en el Derecho de la Uni贸n o del Estado miembro que ha de cumplir un objetivo de inter茅s p煤blico, as铆 como para estudios realizados en inter茅s p煤blico en el 谩mbito de la salud p煤blica. Por tanto, el presente Reglamento debe establecer condiciones armonizadas para el tratamiento de categor铆as especiales de datos personales relativos a la salud, en relaci贸n con necesidades espec铆ficas, en particular si el tratamiento de esos datos lo realizan, con fines relacionados con la salud, personas sujetas a la obligaci贸n legal de secreto profesional. El Derecho de la Uni贸n o de los Estados miembros debe establecer medidas espec铆ficas y adecuadas para proteger los derechos fundamentales y los datos personales de las personas f铆sicas. Los Estados miembros deben estar facultados para mantener o introducir otras condiciones, incluidas limitaciones, con respecto al tratamiento de datos gen茅ticos, datos biom茅tricos o datos relativos a la salud. No obstante, esto no ha de suponer un obst谩culo para la libre circulaci贸n de datos personales dentro de la Uni贸n cuando tales condiciones se apliquen al tratamiento transfronterizo de esos datos.

(53) Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole, in particular in the context of the management of health or social care services and systems, including processing by the management and central national health authorities of such data for the purpose of quality control, management information and the general national and local supervision of the health or social care system, and ensuring continuity of health or social care and cross-border healthcare or health security, monitoring and alert purposes, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, based on Union or Member State law which has to meet an objective of public interest, as well as for studies conducted in the public interest in the area of public health. Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy. Union or Member State law should provide for specific and suitable measures so as to protect the fundamental rights and the personal data of natural persons. Member States should be allowed to maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. However, this should not hamper the free flow of personal data within the Union when those conditions apply to cross-border processing of such data.

(54) El tratamiento de categor铆as especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de inter茅s p煤blico en el 谩mbito de la salud p煤blica. Ese tratamiento debe estar sujeto a medidas adecuadas y espec铆ficas a fin de proteger los derechos y libertades de las personas f铆sicas. En ese contexto, 芦salud p煤blica禄 debe interpretarse en la definici贸n del Reglamento (CE) n.o 1338/2008 del Parlamento Europeo y del Consejo [11], es decir, todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusi贸n de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposici贸n de asistencia sanitaria y el acceso universal a ella, as铆 como los gastos y la financiaci贸n de la asistencia sanitaria, y las causas de mortalidad. Este tratamiento de datos relativos a la salud por razones de inter茅s p煤blico no debe dar lugar a que terceros, como empresarios, compa帽铆as de seguros o entidades bancarias, traten los datos personales con otros fines.

(54) The processing of special categories of personal data may be necessary for reasons of public interest in the areas of public health without consent of the data subject. Such processing should be subject to suitable and specific measures so as to protect the rights and freedoms of natural persons. In that context, 鈥榩ublic health鈥 should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council聽[11], namely all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, health care needs, resources allocated to health care, the provision of, and universal access to, health care as well as health care expenditure and financing, and the causes of mortality. Such processing of data concerning health for reasons of public interest should not result in personal data being processed for other purposes by third parties such as employers or insurance and banking companies.

[11] Reglamento (CE) n.o 1338/2008 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2008, sobre estad铆sticas comunitarias de salud p煤blica y de salud y seguridad en el trabajo (DO L 354 de 31.12.2008, p. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

[11] Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work (OJ L 354, 31.12.2008, p. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

(55) Se realiza adem谩s por razones de inter茅s p煤blico el tratamiento de datos personales por las autoridades p煤blicas con el fin de alcanzar los objetivos, establecidos en el Derecho constitucional o en el Derecho internacional p煤blico, de asociaciones religiosas reconocidas oficialmente.

(55) Moreover, the processing of personal data by official authorities for the purpose of achieving the aims, laid down by constitutional law or by international public law, of officially recognised religious associations, is carried out on grounds of public interest.

(56) Si, en el marco de actividades electorales, el funcionamiento del sistema democr谩tico exige en un Estado miembro que los partidos pol铆ticos recopilen datos personales sobre las opiniones pol铆ticas de las personas, puede autorizarse el tratamiento de estos datos por razones de inter茅s p煤blico, siempre que se ofrezcan garant铆as adecuadas.

