Recién estrenado el 2020 y como en años anteriores la Unidad de Evaluación y Estudios Tecnológicos de la Agencia Española de Protección de Datos emite un informe anual en el que se resumen las características principales de las notificaciones de brechas de seguridad recibidas por la Agencia Española de Protección de Datos (AEPD) en virtud del artículo 33 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE ( en adelante RGPD).

Pues bien, a la espera de que la AEPD publique el correspondiente informe anual y en base a los datos extraídos de los informes mensuales emitidos hasta el mes de noviembre de este último año tan sólo 79 de las 1296 notificaciones de brecha de seguridad han sido trasladadas a la Subdirección General de Inspección de Datos (en adelante SGID) para el esclarecimiento de los hechos al apreciar la existencia de riesgo alto para los derechos y libertades de los ciudadanos o que se requiere una investigación adicional para determinar la existencia de dicho riesgo.

 
 BRECHAS NOTIFICADAS ANTE LA AEPD    TRASLADADAS A SGID
 Enero 78  8
 Febrero 101  13
 Marzo 113  3
 Abril 95  7
 Mayo 84  0
 Junio 92  15
 Julio 83  14
 Agosto 42  0
 Septiembre 133  8
 Octubre 266  7
Noviembre 209  4
TOTAL 1296  79

¿Pero cómo determinar si existe un riesgo alto para los derechos y libertades de los ciudadanos?

Publicado en Blog

En la actualidad, todos estamos acostumbrados a realizar compras a través de internet, pero en el periodo navideño en el que nos encontramos éstas se incrementan. Debido a lo anterior, es importante que seamos conscientes de que cuando tenemos un negocio online (e-commerce) estamos expuestos a sufrir ataques y violaciones de seguridad mediante nuestros sistemas informáticos.

Actualmente, la figura del ciberdelincuente, entendido como: aquella persona experta en alguna rama tecnológica que accede a un sistema informático o a informaciones ubicadas en dicho sistema o en la red de comunicaciones, no es desconocida para nadie.

Si bien es cierto que existen muchos más delitos, ataques y violaciones informáticas a las que nuestro negocio online puede estar expuesto, en el presente artículo nos vamos a centrar en el denominado E-Skimming.

Pero ¿qué es el E-Skimming?

El objetivo de los ciberdelincuentes con esta técnica no es otro que conseguir información tanto bancaria como personal de tiendas online legítimas, de tal manera que una vez que consiguen dicha información pasarán o bien a venderla en el mercado negro, o bien a utilizarla en su propio beneficio.

¿Cómo se produce el E-Skimming?

Lo primero que necesitan los ciberdelincuentes es poder acceder a la tienda online, para lo cual se aprovechan de las propias vulnerabilidades del gestor de contenidos, como puede ser el no tener una contraseña lo suficientemente robusta o no contar con las últimas actualizaciones de los sistemas utilizados, o a través de las ya más que conocidas campañas phishing. Una vez que se ha conseguido tener acceso a la tienda online, realizan las modificaciones necesarias de tal manera que cuando el cliente final realiza una compra e introduce sus datos, estos se visualicen tanto por el banco, como por el ciberdelincuente.

Este tipo de técnica afecta tanto a los comercios online que tienen la pasarela de pago integrada en su tienda, como a los que trabajan a través de la pasarela de pago de un tercero. La diferencia principal es que, en el primero de los supuestos, la información personal y bancaria de los clientes es gestionada internamente por el responsable de la tienda online, en el segundo de los supuestos, aunque la información bancaria no es gestionada directamente por el responsable, los datos de carácter personal pueden ser robados igualmente.  

¿Cómo podemos evitar o minimizar los riesgos de sufrir un ataque e-Skimming?

Publicado en Blog

Recientemente hemos conocido una noticia polémica que ha avivado el debate sobre el uso de nuevas tecnologías en la privacidad de la población. Y no es para menos, ya que China a comienzos de este mes ha asentado un precedente peligroso a nivel mundial.

