En mi experiencia con clientes, he visto que muchos se bloquean ante las siglas del RGPD. Piensan que es una montaña imposible de escalar, cuando en realidad se reduce a entender qué manejas y cómo. Vamos directo al grano: qué es un dato personal.
Definición y ejemplos prácticos
Un dato personal es cualquier información que identifique o permita identificar a una persona física. No te quedes solo con el nombre o el DNI. He visto auditorías donde se olvida que elementos mucho más sutiles entran en esta categoría. Por ejemplo, una dirección IP, tanto dinámica como estática, es un dato personal. También lo son un número de teléfono, una matrícula de coche o incluso una dirección de email, siempre que esta incluya el nombre y apellido de un empleado (nombre.apellido@empresa.com).
En mi trabajo, aplico una regla de oro: si con ese dato puedo llegar a saber quién es la persona detrás del dispositivo o la pantalla, trátalo como un dato personal. Por el contrario, un correo genérico tipo info@empresa.com, por lo general, no entra en esta definición.
Categorías especiales y tratamiento de datos
El reglamento sube el nivel de exigencia cuando hablamos de categorías especiales de datos. Aquí entran datos de salud, origen étnico, opiniones políticas, convicciones religiosas, orientación sexual, o datos biométricos y genéticos. Si tu web o negocio trata este tipo de información, la normativa es mucho más estricta.
 (1).jpg)
Ahora bien, ¿qué es exactamente un tratamiento de datos? Cualquier operación que hagas con ellos. Desde recogerlos en un formulario, organizarlos en una base de datos o simplemente almacenarlos en un servidor. Muchos clientes me preguntan: Alex, solo tengo una lista de contactos ahí guardada, ¿eso cuenta? La respuesta es sí. Ese almacenamiento ya es un tratamiento y, por tanto, estás sujeto a la normativa.
¿Cuándo aplica la normativa y excepciones
El RGPD afecta a cualquier entidad establecida en la Unión Europea, independientemente de dónde proceses esos datos. Pero ojo, también aplica si estás fuera de la UE pero tratas datos de residentes europeos. Por eso ves a gigantes como Google o Facebook tan volcados con el cumplimiento.
Sin embargo, existe una excepción clara: la actividad exclusivamente personal o doméstica. Si gestionas una agenda de contactos de amigos o familiares en tu móvil personal, el reglamento no aplica. El problema empieza cuando esa actividad trasciende lo doméstico y entra en el ámbito de un negocio, un blog que monetizas o una web de servicios. Ahí es donde, como consultor, te exijo que pongas orden desde el primer día.
Preguntas frecuentes
¿Es obligatorio cumplir el RGPD si solo tengo una lista de contactos en mi email?
Si esa lista se utiliza para una actividad profesional o comercial, sí debes cumplir con el RGPD. La excepción doméstica solo aplica cuando el tratamiento es exclusivamente personal.
¿Una dirección IP es siempre un dato personal?
Sí, la Agencia Española de Protección de Datos ha determinado que una dirección IP es un dato personal, ya que permite identificar a una persona física.
¿Qué se considera una categoría especial de datos?
Son datos sensibles como el origen étnico, opiniones políticas, convicciones religiosas, datos de salud, biométricos, genéticos o de orientación sexual.