(56) Where in the course of electoral activities, the operation of the democratic system in a Member聽State requires that political parties compile personal data on people's political opinions, the processing of such data may be permitted for reasons of public interest, provided that appropriate safeguards are established.

a) el interesado dio su consentimiento expl铆cito para el tratamiento de dichos datos personales con uno o m谩s de los fines especificados, excepto cuando el Derecho de la Uni贸n o de los Estados miembros establezca que la prohibici贸n mencionada en el apartado聽1 no puede ser levantada por el interesado;

(a)聽the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union or Member聽State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject;

Comentario de expertos
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 9(2)(a) GDPR:

7.2.4 Obtain and record consent

Control

The organization should obtain and record consent from PII principals according to the documented processes.

Implementation guidance

The organization should obtain and record consent from PII principals in such a way that it can provide on request details of the consent provided (for example the time that consent was provided, the identification of the PII principal, and the consent statement).


para acceder al texto completo

Textos enlazados

b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos espec铆ficos del responsable del tratamiento o del interesado en el 谩mbito del Derecho laboral y de la seguridad y protecci贸n social, en la medida en que as铆 lo autorice el Derecho de la Uni贸n de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garant铆as adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

(b)聽processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law in so far as it is authorised by Union or Member State law or a collective agreement pursuant to Member聽State law providing for appropriate safeguards for the fundamental rights and the interests of the data subject;

Comentario de expertos
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona f铆sica, en el supuesto de que el interesado no est茅 capacitado, f铆sica o jur铆dicamente, para dar su consentimiento;

(c)聽processing is necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent;

Comentario de expertos
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

d) el tratamiento es efectuado, en el 谩mbito de sus actividades leg铆timas y con las debidas garant铆as, por una fundaci贸n, una asociaci贸n o cualquier otro organismo sin 谩nimo de lucro, cuya finalidad sea pol铆tica, filos贸fica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relaci贸n con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

(d)聽processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation, association or any other not-for-profit body with a political, philosophical, religious or trade union aim and on condition that the processing relates solely to the members or to former members of the body or to persons who have regular contact with it in connection with its purposes and that the personal data are not disclosed outside that body without the consent of the data subjects;

Comentario de expertos
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente p煤blicos;

(e)聽processing relates to personal data which are manifestly made public by the data subject;

Comentario de expertos

(EN) The European legislator introduced an exception 鈥 for special categories of personal data which are manifestly made public by a person 鈥 that seems completely logical at first glance. If a person willingly shares her/his data, it sounds reasonable to allow the processing of these data by third parties. On second thought, many questions come to mind. What does 鈥manifestly鈥 mean? When are data 鈥public鈥? How to determine if a person intended to make her/his data public?

The exception does not concern all special categories of data publicly available. It applies strictly to data that an individual personally disclosed. It must be a publication that results from a clear and voluntary decision from an individual to disclose information about her/him. It should not be an accidental, inadvertent, involuntary or unintentional disclosure. It should be the result of a free and deliberate decision. The individual must be fully conscious that s/he made her/his data public. Thus, it excludes leaked data, data accessible after a security breach or data shared unintentionally or by inadvertence…


para acceder al texto completo

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
Ley de Directrices y caso

f) el tratamiento es necesario para la formulaci贸n, el ejercicio o la defensa de reclamaciones o cuando los tribunales act煤en en ejercicio de su funci贸n judicial;

(f)聽processing is necessary for the establishment, exercise or defence of legal claims or whenever courts are acting in their judicial capacity;

Comentario de expertos
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

g) el tratamiento es necesario por razones de un inter茅s p煤blico esencial, sobre la base del Derecho de la Uni贸n o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protecci贸n de datos y establecer medidas adecuadas y espec铆ficas para proteger los intereses y derechos fundamentales del interesado;

(g)聽processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject;

Comentario de expertos
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluaci贸n de la capacidad laboral del trabajador, diagn贸stico m茅dico, prestaci贸n de asistencia o tratamiento de tipo sanitario o social, o gesti贸n de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Uni贸n o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garant铆as contempladas en el apartado聽3;

(h)聽processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services on the basis of Union or Member聽State law or pursuant to contract with a health professional and subject to the conditions and safeguards referred to in paragraph聽3;