A partir de ahora, los ciudadanos chinos deben acceder a registrar los parámetros biométricos faciales si desean adquirir un teléfono móvil nuevo. Desde Pekín se argumenta que han adoptado estas medidas con la finalidad de “proteger los derechos y los intereses legítimos de los ciudadanos en el ciberespacio” pero las alarmas se han disparado, pues entendemos que lo que persiguen las autoridades es verificar las identidades de todos los usuarios en Internet, suponiendo una restricción para todas las personas que sólo buscan comunicarse libremente.

Actualmente China cuenta con una tecnología poco fiable, generalizada e innecesaria para llevar a cabo este “control” de la sociedad china. No olvidemos que ya existe una política de registro de la tarjeta SIM, por lo que el Estado ya es conocedor de la identidad del propietario de una SIM mediante identificación oficial, pasaporte o comprobante de domicilio. De esta manera, el registro obligatorio de la tarjeta SIM erradica el potencial problema del anonimato de las comunicaciones, pues permite el seguimiento de la ubicación y la vigilancia e intercepción de las comunicaciones. Numerosos estudios han afirmado que esta medida atenta contra el derecho a la privacidad y representa una amenaza para grupos vulnerables, siendo además una medida ineficaz para reducir el abuso de los servicios de telecomunicaciones para actividades criminales y fraudulentas. De hecho, han aumentado los delitos de suplantación de identidad, fomentando así el crecimiento del mercado negro para todos aquellos que desean permanecer en el anonimato, así como la compra de SIM extranjeras o el uso de teléfonos satélites para evitar completar los requisitos del registro de la tarjeta. David Kaye, profesor de derecho en la Universidad de California y relator especial de la ONU sobre la Promoción y Protección del Derecho a la Libertad de Opinión y Expresión ya señaló “el registro obligatorio de la tarjeta SIM puede proporcionar a los gobiernos la capacidad de monitorear a los individuos y periodistas mucho más allá de cualquier interés legítimo del gobierno”.

Publicado en Blog

Cuando hablamos de privacidad de un individuo hemos de partir de la base de estar ante un derecho reconocido en la Constitución Española (en adelante CE), concretamente en el artículo 18 y que le atribuye a este la potestad de mantener su intimidad fuera del control de terceros, asegurándose la no divulgación de aquellos aspectos privados e íntimos de su vida. A ojos del presente artículo no podemos dejar de lado la referencia a una de las esferas que configuran esta privacidad y que, con el avance de las nuevas tecnologías ha asumido una importancia exponencial: la privacidad digital. Y es que, desgraciadamente, la falta de la misma en el entorno web, es una realidad que ya está moldeando nuestras vidas.

Es un hecho. El usuario se ha convertido protagonista del llamado Internet Social, es él quién aporta sus contenidos, suministra información y decide qué comparte con terceros. Se configura así el llamado derecho a la intimidad digital, entendiendo, por tal, aquel del que disponen los interesados en lo que respecta a la salvaguarda de sus datos privados en el ámbito de las nuevas tecnologías de la información, en especial, a la información que circula por Internet.

Pero ¿qué ocurre cuando este derecho es vulnerado por terceros como consecuencia de la publicación, sin nuestro consentimiento, de información que pertenece a nuestra esfera íntima y privada? Es en esta coyuntura en la que se encontró la joven víctima del conocido caso “La Manada” como consecuencia de la exposición web de datos de carácter personal vinculados a su persona.

Entrando en materia, los hechos objeto de análisis en el presente artículo, fueron puestos en conocimiento de la Agencia Española de Protección de Datos (en adelante, AEPD) en mayo de 2018 mediante una reclamación en la que se indicaba la difusión de los posibles datos personales de la joven en foros abiertos de Internet. Ante tal información, la AEPD comienza las pertinentes labores de investigación que tienen como resultado, la incoación, contra el medio de prensa digital, “La Tribuna de Cartagena”, de un procedimiento sancionador (PS/00139/2019) como consecuencia de la publicación de un artículo en el que se detallaban el nombre, apellidos, edad y universidad en la que estudiaba la joven y al que acompañaba una fotografía de la misma.

