Categorías especiales de datos

Los datos personales considerados sensibles o de categorías especiales son aquellos cuyo tratamiento puede entrañar un riesgo elevado para los derechos y libertades de las personas.

Incluyen:

• Datos de salud (historial médico, diagnósticos. discapacidad, tratamientos).

• Datos biométricos (huellas, reconocimiento facial, iris, voz, ADN).

• Datos genéticos.

• Datos que revelen origen racial o étnico.

• Datos sobre opiniones políticas.

• Datos sobre convicciones religiosas o filosóficas.

• Datos sobre afiliación sindical.

• Datos relativos a la vida u orientación sexual.

Normas y medidas de seguridad a tomar

1. Medidas técnicas

• Cifrado de la información (en reposo y en tránsito).
  
  

• Pseudonimización o anonimización de datos sensibles.
  
  

• Control de accesos: solo usuarios autorizados y bajo necesidad.
  
  

• Autenticación multifactor (MFA) para acceso a sistemas.
  
  

• Registro de accesos y auditorías (logs inalterables).
  
  

• Copias de seguridad cifradas y con prueba de restauración periódica.
  
  

• Segmentación de redes para entornos críticos.
  
  

• Gestión de vulnerabilidades y parches regulares.

2. Medidas organizativas

• Políticas claras de uso y tratamiento de datos.
  
  

• Evaluaciones de Impacto en la Protección de Datos (EIPD/DPIA) antes de tratar datos sensibles.
  
  

• Formación en privacidad y seguridad a empleados.
  
  

• Confidencialidad contractual (cláusulas NDAs y acuerdos internos).
  
  

• Gestión de incidentes: protocolos de notificación en caso de brecha de seguridad.

3. Normativas y estándares aplicables

• RGPD (UE 2016/679) – Reglamento General de Protección de Datos.
  
  

• LOPDGDD (Ley Orgánica 3/2018, España).
  
  

• Esquema Nacional de Seguridad (ENS, España).
  
  

• ISO/IEC 27001 – Sistemas de Gestión de Seguridad de la Información.
  
  

• ISO/IEC 27701 – Extensión para la privacidad.