Comentario de expertos
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
Ley de Directrices y caso

i) el tratamiento es necesario por razones de inter茅s p煤blico en el 谩mbito de la salud p煤blica, como la protecci贸n frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Uni贸n o de los Estados miembros que establezca medidas adecuadas y espec铆ficas para proteger los derechos y libertades del interesado, en particular el secreto profesional,

(i)聽processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union or Member聽State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy;

Comentario de expertos
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
Ley de Directrices y caso

j) el tratamiento es necesario con fines de archivo en inter茅s p煤blico, fines de investigaci贸n cient铆fica o hist贸rica o fines estad铆sticos, de conformidad con el art铆culo聽89, apartado聽1, sobre la base del Derecho de la Uni贸n o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protecci贸n de datos y establecer medidas adecuadas y espec铆ficas para proteger los intereses y derechos fundamentales del interesado.

(j)聽processing is necessary for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article聽89(1) based on Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject.

Comentario de expertos
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
Ley de Directrices y caso Textos enlazados

3. Los datos personales a que se refiere el apartado聽1 podr谩n tratarse a los fines citados en el apartado聽2, letra聽h), cuando su tratamiento sea realizado por un profesional sujeto a la obligaci贸n de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Uni贸n o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta tambi茅n a la obligaci贸n de secreto de acuerdo con el Derecho de la Uni贸n o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.

3. Personal data referred to in paragraph聽1 may be processed for the purposes referred to in point聽(h) of paragraph聽2 when those data are processed by or under the responsibility of a professional subject to the obligation of professional secrecy under Union or Member State law or rules established by national competent bodies or by another person also subject to an obligation of secrecy under Union or Member聽State law or rules established by national competent bodies.

4. Los Estados miembros podr谩n mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos gen茅ticos, datos biom茅tricos o datos relativos a la salud.

4. Member States may maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health.

Comentario de expertos ISO 27701 Considerandos Ley de Directrices y caso Deja un comentario
Comentario de expertos

(EN) Some personal data, because of their sensitive nature, belong to special categories in the General Data Protection Regulation. Processing data mentioned in one of these eight (8) categories poses indeed 鈥significant risks to the fundamental rights and freedoms鈥 of an individual (recital 51). Risks vary depending on the type of data involved. Paragraph one of article 9 enumerates all types of data covered, but they are not readily intelligible. A visual list, broken down into eight points, helps to clarify the scope of the provision and what data are considered 鈥special鈥 by the European regulation:

  1. data disclosing racial or ethnic origin;
  2. data divulging political opinions;
  3. data revealing religious or philosophical beliefs;
  4. data about trade union membership;
  5. genetic data;
  6. biometric data used to identify a person;
  7. data concerning health; and
  8. data relating to a person鈥檚 sex life or sexual orientation.


para acceder al texto completo

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 9 GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.


para acceder al texto completo

Considerandos

(51) Especial protecci贸n merecen los datos personales que, por su naturaleza, son particularmente sensibles en relaci贸n con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podr铆a entra帽ar importantes riesgos para los derechos y las libertades fundamentales. Debe incluirse entre tales datos personales los datos de car谩cter personal que revelen el origen racial o 茅tnico, entendi茅ndose que el uso del t茅rmino 芦origen racial禄 en el presente Reglamento no implica la aceptaci贸n por parte de la Uni贸n de teor铆as que traten de determinar la existencia de razas humanas separadas. El tratamiento de fotograf铆as no debe considerarse sistem谩ticamente tratamiento de categor铆as especiales de datos personales, pues 煤nicamente se encuentran comprendidas en la definici贸n de datos biom茅tricos cuando el hecho de ser tratadas con medios t茅cnicos espec铆ficos permita la identificaci贸n o la autenticaci贸n un铆vocas de una persona f铆sica. Tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones espec铆ficas contempladas en el presente Reglamento, habida cuenta de que los Estados miembros pueden establecer disposiciones espec铆ficas sobre protecci贸n de datos con objeto de adaptar la aplicaci贸n de las normas del presente Reglamento al cumplimiento de una obligaci贸n legal o al cumplimiento de una misi贸n realizada en inter茅s p煤blico o en el ejercicio de poderes p煤blicos conferidos al responsable del tratamiento. Adem谩s de los requisitos espec铆ficos de ese tratamiento, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma expl铆cita excepciones a la prohibici贸n general de tratamiento de esas categor铆as especiales de datos personales, entre otras cosas cuando el interesado d茅 su consentimiento expl铆cito o trat谩ndose de necesidades espec铆ficas, en particular cuando el tratamiento sea realizado en el marco de actividades leg铆timas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.

