Ir al contenido

Datos especialmente protegidos

Todos los datos de carácter personal deben recibir un tratamiento adecuado conforme a la normativa de protección de datos. Sin embargo, hay un tipo de datos especialmente protegidos que deben recibir más atención. Descubre si tu empresa recopila este tipo de información y qué particularidades tiene.
Blog / Datos especialmente protegidos
Publicado por Usercentrics
Tiempo de lectura 8 mins
Ene 29, 2025

¿Qué son los datos especialmente protegidos?

Los datos especialmente protegidos son un tipo de información personal que, debido a su naturaleza sensible, requiere un nivel de protección más alto según el RGPD (Reglamento General de Protección de Datos). Este tipo de datos delicados merecen una mención aparte, ya que pueden comprometer los derechos fundamentales de las personas con mayor gravedad. 

En esta categoría especial se incluyen datos como el origen racial, las creencias religiosas, información de salud o la orientación sexual, entre otros, que se puedan identificar con una persona física. Cualquier entidad que trate este tipo de información debe conocer la normativa y garantizar su cumplimiento.

El artículo 9 del Reglamento General de Protección de Datos hace referencia al tratamiento de categorías especiales de datos personales. En concreto expone los datos cuyo tratamiento queda prohibido y señala las circunstancias excepcionales en que pueden tratarse. A continuación exploraremos en profundidad este apartado del reglamento para conocer las exigencias de esta normativa para cualquier empresa que trate datos personales de ciudadanos de los estados miembros de la Unión Europea. 

Ejemplos de datos especialmente protegidos

Entre los datos sensibles que una empresa puede recopilar se encuentran los relacionados con estos ámbitos:

  • Origen étnico o racial
  • Opiniones políticas
  • Convicciones religiosas
  • Afiliaciones sindicales
  • Datos genéticos o biométricos
  • Historial de salud
  • Orientación sexual

Por ejemplo, una clínica que cuenta con el historial médico de sus pacientes, debe tener en cuenta que trata datos especialmente protegidos. También es posible que los profesionales de Recursos Humanos de una empresa tengan acceso a datos de salud para gestionar bajas laborales u otros asuntos.

No es necesario que la organización esté vinculada a un sector específico, ya que incluso los datos biométricos son de carácter sensible y pueden ser utilizados por cualquier tipo de empresa. Por ejemplo, si los empleados deben acceder usando el iris, o los usuarios de una app utilizan su huella dactilar para acceder, entonces se trata de datos especialmente protegidos.

Comprueba en qué medida cumples con la normativa de protección de datos y evita multas con la CMP de Usercentrics.

Probar Usercentrics Web CMP

¿Cómo proteger los datos especialmente protegidos?

En principio, el tratamiento de datos especialmente protegidos no está permitido, salvo que se cumplan ciertas excepciones. El RGPD establece algunas excepciones a la prohibición, como el consentimiento explícito del interesado, el cumplimiento de obligaciones legales en el ámbito laboral o la protección de intereses vitales del interesado. 

Si se recopilan estos datos por razón justificada, se deben aplicar medidas de seguridad adicionales para protegerlos, ya que su naturaleza sensible puede generar riesgos para los derechos y libertades de las personas.

Evaluación de impacto en la protección de datos (EIPD)

Una EIPD (o DPIA, por sus siglas en inglés) es una forma sistemática de analizar cómo se recopilan y tratan los datos personales, de forma que se puedan detectar posibles problemas. 

El RGPD en su artículo 35 exige una evaluación de impacto antes de iniciar cualquier proyecto que probablemente implique un alto riesgo para los derechos y libertades. Así, se pueden identificar y minimizar todo lo posible.

Estos son los cuatro puntos que debe incluir la evaluación:

  • Operaciones de tratamiento previstas, fines e interés legítimo si procede
  • Evaluación de la necesidad y proporcionalidad de las operaciones respecto al fin
  • Análisis de riesgos potenciales para derechos y libertades
  • Medidas para afrontar posibles amenazas sobre los datos

Las empresas tienen la obligación de realizar estas evaluaciones y deberán poder demostrar su conformidad.