Estos hechos supondrían una infracción del artículo 6.1 de la Ley Orgánica de Protección de Datos 15/1999 (en adelante, LOPD 15/99) que dispone que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

Resulta necesario indicar que la AEPD fundamenta su decisión en la LOPD 15/99 porque los hechos acontecieron en un período en el que dicha normativa aún resultaba plenamente exigible. Aun así, a día de hoy, es por todos sabido que la LOPD 15/99 se encuentra ya derogada por la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales 3/2018 (en adelante, LOPDGDD); motivo por el cual, en el presente artículo, trataremos de identificar los preceptos de la actual normativa, Reglamento Europeo de Protección de Datos (RGPD) y LOPDGDD, que se corresponden con el artículo de la LOPD 15/99 infringido a ojos de la AEPD.

¿En qué fundamenta entonces la Agencia, la decisión emitida?

Publicado en Blog

Hace unos meses analizábamos en este Blog las repercusiones de la declaración de inconstitucionalidad del artículo 58 bis de la Ley Orgánica, 5/1985, de 19 de junio, de Régimen Electoral General (en adelante LOREG), incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LOPDGDD), el cual permitía a los partidos políticos recopilar datos sobre las opiniones políticas de los ciudadanos.

Ahora, y de nuevo tras la celebración de elecciones en noviembre, se ha hecho noticia el derecho fundamental a la protección de datos y su impacto en los envíos de propaganda electoral por parte de los partidos políticos, en esta ocasión por la práctica llevada a cabo por uno de los partidos políticos en pleno fin de campaña electoral, al recurrir como técnica de marketing al envío masivo de sms, dirigidos a dos millones de destinatarios, solicitando el voto de cara a las, ahora ya pasadas, elecciones generales.

Ante esta noticia, no se hizo esperar la correspondiente denuncia ante la Agencia Española de Protección de Datos (AEPD), y tampoco las declaraciones del partido político cuya técnica de marketing se ha visto cuestionada.

Sin perjuicio del futuro pronunciamiento de la AEPD a este respecto, consideramos conveniente analizar y tratar de dar respuesta a la siguiente pregunta

¿Con qué exigencias han de cumplir esta clase de envíos?

Publicado en Blog

No hace mucho hemos analizado en este blog (ver aquí) qué ocurre con la intimidad, y más concretamente, con el derecho a la protección de los datos personales de los jugadores de fútbol en nuestro país.

En este caso, volvemos a adentrarnos en el mundo del fútbol español, refiriéndonos a una reciente resolución (ver aquí) de la  Sala de lo Contencioso – Administrativo de la Audiencia Nacional (AN), sobre el recurso interpuesto por un ex futbolista del F. C. Barcelona.

Dicho recurso está relacionado con un pronunciamiento previo por parte de la Agencia Española de Protección de Datos (AEPD) en la Resolución N.º: R/01677/2018, a raíz de que el ex futbolista solicitase borrar de los resultados del buscador de Google varias noticias publicadas en dos periódicos de tirada nacional, en las que se informaba de que el exjugador fue en el año 2004 condenado a pagar una multa por una falta de amenazas a una joven estudiante de 23 años. 

La AEPD resolvió considerando que se trataba de unas informaciones relacionadas con la proyección pública del reclamante, amparadas por la libertad de prensa y que no se estaba acreditando que fueran inciertas. Además señaló que, si la pretensión del reclamante es la protección de su derecho al honor y a la propia imagen, la normativa aplicable en su caso no es la relativa a la protección de datos, sino la Ley Orgánica 1/1982, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen.

El demandante, por su parte, alegaba las siguientes cuestiones:

  1. Que se trataba de una información obsoleta al haber transcurrido catorce años desde la publicación de los hechos en las URL's, ya que, además, la infracción por la que fue condenado penalmente ya fue cumplida y está prescrita, no teniendo sentido que el nombre del afectado siga apareciendo vinculado en Google a dichos hechos, con la correspondiente estigmatización que conlleva y la obstaculización de una total reinserción.
  2. Que la naturaleza penal de los hechos, no podía ser un argumento para la denegación del derecho al olvido y que no existe un interés legítimo de los internautas en acceder a la información.
  3. Que ni se le puede considerar persona con notoriedad pública, ni con sus actos pretendía o pretende conseguir dicha notoriedad, ni los hechos tienen que ver con su actividad profesional.