(51) Personal data which are, by their nature, particularly sensitive in relation to fundamental rights and freedoms merit specific protection as the context of their processing could create significant risks to the fundamental rights and freedoms. Those personal data should include personal data revealing racial or ethnic origin, whereby the use of the term 鈥榬acial origin鈥 in this Regulation does not imply an acceptance by the Union of theories which attempt to determine the existence of separate human races. The processing of photographs should not systematically be considered to be processing of special categories of personal data as they are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person. Such personal data should not be processed, unless processing is allowed in specific cases set out in this Regulation, taking into account that Member States law may lay down specific provisions on data protection in order to adapt the application of the rules of this Regulation for compliance with a legal obligation or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. In addition to the specific requirements for such processing, the general principles and other rules of this Regulation should apply, in particular as regards the conditions for lawful processing. Derogations from the general prohibition for processing such special categories of personal data should be explicitly provided, inter alia, where the data subject gives his or her explicit consent or in respect of specific needs in particular where the processing is carried out in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms.

(52) Asimismo deben autorizarse excepciones a la prohibici贸n de tratar categor铆as especiales de datos personales cuando lo establezca el Derecho de la Uni贸n o de los Estados miembros y siempre que se den las garant铆as apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en inter茅s p煤blico, en particular el tratamiento de datos personales en el 谩mbito de la legislaci贸n laboral, la legislaci贸n sobre protecci贸n social, incluidas las pensiones y con fines de seguridad, supervisi贸n y alerta sanitaria, la prevenci贸n o control de enfermedades transmisibles y otras amenazas graves para la salud. Tal excepci贸n es posible para fines en el 谩mbito de la salud, incluidas la sanidad p煤blica y la gesti贸n de los servicios de asistencia sanitaria, especialmente con el fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el r茅gimen del seguro de enfermedad, o con fines de archivo en inter茅s p煤blico, fines de investigaci贸n cient铆fica e hist贸rica o fines estad铆sticos. Debe autorizarse asimismo a t铆tulo excepcional el tratamiento de dichos datos personales cuando sea necesario para la formulaci贸n, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial.

(52) Derogating from the prohibition on processing special categories of personal data should also be allowed when provided for in Union or Member State law and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where it is in the public interest to do so, in particular processing personal data in the field of employment law, social protection law including pensions and for health security, monitoring and alert purposes, the prevention or control of communicable diseases and other serious threats to health. Such a derogation may be made for health purposes, including public health and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. A derogation should also allow the processing of such personal data where necessary for the establishment, exercise or defence of legal claims, whether in court proceedings or in an administrative or out-of-court procedure.

(53) Las categor铆as especiales de datos personales que merecen mayor protecci贸n 煤nicamente deben tratarse con fines relacionados con la salud cuando sea necesario para lograr dichos fines en beneficio de las personas f铆sicas y de la sociedad en su conjunto, en particular en el contexto de la gesti贸n de los servicios y sistemas sanitarios o de protecci贸n social, incluido el tratamiento de esos datos por las autoridades gestoras de la sanidad y las autoridades sanitarias nacionales centrales con fines de control de calidad, gesti贸n de la informaci贸n y supervisi贸n general nacional y local del sistema sanitario o de protecci贸n social, y garant铆a de la continuidad de la asistencia sanitaria o la protecci贸n social y la asistencia sanitaria transfronteriza o fines de seguridad, supervisi贸n y alerta sanitaria, o con fines de archivo en inter茅s p煤blico, fines de investigaci贸n cient铆fica o hist贸rica o fines estad铆sticos, basados en el Derecho de la Uni贸n o del Estado miembro que ha de cumplir un objetivo de inter茅s p煤blico, as铆 como para estudios realizados en inter茅s p煤blico en el 谩mbito de la salud p煤blica. Por tanto, el presente Reglamento debe establecer condiciones armonizadas para el tratamiento de categor铆as especiales de datos personales relativos a la salud, en relaci贸n con necesidades espec铆ficas, en particular si el tratamiento de esos datos lo realizan, con fines relacionados con la salud, personas sujetas a la obligaci贸n legal de secreto profesional. El Derecho de la Uni贸n o de los Estados miembros debe establecer medidas espec铆ficas y adecuadas para proteger los derechos fundamentales y los datos personales de las personas f铆sicas. Los Estados miembros deben estar facultados para mantener o introducir otras condiciones, incluidas limitaciones, con respecto al tratamiento de datos gen茅ticos, datos biom茅tricos o datos relativos a la salud. No obstante, esto no ha de suponer un obst谩culo para la libre circulaci贸n de datos personales dentro de la Uni贸n cuando tales condiciones se apliquen al tratamiento transfronterizo de esos datos.