Designación de un Delegado de Protección de Datos (DPO)

Un DPO es un experto independiente (tanto si pertenece a la empresa como si es un profesional contratado para realizar los servicios) que ayuda a las organizaciones a cumplir con las leyes de protección de datos. Tiene un profundo conocimiento de los principios y las mejores prácticas de protección de datos para empresas. En ciertos casos, como al procesar datos especialmente protegidos, es obligatorio designar a un candidato para representar esta tarea.Estas son las principales tareas que tiene esta figura:

  • Informar a la organización sobre sus obligaciones en materia de protección de datos
  • Supervisar el cumplimiento de las leyes y las políticas de protección de datos
  • Asesorar sobre las evaluaciones de impacto en la protección de datos (EIPD)
  • Conectar a los interesados y la autoridad de control

En el artículo 34 de la LOPDGDD (Ley Orgánica 3 2018), la normativa española que adapta el RGPD, se detallan las principales actividades profesionales en las que el DPO es obligatorio, como colegios profesionales, entidades financieras, centros docentes y otros.

Si quieres verificar que un DPO está certificado y avalado por la AEPD, puedes consultarlo en este portal que la autoridad de control pone a disposición de las empresas.

Implementación de medidas técnicas y organizativas

Es importante implementar una serie de medidas de seguridad en la organización con respecto a los datos especialmente protegidos.

La compañía debe controlar los accesos, además de codificar la información para que solo personas autorizadas tengan acceso a ella. El cifrado puede aplicarse:

  • A los datos en reposo, almacenados en bases de datos o dispositivos
  • A los datos en tránsito, cuando se transmiten por internet

Otra práctica es la seudonimización, que dificulta la asociación de los datos a una persona concreta. Está definida en el artículo 4 del Reglamento, donde se definen los conceptos principales de la normativa.

Además de estas y otras medidas técnicas es fundamental la formación del personal. Los trabajadores deben estar familiarizados con el RGPD y la importancia de proteger los datos personales, sobre todo los sensibles. 

En caso de una violación de datos que afecte a datos especialmente protegidos, se debe notificar la violación a la autoridad de control (en España, la AEPD) y a los interesados, según lo establecido en el RGPD.

Regulaciones y obligaciones del RGPD sobre datos especialmente protegidos

Si tu organización trata datos personales sensibles, debes ser consciente de una serie de obligaciones para cumplir con el RGPD y garantizar la privacidad de los usuarios. 

Los datos sensibles requieren medidas de seguridad reforzadas, evaluaciones de impacto si hay riesgos elevados, y su uso debe ser proporcional y limitado a su finalidad. Además, se deben registrar las actividades de tratamiento, notificar brechas de seguridad en 72 horas y garantizar protección adicional en transferencias internacionales.

El consentimiento es una de las seis bases legales para el tratamiento de datos personales (artículo 6.1.a del RGPD). Es necesario obtener el consentimiento de forma explícita y garantizar que el interesado puede retirarlo en cualquier momento . El consentimiento debe ser libre, específico, informado e inequívoco, además de verificable.

Por otra parte, el RGPD otorga a los interesados una serie de derechos en relación con sus datos personales: acceso, rectificación, supresión, etc. Todos ellos se recogen y explican con detalle en los artículo 15 a 22 del Reglamento de la UE. En el caso de los datos especialmente protegidos es aún más importante facilitar el ejercicio de los derechos de sus titulares.

Cualquier incumplimiento podría suponer costosas multas de hasta 20 millones de euros (o el 4% de la facturación) en los casos más graves.

Un ejemplo reciente es el de la sanción de 200.000 euros impuesta por parte de la AEPD a HM Hospitales. Al parecer, entre otras infracciones, almacenaban datos sensibles en un servidor externo que no contaba con las suficientes medidas de seguridad necesarias.

Por otro lado, hay un tipo de datos especialmente protegidos que va más allá de los mencionados y se regula aparte. El artículo 10 del RGPD se refiere a los datos penales relativos a condenas e infracciones de carácter penal. En este caso, «sólo podrá llevarse a cabo el tratamiento de este tipo de datos bajo la supervisión de las autoridades públicas, o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados».

Excepciones al tratamiento de datos especialmente protegidos

El Reglamento General de Protección de Datos (RGPD) establece un marco legal riguroso para el tratamiento de datos personales, con especial énfasis en la protección de los datos sensibles.