Debemos de partir de que, tal y como analizamos en anteriores publicaciones de este blog (ver aquí), estamos ante el ejercicio por parte de un interesado de su derecho de supresión o “derecho al olvido”, recogido en el artículo 17 del Reglamento General Europeo de Protección de Datos (RGPD) y en virtud del cual, los interesados tienen derecho a pedir que sus datos personales se supriman y dejen tratarse cuando concurra entre otros supuestos recogidos en el mencionado artículo, la circunstancia de que ya no sean necesarios para los fines para los que fueron recabados.

Además, el RGPD refuerza este derecho cuando nos encontremos ante tratamientos realizados en el entorno en línea (Internet), refiriéndose en el Considerando 66 a que el responsable del tratamiento que haya hecho públicos los datos está obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos.

No obstante, el propio artículo 17.3 enumera las excepciones a la supresión de los datos personales en los términos anteriores, cuando la necesidad del tratamiento resida en:

  1. 1. Ejercer el derecho a la libertad de expresión e información.
  2. 2. El cumplimiento de una obligación legal que se aplique al responsable del tratamiento.
  3. 3. Tratamiento para el cumplimiento de una misión realizada por interés público o en el ejercicio de los poderes públicos.
  4. 4. Razones de interés público en el ámbito de la salud pública.
  5. 5. Fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
  6. 6. La formulación, el ejercicio o la defensa de reclamaciones.

Y es en este punto donde nos paramos a analizar si en este caso, prevalece el derecho a la libertad de expresión e información o el derecho a la protección de datos de carácter personal.

Para ello debemos acudir una vez más a la Sentencia de 13 de mayo de 2014 del TJUE, (en adelante, la Sentencia) la cual establece cómo deben interpretarse los derechos de acceso y oposición en el sentido de que, “para respetar estos derechos, el gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona vínculos a páginas web, publicadas por terceros y que contienen información relativa a esta persona, también en el supuesto de que este nombre o esta información no se borren previa o simultáneamente de estas páginas web, y, en su caso, aunque la publicación en dichas páginas sea en sí misma lícita”. 

Publicado en Blog

Si una empresa de seguros quiere investigar un posible fraude de un cliente a través de un detective privado, ¿estaría dicho detective, en el proceso de su investigación, vulnerando la protección de datos del investigado en cuestión?

Es importante conocer que los detectives privados, legalmente habilitados para el tratamiento de datos personales siempre que no se empleen “medios materiales o técnicos que atenten contra el derecho al honor, la intimidad personal y familiar” (art. 5 y 48 LSP), están autorizados por la Ley de Seguridad Privada 5/2014 de 4 de abril, cuando el tratamiento se base en el interés legítimo de un tercero, esto hace que no sea obligatorio obtener el consentimiento de la persona investigada para llevar a cabo el tratamiento de sus datos. Aun así, la normativa de protección de datos que puede afectar a los investigadores privados son los siguientes:

  • Ley de Seguridad Privada, 5/2014, de 4 abril (LSP).

Por tanto ¿Cómo deben cumplir los investigadores privados con la normativa vigente en materia de Protección de Datos de Carácter Personal (RGPD Y LOPDGDD)?

Publicado en Blog

El pasado mes de agosto ya analizamos, en nuestro Blog, la sanción impuesta, por la Agencia Española de Protección de Datos (en adelante AEPD), a un gimnasio por el uso de la huella dáctilar como medida de control de acceso. Recurrida la sanción ante la Audiencia Nacional (en adelante AN), ésta se desmarca del criterio seguido por la AEPD, en su resolución sancionadora, a la hora de evaluar el cumplimiento del principio de proporcionalidad estimando el recurso interpuesto y dejando sin efecto la sanción impuesta.

¿Por qué estima la AN el recurso interpuesto por el gimnasio?