(53) Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole, in particular in the context of the management of health or social care services and systems, including processing by the management and central national health authorities of such data for the purpose of quality control, management information and the general national and local supervision of the health or social care system, and ensuring continuity of health or social care and cross-border healthcare or health security, monitoring and alert purposes, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, based on Union or Member State law which has to meet an objective of public interest, as well as for studies conducted in the public interest in the area of public health. Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy. Union or Member State law should provide for specific and suitable measures so as to protect the fundamental rights and the personal data of natural persons. Member States should be allowed to maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. However, this should not hamper the free flow of personal data within the Union when those conditions apply to cross-border processing of such data.

(54) El tratamiento de categor铆as especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de inter茅s p煤blico en el 谩mbito de la salud p煤blica. Ese tratamiento debe estar sujeto a medidas adecuadas y espec铆ficas a fin de proteger los derechos y libertades de las personas f铆sicas. En ese contexto, 芦salud p煤blica禄 debe interpretarse en la definici贸n del Reglamento (CE) n.o 1338/2008 del Parlamento Europeo y del Consejo [11], es decir, todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusi贸n de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposici贸n de asistencia sanitaria y el acceso universal a ella, as铆 como los gastos y la financiaci贸n de la asistencia sanitaria, y las causas de mortalidad. Este tratamiento de datos relativos a la salud por razones de inter茅s p煤blico no debe dar lugar a que terceros, como empresarios, compa帽铆as de seguros o entidades bancarias, traten los datos personales con otros fines.

(54) The processing of special categories of personal data may be necessary for reasons of public interest in the areas of public health without consent of the data subject. Such processing should be subject to suitable and specific measures so as to protect the rights and freedoms of natural persons. In that context, 鈥榩ublic health鈥 should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council聽[11], namely all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, health care needs, resources allocated to health care, the provision of, and universal access to, health care as well as health care expenditure and financing, and the causes of mortality. Such processing of data concerning health for reasons of public interest should not result in personal data being processed for other purposes by third parties such as employers or insurance and banking companies.

[11] Reglamento (CE) n.o 1338/2008 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2008, sobre estad铆sticas comunitarias de salud p煤blica y de salud y seguridad en el trabajo (DO L 354 de 31.12.2008, p. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

[11] Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work (OJ L 354, 31.12.2008, p. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

(55) Se realiza adem谩s por razones de inter茅s p煤blico el tratamiento de datos personales por las autoridades p煤blicas con el fin de alcanzar los objetivos, establecidos en el Derecho constitucional o en el Derecho internacional p煤blico, de asociaciones religiosas reconocidas oficialmente.

(55) Moreover, the processing of personal data by official authorities for the purpose of achieving the aims, laid down by constitutional law or by international public law, of officially recognised religious associations, is carried out on grounds of public interest.

(56) Si, en el marco de actividades electorales, el funcionamiento del sistema democr谩tico exige en un Estado miembro que los partidos pol铆ticos recopilen datos personales sobre las opiniones pol铆ticas de las personas, puede autorizarse el tratamiento de estos datos por razones de inter茅s p煤blico, siempre que se ofrezcan garant铆as adecuadas.

(56) Where in the course of electoral activities, the operation of the democratic system in a Member聽State requires that political parties compile personal data on people's political opinions, the processing of such data may be permitted for reasons of public interest, provided that appropriate safeguards are established.

Ley de Directrices y caso Deja un comentario
[js-disqus]