Una decisión del máximo tribunal de la Unión Europea podría tener amplias implicaciones en el tratamiento de datos personales sensibles por parte de las empresas.

El Tribunal de Justicia de la UE (TJUE) emitió un gobernante el 1 de agosto sobre un caso lituano relativo a la legislación nacional anticorrupción.

En este caso, el TJUE evaluó si los datos que pueden revelar indirectamente la orientación sexual de una persona están protegidos por la ley de privacidad. La cuestión se centraba en la publicación del nombre de un cónyuge.

El TJUE consideró que los datos personales que pueden revelar indirectamente la orientación sexual de una persona constituyen datos de categoría especial según el Reglamento General de Protección de Datos (RGPD).

Los expertos en derecho de la intimidad han afirmado que la sentencia es importante y podría dar lugar a amplios cambios en la forma en que se procesan y comparten los datos para una variedad de empresas.

Desacuerdos anteriores

La Dra. Gabriela Zanfir-Fortuna, vicepresidenta de privacidad global del Foro sobre el Futuro de la Privacidad, dijo en Twitter que la sentencia es «innovadora y puede tener un impacto sustancial».

Explicó que las autoridades de protección de datos en la UE han tenido desacuerdos sobre esta cuestión, citando un caso de GDPR contra la plataforma de citas Grindr.

En ese caso, Grindr se enfrentaba a una multa de 10 millones de euros de la autoridad noruega de protección de datos por infracciones en materia de protección de datos. Una denuncia contra Grindr alegaba que la aplicación compartía ilegalmente datos con terceros que incluían la localización GPS, los datos del perfil del usuario y el hecho de que este estuviera en Grindr.

«Creemos que el hecho de que alguien sea usuario de Grindr habla de su orientación sexual y, por lo tanto, esto constituye datos de categoría especial que merecen una protección particular», dijo el Datatilsynet de Noruega en un comunicado.

La autoridad noruega consideró que Grindr había infringido la ley GDPR y multó a la aplicación con 6,5 millones de euros el año pasado por no cumplir las normas de consentimiento.

Sin embargo, la autoridad española de protección de datos tenía una opinión diferente, ya que «no consideró que Grindr tratara ninguna categoría especial de datos personales».

Interpretación inequívoca

El Dr. Lukasz Olejnik, consultor independiente e investigador en materia de seguridad y privacidad, declaró TechCrunch que la sentencia del TJUE es «la interpretación única, más importante e inequívoca del RGPD hasta ahora», ya que afirma que los datos inferidos son datos personales.

«Esta sentencia acelerará la evolución de los ecosistemas publicitarios digitales, hacia soluciones en las que se considere seriamente la privacidad», añadió.

Olejnik dijo el Twitter que cualquier industria que procese grandes cantidades de datos «debe prestar atención». Señaló que la industria y el comercio de la publicidad se mencionan directamente en la sentencia del TJUE.

«Si se asumió que ‘los datos inferidos no son datos’, hay que hacer cambios inmediatamente», dijo Olejnik. «Hay que asegurarse de aprender todas las formas en que se procesan los datos».

10 cosas que necesitas saber directamente en tu bandeja de entrada cada día de la semana. Inscríbase en el Resumen diario El resumen de Silicon Republic de las noticias esenciales de ciencia y tecnología.