Para arrojar algo más de luz en este tema, de forma sencilla y clarificadora y tomando como base los argumentos esgrimidos tanto por la AEPD en su día como ahora por la Audiencia Nacional a la hora de constatar superado o no el juicio de proporcionalidad, analizaremos comparativamente ambas resoluciones siguiendo, a su vez, la doctrina del Tribunal Constitucional, (STC 207/1996 de 16 de diciembre) en orden a determinar el grado de cumplimiento de los tres requisitos o parámetros siguientes: 

 
 Juicio de idoneidad: si tal medida es susceptible de conseguir el objetivo propuesto y si es probable que el sistema sea eficaz para responder a la necesidad en cuestión.
                             AEPD                         AUDIENCIA NACIONAL

 El registro mediante huella dactilar consigue dicha finalidad de identificación/seguridad de que la persona que accede al gimnasio es la que dice ser al poner el dedo en el lector. 

 

 En cuanto a que este sistema sea eficaz atendiendo a las características de la tecnología biométrica, se aprecia que los datos quedan almacenados en la base de datos del servidor, en lugar de una tarjeta que portase el propio interesado por lo que su tratamiento resulta excesivo no superando el juicio de idoneidad.

 La recogida y uso de la huella tiene como fin la prestación de un servicio, el cual es de acceso y uso del gimnasio y que el registro mediante huella dactilar consigue dicha identificación/seguridad que la persona que accede al gimnasio es la que dice ser al poner el dedo en el lector y correlacionar su algoritmo registrado, por lo que con ella se consigue el objetivo pretendido y dicho juicio de idoneidad  se cumple.
                   ×     NO SUPERADO                         √        SUPERADO
Publicado en Blog

Como consecuencia del nuevo paradigma normativo, la Agencia Española de Protección de Datos (en adelante, AEPD), ha publicado este pasado 8 de noviembre una nueva Guía sobre el uso de las cookies, con el fin de ofrecer las orientaciones oportunas para poder cumplir correctamente con la legislación en materia de protección de datos, a raíz de la plena aplicación del Reglamento General de Protección de Datos (en adelante, RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales, así como con el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI).

El apartado segundo del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos.

La información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender sus finalidades y el uso que se les dará.

Esta primera información se facilitará antes del uso de las cookies, incluida, en su caso, su instalación, a través de un formato que sea visible para el usuario y que deberá mantenerse hasta que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo.

Uno de los mecanismos de información es acudir a la información por niveles o capas de forma que se muestre la información esencial en una primera capa, cuando se accede a la página o aplicación, y completarla en una segunda capa mediante una página en la que se ofrezca información más detallada y específica sobre las cookies.

Es importante señalar las MODALIDADES PARA LA OBTENCIÓN DEL CONSENTIMIENTO PARA EL USO DE LAS COOKIES que recoge la Guía, a fin de determinar aquellos métodos más apropiados para cumplir con la normativa, y que serían los siguientes:

  • Cuando se solicite el alta en un servicio, siempre y cuando el consentimiento se encuentre de manera separada y no se encuentre junto con el resto de las cláusulas legales de la web.
  • Durante el proceso de configuración del funcionamiento de la web o aplicación.
  • A través de plataformas de gestión del consentimiento, siempre y cuando éstas cumplan los requisitos y garantías necesarias, tales como:
    1. Informar previamente al usuario de una manera clara, cumpliendo así con los requisitos de transparencia.
    2. Obtener el consentimiento válido de los usuarios, mediante una clara acción afirmativa por parte de éstos.
    3. Respetar la solicitud del usuario en cuanto al consentimiento, así como proporcionarles los mecanismos necesarios y atender a su derecho de revocación del consentimiento.
  • Antes de proceder a la descarga de un servicio o aplicación en la web, salvo en el supuesto de que una web ofrezca contenidos audiovisuales, al entenderse que, en tal supuesto, el propio usuario ha sido quien ha solicitado expresamente el servicio, supuesto en el cual no sería necesario requerirle su consentimiento.
  • A través de la información en dos capas, debiendo incluirse en la primera capa la petición del consentimiento para el uso de las cookies.

