Una guía práctica de datos personales sensibles según el RGPD

Esta guía explica datos personales sensibles según el RGPD de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.

Las reglas de datos personales confidenciales GDPR pueden aplicarse al seguimiento web cuando el comportamiento de navegación revela características protegidas. Una identificación de cookie por sí sola puede parecer técnica. Una identificación de cookie conectada a visitas sobre tratamiento del cáncer, organización sindical, servicios religiosos, atención de fertilidad o campañas políticas puede volverse mucho más sensible.

GDPR las llama "categorías especiales de datos personales". El artículo 9 cubre datos que revelan origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos utilizados para la identificación, datos de salud y datos relativos a la vida sexual o la orientación sexual (GDPR Artículo 9).

Por qué el análisis web puede generar datos confidenciales

La analítica web a menudo registra:

• URL de páginas.
• Términos de búsqueda.
• Referentes.
• Parámetros de campaña.
• ID de cookies o dispositivos.
• Ubicación derivada de IP.
• Eventos de clic y conversión.
• ID de cuenta o hashes de correo electrónico en algunas implementaciones.

En una página de producto normal, eso puede representar un riesgo bajo. En el sitio web de una clínica de salud mental, un recurso de salud reproductiva, un sitio de campaña política, un sitio de una comunidad religiosa o una página de disputas laborales, los mismos datos pueden revelar información confidencial sobre el visitante.

El riesgo aumenta cuando los datos analíticos están vinculados entre páginas, sesiones, cuentas o plataformas de terceros.

La advertencia del Meta/Bundeskartellamt

El Tribunal de Justicia de la Unión Europea abordó preocupaciones de categorías especiales en la sentencia Meta Platforms v Bundeskartellamt. El tribunal concluyó que visitar sitios web o aplicaciones relacionadas con temas de categorías especiales puede revelar datos confidenciales y que el procesamiento de dichos datos puede estar comprendido en el artículo 9 dependiendo de las circunstancias (asunto C-252/21 del TJUE).

La lección práctica no se limita a las redes sociales. Si los sistemas de seguimiento recopilan comportamientos a nivel de página que revelan intereses sensibles, las organizaciones deben tratar esos datos con mayor cuidado.

Ejemplos para equipos de análisis

Ejemplos de alto riesgo:

• Una clínica de salud envía URL de páginas sobre condiciones específicas a un proveedor de análisis externo.
• Una organización sin fines de lucro rastrea a los visitantes de los recursos sobre violencia doméstica con identificaciones persistentes.
• Una campaña política comparte páginas de asistencia a eventos con plataformas publicitarias.
• Un sitio de organización sindical reorienta a los visitantes en función de las páginas vistas.
• Una aplicación de salud mental registra las páginas vistas de temas de terapia en una pila de marketing general.

Ejemplos de menor riesgo:

• La página agregada cuenta sin identificadores persistentes.
• Registros del lado del servidor con retención breve y minimización de IP.
• Recuentos de eventos que evitan títulos de páginas confidenciales o cadenas de consulta.
• Informes a nivel de país sin historiales a nivel de usuario.

El contexto importa. El mismo evento analítico puede ser inofensivo en un blog genérico y sensible en una página de atención médica.

Implicaciones de cumplimiento

El procesamiento de categorías especiales generalmente está prohibido a menos que se aplique una excepción del Artículo 9, como el consentimiento explícito u otra base legal específica. El consentimiento ordinario para las cookies analíticas puede no ser suficiente si el procesamiento involucra datos confidenciales y elaboración de perfiles de terceros.

Los equipos también pueden necesitar:

• Una evaluación de impacto de la protección de datos.
• Controles de acceso más estrictos.
• Retención más corta.
• Restricciones de proveedores.
• Consentimiento explícito en su caso.
• Prohibición del uso de publicidad.
• Divulgaciones de privacidad cuidadosas.
• Revisión de transferencias internacionales.

