En una frase. Las categorías especiales de datos del art. 9 RGPD —salud, biometría, ideología, afiliación sindical, origen racial, vida y orientación sexual, creencias— están prohibidas de tratar salvo excepción tasada, y en España el art. 9 LOPDGDD refuerza esa protección impidiendo que el mero consentimiento legitime tratamientos sobre ideología, religión o afiliación sindical.
Tratar un dato sensible sin una excepción válida del art. 9(2) es una de las infracciones más caras del RGPD. No es un tratamiento “más regulado”: parte de una prohibición general. La AEPD lo demostró con Mercadona, sancionada con 2,52 millones EUR por instalar reconocimiento facial en sus tiendas sin base habilitante suficiente para tratar datos biométricos.
Puntos clave
- El art. 9(1) RGPD prohíbe tratar categorías especiales de datos; solo cabe si aplica una de las diez excepciones del art. 9(2).
- El consentimiento explícito es una excepción, pero el art. 9 LOPDGDD lo excluye como única base para ideología, afiliación sindical, religión y creencias.
- Los datos biométricos solo son categoría especial cuando se usan para identificar unívocamente a una persona.
- Estos tratamientos casi siempre exigen una evaluación de impacto (EIPD) previa.
- Las multas por datos sensibles se sitúan en el tramo alto: hasta 20 millones EUR o el 4% del volumen de negocio.
Qué son las categorías especiales de datos
El art. 9(1) RGPD enumera de forma cerrada los datos que revelan:
- Origen étnico o racial
- Opiniones políticas
- Convicciones religiosas o filosóficas
- Afiliación sindical
- Datos genéticos
- Datos biométricos dirigidos a identificar de forma unívoca a una persona
- Datos relativos a la salud
- Datos sobre vida sexual u orientación sexual
Un matiz técnico importante: una fotografía o una huella dactilar no son automáticamente datos biométricos en sentido del art. 9. Solo lo son cuando se procesan mediante una técnica específica para identificar unívocamente (por ejemplo, una plantilla facial usada para reconocimiento). Una foto de perfil sin tratamiento biométrico es un dato personal ordinario del art. 6.
Conviene distinguir estos datos de los relativos a condenas e infracciones penales, que no están en el art. 9 sino en el art. 10 RGPD y en el art. 10 LOPDGDD, con un régimen aún más restrictivo (solo bajo control de autoridad pública o habilitación legal).
La prohibición y sus diez excepciones (art. 9(2))
El tratamiento solo es lícito si concurre una de estas excepciones del art. 9(2). Las más habituales en el sector privado:
| Excepción art. 9(2) | Uso típico |
|---|---|
| (a) Consentimiento explícito | Formularios de salud, encuestas voluntarias |
| (b) Obligaciones en materia laboral y de seguridad social | Salud laboral, discapacidad para bonificaciones |
| © Interés vital (persona incapaz de consentir) | Urgencias médicas |
| (h) Medicina preventiva, diagnóstico, asistencia sanitaria | Clínicas, hospitales, farmacias |
| (i) Interés público en salud pública | Vigilancia epidemiológica |
Además de una de estas excepciones, sigues necesitando una base del art. 6. Son requisitos acumulativos, no alternativos: elige primero la base del art. 6 (véase la guía sobre bases de legitimación del art. 6) y súmale la excepción del art. 9(2).
El refuerzo del art. 9 LOPDGDD
Aquí España va más allá del RGPD. El art. 9 LOPDGDD establece que el consentimiento del interesado no basta para levantar la prohibición de tratar datos que revelen ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual, cuando el fin principal sea identificar dichas características. Es decir: para esos datos, el consentimiento explícito por sí solo no habilita; hace falta una previsión normativa adicional.
Esta particularidad nacional se explica en detalle en el análisis de diferencias clave entre la LOPDGDD y el RGPD. Ignorarla es un error frecuente en encuestas de clima laboral, procesos de selección y programas de diversidad.
