Skip to main content

Conceptos principales de datos personales

3. Conceptos principales
3.1. Dato personal
3.2. Seudonimización y anonimización
3.3. Categorías especiales de datos
3.4. Tratamiento y fichero
3.5. Violación o brecha de seguridad
3.6. La elaboración de perfiles y decisiones automatizadas


¿Qué es un dato personal?

DATO PERSONAL (Art.4.1 RGPD):
«Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.»
La lista recogida en el artículo anterior del RGPD no es exhaustiva. Por lo tanto, dato personal puede ser cualquier información que sirva para identificar a una persona física. Es decir, un dato identificativo como el nombre y apellidos, el DNI, una huella dactilar, un conjunto de rasgos físicos, un número de identificación escolar o la imagen o la voz que permitan la singularización del interesado.


¿Cuáles pueden ser las primeras acciones para velar por los datos personales en un centro educativo, a la hora de presentar datos a la comunidad educativa?
  • Seudonimización es una medida utilizada para impedir la identificación del interesado por terceras personas, mediante la disociación de la identidad del interesado y del dato personal, sustituyendo la identidad real por un identificador ficticio (seudónimo) y manteniendo determinada información adicional separada que permite volver a realizar la identificación. Este proceso reduce los riesgos para los interesados afectados y ayuda a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de protección de los datos, pero es reversible y está sujeto a las medidas de seguridad que impidan la reidentificación o acceso a los datos por personas no autorizadas y por eso es aplicable la legislación sobre protección de datos.
    Por ejemplo, si en un listado que incluya el nombre y apellidos de los alumnos con medidas educativas especiales, la dirección de un centro sustituye la identificación por códigos individuales de uso único que guarda de forma separada y segura en un repositorio, estaría aplicando una técnica de seudonimización, porque evita que terceras personas puedan identificarlos, pero las personas autorizadas podrían en cualquier momento volver a asociar cada código a cada alumno para identificarlos. En este caso se aplica la legislación sobre protección de datos porque el acceso al dato adicional (en el ejemplo, la lista de códigos asociados a los nombres y apellidos) permite la identificación de las personas. El art. 32 RGPD contempla “la seudonimización y el cifrado de los datos personales” entre las medidas técnicas y organizativas que puede adoptar el responsable para garantizar la seguridad de los datos.
  • Anonimización es un proceso que disocia de forma permanente la identidad y el dato, de forma que no permita volver a singularizar o identificar al interesado, que se oculta con un proceso irreversible. En este caso no se aplica el RGPD porque al anonimizar ya no existen datos de una persona física identificable. Por ejemplo, si en un listado Excel de calificaciones de todos los alumnos de un centro suprimimos las columnas que contienen los datos de identificación del alumnado para elaborar una estadística, si no existiese ninguna información adicional que permita identificar qué alumno ha obtenido cada nota y si la supresión de los datos de identificación es definitiva, la legislación sobre protección de datos ya no es aplicable en el listado resultante, ya que hemos aplicado un proceso de anonimización que no permite la identificación de personas físicas. Pero siempre hay que tener en cuenta que, según el contexto en el que se aplique el dato personal, podría existir información externa que permita la identificación de la persona cuyos datos hemos anonimizado. Por ejemplo, si se anonimizan el nombre y apellidos, pero se mantiene la información sobre una característica física, un dato de localización o un rasgo cultural o biológico que permita la identificación directa o indirecta de una persona, seguiría existiendo un identificador y, por lo tanto, datos personales.
Categorías especiales de datos

Son aquellos datos personales que revelan:

  • El origen étnico o racial
  • Las opiniones políticas
  • Las convicciones religiosas o filosóficas
  • La afiliación sindical
  • Los datos genéticos,
  • Los datos biométricos
  • Datos relativos a la salud
  • Datos relativos a la vida sexual
  • Datos relativos a la orientación sexual.