Para sitios relacionados con la salud en los Estados Unidos, también se puede aplicar HIPAA si la organización es una entidad cubierta o un socio comercial. El HHS ha emitido orientación y atención sobre las tecnologías de seguimiento en línea utilizadas por entidades reguladas por HIPAA (Guía sobre tecnologías de seguimiento en línea del HHS). Advertencia importante para 2024: el HHS señala que un tribunal federal anuló el boletín en la medida en que consideró que una dirección IP más una visita a ciertas páginas de salud pública no autenticadas activaban automáticamente las obligaciones de HIPAA. Eso no elimina el riesgo para los portales, las citas, la admisión, el pago, la autenticación o los flujos de trabajo de divulgación de PHI.

Reducción práctica de riesgos

Utilice una lista de verificación de análisis de contexto sensible:

1. Identifique páginas que revelen salud, religión, política, sexualidad, situación sindical, infancia u otros temas delicados.
2. Desactive los píxeles publicitarios en esas páginas.
3. Evite la repetición de sesiones y los mapas de calor en flujos sensibles.
4. Elimine las cadenas de consulta antes de la recopilación de análisis.
5. No envíe títulos de páginas que incluyan términos confidenciales si las categorías agregadas son suficientes.
6. Evite los identificadores persistentes siempre que sea posible.
7. Mantenga los informes agregados.
8. Restringir el acceso.
9. Acortar la retención de datos sin procesar.
10. Revisar proveedores y subprocesadores.

Medición de enfoque de privacidad

La analítica que prioriza la privacidad es especialmente valiosa en contextos sensibles. Una clínica, una organización sin fines de lucro, un grupo de defensa o un servicio público a menudo pueden responder preguntas operativas sin realizar un seguimiento de los recorridos identificables.

Las métricas útiles de bajo riesgo incluyen:

• Visitas totales a una categoría de recurso.
• Dominios de referencia en conjunto.
• Clase de dispositivo para controles de usabilidad.
• Términos de búsqueda solo cuando son anonimizados y revisados.
• La conversión cuenta para acciones no sensibles.

Si no se puede responder una pregunta sin recopilar un comportamiento sensible, pregunte si vale la pena correr el riesgo. En muchos casos, una métrica, una encuesta o un registro operativo del lado del servidor menos detallado es más seguro y respetuoso.

Banderas rojas en el diseño de eventos

Revise los nombres y las propiedades de los eventos antes del lanzamiento. Eventos como depression_quiz_started, union_contact_form_submitted o pregnancy_help_clicked pueden ser útiles internamente, pero pueden exponer significados confidenciales si se envían a herramientas publicitarias o de análisis generales.

Utilice categorías neutrales siempre que sea posible, restrinja el acceso y mantenga la analítica confidenciales fuera de los ecosistemas publicitarios de terceros. En contextos delicados, "más granular" a menudo no es mejor.

Ejemplos de nombres más seguros

La denominación de eventos puede reducir el riesgo sin que los informes sean inútiles. En lugar de enviar pregnancy_options_page_viewed, envíe resource_category_viewed con una categoría amplia visible solo en conjunto. En lugar de therapy_for_grief_video_75_percent, envíe video_progress con un ID de contenido no confidencial que solo una tabla interna restringida pueda interpretar.

El mismo principio se aplica a las URL. Evite rutas y cadenas de consulta que expongan diagnósticos, estatus legal o inquietudes personales cuando una estructura de página más simple es suficiente. Si deben aparecer palabras confidenciales por motivos de usabilidad o SEO, configure el análisis para eliminar la ruta o informar a un nivel de categoría más amplio. El objetivo no es ocultar el servicio a los usuarios; es para evitar transmitir significados sensibles a sistemas de análisis de propósito general.

Revisión de contexto sensible

Antes de rastrear páginas confidenciales, documente la categoría de la página, los nombres de los eventos, el comportamiento de la URL, los identificadores, los proveedores, la retención, los controles de acceso y si podría aplicarse el Artículo 9 u otra ley del sector. Luego pruebe la página en un perfil de navegador limpio e inspeccione las llamadas de red, las cookies, el almacenamiento y los eventos del lado del servidor.

Si Analytics aún envía nombres de condiciones, términos de búsqueda confidenciales, ID persistentes o llamadas publicitarias desde páginas confidenciales, el problema no está escrito en el aviso de privacidad. Es necesario limitar el diseño de los datos.