Los datos personales son cualquier información relacionada con una persona viva identificada o identificable. También constituyen datos personales diferentes elementos de información que, reunidos, pueden conducir a la identificación de una persona concreta.
Los datos personales que han sido desidentificados, encriptados o seudonimizados pero que pueden utilizarse para volver a identificar a una persona siguen siendo datos personales y entran en el ámbito de aplicación del RGPD.
Los datos personales que han sido anonimizados de tal manera que la persona no es identificable o deja de serlo ya no se consideran datos personales. Para que los datos sean realmente anónimos, la anonimización debe ser irreversible.
El RGPD protege los datos personales con independencia de la tecnología utilizada para su tratamiento: es tecnológicamente neutro y se aplica tanto al tratamiento automatizado como al manual, siempre que los datos se organicen de acuerdo con criterios predefinidos (por ejemplo, el orden alfabético). Tampoco importa cómo se almacenen los datos: en un sistema informático, mediante videovigilancia o en papel; en todos los casos, los datos personales están sujetos a los requisitos de protección establecidos en el RGPD.
Dado que la definición incluye «cualquier información», hay que asumir que el término «datos personales» debe interpretarse de la forma más amplia posible. Así lo sugiere también la jurisprudencia que también considera búsqueda de datos personales la información menos explícita usando un rutificador, como las grabaciones de los tiempos de trabajo que incluyen información sobre la hora en que un empleado comienza y termina su jornada laboral, así como las pausas o los tiempos que no caen en el tiempo de trabajo.
También son «datos personales» las respuestas escritas de un candidato durante un examen y cualquier comentario del examinador sobre estas respuestas si el candidato puede ser teóricamente identificado. Lo mismo se aplica a las direcciones IP. Si el responsable del tratamiento tiene la opción legal de obligar al proveedor a entregar información adicional que le permita identificar al usuario que está detrás de la dirección IP, esto también es un dato personal.
Además, hay que tener en cuenta que los datos personales no tienen por qué ser objetivos. La información subjetiva, como las opiniones, juicios o estimaciones, pueden ser datos personales. Así, esto incluye una evaluación de la solvencia de una persona o una estimación del rendimiento laboral por parte de un empleador.