En el artículo 9.1 del RGPD se prohíbe el tratamiento de datos especialmente protegidos. Así, se minimiza el riesgo de que los derechos y libertades de las personas se vean afectados. Con todo, hay una serie de excepciones en que estos datos pueden recopilarse y tratarse, siempre conforme a la ley, como:

  • El consentimiento explícito del interesado
  • El cumplimiento de obligaciones legales en el ámbito laboral
  • La protección de intereses vitales del interesado
  • Fines de investigación científica, histórica, estadística o de interés público

Cuando el tratamiento se base en el consentimiento, éste debe ser explícito, es decir, debe manifestarse de forma clara e inequívoca.

Leer a continuación: ¿Google Analytics cumple con el RGPD?

Conclusión 

Los datos especialmente protegidos requieren una protección reforzada debido a su naturaleza sensible. Si tu empresa trata este tipo de información de carácter personal, asegúrate de cumplir con las exigencias del RGPD. Deberás obtener el consentimiento explícito del interesado, contar con las medidas de seguridad necesarias y proteger en todo momento sus derechos sobre los datos.

Respetar las leyes de protección de datos no solo te protege contra multas, que en el caso de los datos sensibles pueden llegar a ser muy elevadas, sino que también es clave para mantener la confianza de tus clientes a largo plazo y la reputación de tu organización.

Evita daños a la imagen de tu empresa y grandes costes económicos por pleitos o sanciones, y apóyate en tecnología especializada en protección de datos. Usercentrics te ofrece una solución completa para poder solicitar y registrar el consentimiento de manera automatizada y conforme al RGPD. 

Comprueba en qué medida cumples con la normativa de protección de datos y evita multas con la CMP de Usercentrics.

Descarga la checklist del RGPD

Descargo de responsabilidad: Usercentrics no provee asesoría legal y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.

Preguntas frecuentes

¿Qué pasa si no protejo adecuadamente estos datos?

Si tu organización no protege los datos especialmente sensibles conforme a la legislación vigente, te expones a sanciones económicas y daños reputacionales. Las multas pueden llegar a ser muy elevadas, sobre todo al tratarse de datos personales sensibles, pudiendo alcanzar hasta 20 millones de euros o el 4% de la facturación anual global, el que sea mayor. Además, los afectados pueden reclamar indemnizaciones por daños y perjuicios, incluidos los morales, si su información personal se ve comprometida.

¿Necesito un DPO para gestionar datos sensibles?

Sí, excepto los tribunales en su función judicial, las organizaciones que tratan categorías especiales de datos a gran escala o de forma habitual, deben designar a un delegado de protección de datos. También estás obligado si tu actividad principal requiere un seguimiento sistemático y regular de personas a gran escala, como perfiles de comportamiento o análisis predictivo.

¿Cómo garantizar el consentimiento explícito?

Las empresas deben informar sobre sus políticas de privacidad, además de incorporar banners de consentimiento que permitan marcar una casilla y dar una respuesta afirmativa clara. Además, se debe registrar el consentimiento para poder realizar la evaluación de impacto y para demostrar el cumplimiento.

Si los datos sensibles se van a usar para múltiples fines, como marketing y estudios de salud, deben estar claramente diferenciados y requerir consentimiento independiente. Respecto a la duración, está condicionada al consentimiento repetido en el tiempo. En otras palabras, los interesados deben poder retirar su consentimiento de manera sencilla y en cualquier momento, sin consecuencias negativas.

Mano abierta sosteniendo un escudo con un candado en el centro, simbolizando la protección de datos.
Ene 29, 2025
Las empresas deben asegurarse de incluir una cláusula de protección de datos en los documentos en que sea necesario, como en contratos, facturas, formularios de contacto u otros contextos en que se incluyan datos de personas físicas.
Ene 16, 2025
Si tienes un ecommerce en Shopify, la legislación exige crear políticas de privacidad para tu tienda de acuerdo con el RGPD. En esta guía te explicamos qué incluir, te proporcionamos ejemplos prácticos y te presentamos herramientas para generarlas fácilmente.
Ene 16, 2025
Como dato de carácter personal, las empresas que procesen el DNI de clientes, empleados, proveedores o cualquier persona física, deben asegurarse del tratamiento conforme a la normativa de protección de datos.