Les données à caractère hautement personnel n'ont pas de définition légales. Elles sont complémentaires aux catégories particulières de données sensibles visées à l’article 9 ainsi que les données à caractère personnel relatives aux condamnations pénales ou aux infractions visées à l’article 10 du RGPD. Elles sont citées par les lignes directrices du CEPD sur les AIPD.
Au-delà des données visées par ces dispositions du RGPD, certaines catégories de données peuvent être considérées comme augmentant le risque possible pour les droits et libertés des personnes. Ces données à caractère personnel sont considérées comme sensibles dans la mesure où elles sont liées à des activités domestiques et privées dont la confidentialité doit être protégée. En effet, ces données ont un impact sur l’exercice d’un droit fondamental ou car leur violation aurait clairement des incidences graves dans la vie quotidienne de la personne concernée.
Par exemple, les données bancaires d'une personne constituent des données à caractère hautement personnel. Leur compromission aurait un impact important sur la personne (perte d'argent).