Este mecanismo de información por capas es uno de los métodos más habituales empleados parte de los prestadores de servicios de la sociedad de la información a la hora de solicitar el consentimiento a los usuarios para la aceptación de las cookies, así como para informar acerca de la información básica (recogida en la primera capa) y la información adicional requerida (recogida en la segunda capa).

¿Qué deberá contener la primera capa?

Publicado en Blog
Miércoles, 06 Noviembre 2019 14:32

FÚTBOL ESPAÑOL VS PROTECCIÓN DE DATOS

En la sociedad actual se encuentra normalizado que un equipo de fútbol informe públicamente del alcance de las lesiones de sus jugadores. Nos podemos encontrar incluso, con casos en los que se publican fotografías del post-operatorio para que la afición pueda “verificar” que todo ha salido correctamente. Tanto es así que, a día de hoy, cualquier aficionado puede conocer con facilidad, cuáles son las lesiones que el jugador del que es seguidor ha podido sufrir en una temporada.

Todo esto es debido a que se establece como una “costumbre” futbolística el que los entrenadores del equipo hablen del estado físico y de salud de los jugadores emitiendo un parte médico al respecto para tranquilizar a los aficionados. Precisamente respecto de estas cuestiones se ha pronunciado un jugador del Real Madrid (Gareth Bale) a la hora de solicitar a los responsables médicos de su club que no emitan ningún informe sobre su última lesión, abogando a su privacidad, utilizando su derecho a la protección de datos y a su privacidad, lo que los medios de prensa han denominado esto como “La ley Bale”.

Pero ¿hasta qué punto esto es legal? ¿Qué ocurre con el derecho a la protección de los datos personales de esos jugadores y su intimidad?

En primer lugar, para determinar hasta qué punto es legal o no debemos tener en cuenta que nos encontramos ante una cesión o comunicación de datos, y al igual que cualquier otro tratamiento de datos de carácter personal, debe cumplir con una serie de principios, los cuales se encuentran consagrados en el Reglamento General de Protección de Datos (RGPD) y son los siguientes:

  • Limitación del fin: El tratamiento de datos personales debe estar limitado a fines legítimos para los cuales los datos personales fueron recogidos originalmente del interesado.
  • Minimización de datos: Durante la recogida de datos, sólo se pueden solicitar los datos personales absolutamente necesarios para tal fin.
  • Exactitud: Los datos personales de los interesados deben ser siempre precisos y estar actualizados.
  • Integridad y Confidencialidad: Los datos personales deben ser tratados de forma que se garantice la seguridad apropiada, incluyendo protección contra el tratamiento no autorizado o ilegal. Además, los responsables deben asegurar que los datos no pueden ser modificados por personas no autorizadas.
  • Limitación del almacenamiento: Los datos personales deben ser conservados solamente el tiempo necesario.
  • Licitud, lealtad y transparencia: El RGPD indica que todos los tratamientos de datos personales deban ser leales; ósea, que las empresas no realicen tratamientos que no sean legítimos. Además de lo anterior, las empresas deben ser transparentes con respecto al tratamiento de datos personales, e informar siempre al interesado de manera abierta y transparente.

De todos los principios indicados, en el caso que estamos analizando el principio que mas debemos tener en cuenta es el principio de licitud.

¿Cómo se debería de actuar para cumplir con el principio de licitud?

Debemos de acudir al apartado 1º del artículo 6 del RGPD, en el que se estipula que el tratamiento solo será lícito si se cumple al menos una de las siguientes bases jurídicas para el tratamiento:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

En este caso concreto la única base jurídica que podría ser de aplicación sería el consentimiento del interesado. Por lo tanto, en el caso de que el equipo de fútbol decidiese ceder los datos médicos del jugador sin su previo consentimiento, estaría incurriendo en un incumplimiento normativo en materia de protección de datos, dado que no tendría una base jurídica para poder realizar dicha comunicación.

Pero ¿bastaría con ese consentimiento para tratar datos de salud?

Publicado en Blog
Página 3 de 16

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal