Respuesta

Los datos personales son cualquier información relativa a una persona física viva identificada o identificable. Las distintas informaciones, que recopiladas pueden llevar a la identificación de una determinada persona, también constituyen datos de carácter personal.

Los datos personales que hayan sido anonimizados, cifrados o presentados con un seudónimo, pero que puedan utilizarse para volver a identificar a una persona, siguen siendo datos personales y se inscriben en el ámbito de aplicación del RGPD.

Los datos personales que hayan sido anonimizados, de forma que la persona no sea identificable o deje de serlo, dejarán de considerarse datos personales. Para que los datos se consideren verdaderamente anónimos, la anonimización debe ser irreversible.

El RGPD protege los datos personales independientemente de la tecnología utilizada para su tratamiento; es «tecnológicamente neutro» y se aplica tanto al tratamiento automatizado como manual, siempre que los datos se organicen con arreglo a criterios predeterminados (como el orden alfabético). Asimismo, no importa cómo se conservan los datos; ya sea en un sistema informático, a través de videovigilancia o sobre papel; en todos estos casos, los datos personales están sujetos a los requisitos de protección establecidos en el RGPD.

Ejemplos de datos personales:

  • nombre y apellidos,
  • domicilio,
  • dirección de correo electrónico, del tipo nombre.apellido@empresa.com,
  • número de documento nacional de identidad,
  • datos de localización (como la función de los datos de localización de un teléfono móvil) (*),
  • dirección de protocolo de internet (IP),
  • el identificador de una cookie (*),
  • el identificador de la publicidad del teléfono,
  • los datos en poder de un hospital o médico, que podrían ser un símbolo que identificara de forma única a una persona.

(*) Cabe señalar que, en algunos casos, existe una legislación sectorial específica que regula, por ejemplo, el uso de los datos de localización o el uso de las «cookies»: la Directiva sobre intimidad y comunicaciones electrónicas (Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002 (DO L 201 de 31.7.2002, p. 37) y el Reglamento (CE) n.º 2006/2004 del Parlamento Europeo y del Consejo, de 27 de octubre de 2004 (DO L 364 de 9.12.2004, p. 1).

Ejemplos de datos no considerados personales:

  • número de registro mercantil,
  • dirección de correo electrónico, del tipo info@empresa.com,
  • datos anonimizados.

Referencias

  • Artículo 2, artículo 4, puntos 1 y 5 y considerandos 14, 15, 26, 27, 29 y 30 del RGPD.
  • Grupo de trabajo 01248/07/ES, WP 136. Dictamen 4/2007 sobre el concepto de datos personales
  • Dictamen 05/2014 del Grupo de trabajo sobre protección de datos del artículo 29 sobre técnicas de anonimización