El caso Mercadona y la biometría
La AEPD sancionó a Mercadona con 2,52 millones EUR (procedimiento PS/00120/2021) por implantar un sistema de reconocimiento facial en decenas de supermercados para detectar a personas con órdenes de alejamiento. El problema no fue solo de proporcionalidad: la empresa trataba datos biométricos —categoría especial— de todos los clientes que entraban, incluidos menores y trabajadores, sin una base habilitante suficiente ni una ponderación adecuada. La AEPD consideró el tratamiento desproporcionado y carente de excepción válida del art. 9(2).
La lección para cualquier retail, gimnasio o control de accesos: instalar reconocimiento facial o de huella para fichar o identificar es tratar datos del art. 9 y exige, casi siempre, una evaluación de impacto previa y una base sólida. Otros sectores con exposición alta aparecen en el análisis de sanciones de la AEPD en sanidad y salud.
Dónde aparecen más los datos sensibles
En el sector privado, los tratamientos del art. 9 se concentran en tres áreas. En recursos humanos: partes de baja médica, grados de discapacidad para bonificaciones, datos de salud de la vigilancia médica laboral y afiliación sindical para el descuento de cuota. En salud: clínicas, farmacias y centros que tratan historia clínica bajo el art. 9(2)(h). Y en marketing: la segmentación que infiere religión, orientación sexual o ideología a partir del comportamiento genera datos del art. 9 aunque el usuario nunca los declare de forma expresa.
El error recurrente en RRHH es pedir el diagnóstico médico completo cuando basta con la aptitud “apto/no apto”; y en marketing, construir perfiles que revelan datos especiales sin la excepción del art. 9(2). Cada uno de estos tratamientos debe reflejarse con su marca de “categoría especial” en el registro de actividades de tratamiento, porque activa obligaciones reforzadas de seguridad y, con frecuencia, una EIPD previa.
Cómo tratar datos sensibles con garantías
- Confirma que realmente es un dato del art. 9. Una foto o un CV con “casado” no lo son; una plantilla biométrica sí.
- Identifica la excepción del art. 9(2) aplicable y compruébala con el refuerzo del art. 9 LOPDGDD.
- Suma la base del art. 6 correspondiente.
- Realiza una EIPD si el tratamiento es a gran escala o de riesgo alto (art. 35.3.b).
- Refuerza las medidas de seguridad: cifrado, control de accesos, seudonimización.
- Documenta todo en el registro de actividades de tratamiento y respeta los plazos de la limitación de la conservación.
En organizaciones con RRHH, salud laboral o marketing segmentado, mapear qué tratamientos tocan datos del art. 9 es la parte que más se olvida. Herramientas como Legiscope señalan automáticamente los tratamientos que requieren excepción reforzada y EIPD.
Véase también: minimización de datos y privacidad desde el diseño.
FAQ
¿Una fotografía es un dato de categoría especial?
Por sí sola, no. Una fotografía es un dato personal ordinario. Solo se convierte en dato biométrico del art. 9 cuando se somete a un tratamiento técnico específico para identificar unívocamente a la persona (reconocimiento facial). Publicar la foto de un empleado en el organigrama es art. 6; usar su rostro para fichar es art. 9.
¿Basta el consentimiento para tratar datos de salud?
Sí en muchos casos (art. 9(2)(a): consentimiento explícito), pero no siempre es la mejor base. En el ámbito sanitario suele preferirse el art. 9(2)(h) (asistencia sanitaria). En cambio, para ideología, religión o afiliación sindical, el art. 9 LOPDGDD impide que el consentimiento sea la única base.
¿Cuándo necesito una EIPD para categorías especiales?
Siempre que trates datos del art. 9 a gran escala (art. 35.3.b RGPD) o el tratamiento figure en las listas publicadas por la AEPD. En la práctica, biometría para identificación, grandes bases de datos de salud y perfilado con datos sensibles requieren EIPD previa.
¿Los datos penales son categoría especial?
No. Los datos sobre condenas e infracciones penales se regulan en el art. 10 RGPD y el art. 10 LOPDGDD, con un régimen más estricto: solo pueden tratarse bajo control de autoridad pública o cuando lo autorice una norma con garantías adecuadas.
Fuentes oficiales: Reglamento (UE) 2016/679 (RGPD), art. 9, Ley Orgánica 3/2018 (LOPDGDD) y Agencia Española de Protección de Datos.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial