Subvenciones y Actualidad

13 de abril de 2020

Comunicado de la Agencia Española de Protección de Datos.

La situación excepcional originada por la pandemia del COVID-19 también ha abocado a muchas empresas a agilizar la implantación de teletrabajo por fuerza mayor, sin una planificación previa.

Por ello, dado que la situación se prolonga, la Agencia Española de Protección de Datos (AEPD) lanza una serie de recomendaciones, dirigidas al responsable de tratamiento de los datos de las empresas, para preservar la continuidad de los procesos de negocio y también los derechos y libertades de los interesados cuyos datos personales se estén tratando.

En este sentido, también el Centro Criptológico Nacional y Equipo de Respuestas ante Emergencias Informáticas (CCN-CERT) ha publicado una nueva versión de su informe de buenas prácticas para situaciones de teletrabajo y refuerzo en videovigilancia.

Recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo.

La organización, como responsable del tratamiento, puede tomar la decisión de que determinadas actividades de su empresa se ejecuten en situaciones de movilidad y teletrabajo. Dicha decisión puede formar parte de la estrategia de gestión, general o parcial para determinadas áreas o actividades (por ejemplo, personal que viaja con frecuencia) o puede ser motivada por situaciones excepcionales e incluso de fuerza mayor. Si en el primer caso hay que realizar una planificación previa, en el segundo las circunstancias de urgencia pueden obligar a poner en marcha soluciones con carácter provisional. Cuando esto último sucede, es obligatorio, en paralelo y sobre todo cuando la situación se prolonga, realizar una reflexión y una adecuación de la implementación del teletrabajo. Hay que tener en cuenta que de ello depende la resiliencia del Estado, la continuidad de los procesos de negocio, y los derechos y libertades de los interesados cuyos datos se están tratando. La organización y el personal que participa en las acciones de teletrabajo han de tener en cuenta las siguientes recomendaciones.

RECOMENDACIONES DIRIGIDAS A RESPONSABLES DEL TRATAMIENTO

A continuación, se enumeran un conjunto de recomendaciones para el responsable del tratamiento que éste tendrá que adecuar a la situación concreta de su objeto de negocio:

1. 1. Definir una política de protección de la información para situaciones de movilidad

• ·      Basada en la política de protección de datos y seguridad de la información de la entidad, y formando parte de ella, es necesario definir una política específica para situaciones de movilidad que contemple las necesidades concretas y los riesgos particulares introducidos por el acceso a los recursos corporativos desde espacios que no están bajo el control de la organización.
• ·       En dicha política hay que determinar qué formas de acceso remoto se permiten, qué tipo de dispositivos son válidos para cada forma de acceso y el nivel de acceso permitido en función de los perfiles de movilidad definidos. También deben definirse las responsabilidades y obligaciones que asumen las personas empleadas
• ·        Es necesario proporcionar guías funcionales adaptadas a formar a las personas empleadas, derivadas de dichas políticas, y que recojan al menos la información que se expone en el apartado “Recomendaciones dirigidas al personal que participa en las operaciones de tratamiento” de este mismo documento.
• ·       El personal también ha de estar informado de las principales amenazas por las que pueden verse afectados al trabajar desde fuera de la organización y las posibles consecuencias que pueden materializarse si se quebrantan dichas directrices, tanto para los sujetos de los datos como para la persona trabajadora.
• ·        En dichas guías se debe identificar un punto de contacto para comunicar cualquier incidente que afecte a datos de carácter personal, así como los canales y formatos adecuados para realizar dicha comunicación.
• ·       El personal ha de firmar un acuerdo de teletrabajo que incluya los compromisos adquiridos al desempeñar sus tareas en situación de movilidad.

1. 2. Elegir soluciones y prestadores de servicio confiables y con garantías.

• ·      Hay que evitar utilizar aplicaciones y soluciones de teletrabajo que no ofrezcan garantías y que puedan dar lugar a la exposición de los datos personales del personal, interesados y servicios corporativos de la organización, en particular, a través de los servicios de correo y mensajería.
• ·       Hay que recurrir a proveedores y encargados que ofrezcan soluciones probadas y garantías suficientes que, en el mismo sentido, eviten la exposición de los datos personales del personal, interesados y servicios corporativos de la organización.
• ·        Si estos acceden a datos de carácter personal, tendrán la consideración de encargados de tratamiento y la relación se regirá por un contrato u otro acto jurídico que vincule al encargado respecto del responsable. Este contrato debe establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable, de acuerdo con los términos establecidos en el artículo 28.3 del RGPD.

1. 3. Restringir el acceso a la información.

• ·        Los perfiles o niveles de acceso a los recursos y a la información tienen que configurarse en función de los roles de cada persona empleada, de una forma incluso más restrictiva respecto de los concedidos en los accesos desde la red interna.
• ·         A su vez, hay que aplicar restricciones de acceso adicionales en función del tipo de dispositivo desde el que se acceda a la información (equipos portátiles corporativos securizados, equipos personales externos y dispositivos móviles como smartphones o tablets) y también dependiendo dela ubicación desde la que se accede.

1. 4. Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad.

• ·     Los servidores de acceso remoto han de ser revisados y hay que asegurar que están correctamente actualizados y configurados para garantizar el cumplimiento de la política de protección de la información para situaciones de movilidad establecida por la organización, así como el control de los perfiles de acceso definidos.
• ·         Los equipos corporativos utilizados como clientes tienen que:

o   estar actualizados a nivel de aplicación y sistema operativo,

o   tener deshabilitados los servicios que no sean necesarios,

o   tener una configuración por defecto de mínimos privilegios fijada por los servicios TIC que no pueda ser desactivada ni modificada por el empleado,

o   instalar únicamente las aplicaciones autorizadas por la organización,

o   contar con software antivirus actualizado,

o   disponer de un cortafuegos local activado,

o   tener activados solo las comunicaciones (wifi, bluetooth, NFC, ...) y puertos (USB u otros) necesarios para llevar a cabo las tareas encomendadas.

o   incorporar mecanismos de cifrado de la información.

• ·        Si se permite el uso de dispositivos personales de las personas empleadas, al suponer un mayor riesgo porno incorporar los mismos controles de los equipos corporativos, además de exigir unos requisitos mínimos para poder utilizarlos en el establecimiento de conexiones remotas (por ejemplo, contar con un sistema operativo y software original y actualizado), hay que valorar la posibilidad de restringir la conexión a una red segregada que únicamente proporcione un acceso limitado a aquellos recursos que se hayan identificado como menos críticos y sometidos a menor nivel de riesgo.

1. 5.  Monitorizar los accesos realizados a la red corporativa desde el exterior.

• ·     Hay que establecer sistemas de monitorización encaminados a identificar patrones anormales de comportamiento en el tráfico de red cursado en el marco de la solución de acceso remoto y movilidad con el objetivo de evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos.
• ·     Las brechas de seguridad que afecten a datos personales han de comunicarse a la Autoridad de Control y/o a los interesados, con el propósito de crear un entorno de teletrabajo resiliente.
• ·       Se debe informar al personal, en la política de protección de la información para situaciones de movilidad, sobre la existencia y el alcance de estas actividades de control y supervisión.
• ·      Si las actividades de monitorización se usaran además para verificar el cumplimiento de las obligaciones laborales del personal, el responsable del tratamiento deberá informar con carácter previo, y de forma clara, expresa y concisa a las personas empleadas y, en su caso a sus representantes, de la medida adoptada en el marco de las funciones de control previstas en el Estatuto de los Trabajadores que han de ejercerse dentro de su marco legal y con los límites inherentes al mismo.
• ·        Los mecanismos de monitorización implementados en el contexto de acceso remoto a recursos corporativos en situaciones de movilidad y teletrabajo deben respetar los derechos digitales establecidos en la LOPDGDD, en particular, el derecho a la intimidad y uso de dispositivos digitales y el derecho a la desconexión digital en el ámbito laboral.
• ·        La configuración definida para acceder a los recursos de forma remota debe ser revisada de forma periódica para garantizar que no ha sido alterada ni desactivada sin autorización además de permanecer actualizada y adaptada a un entorno externo de riesgo que evoluciona de manera continua.

1. 6. Gestionar racionalmente la protección de datos y la seguridad.

• ·         Las medidas y garantías establecidas en las políticas definidas tienen que establecerse a partir de un análisis de riesgos en el que se evalúela proporcionalidad entre los beneficios a obtener de un acceso a distancia y el impacto potencial de ver comprometido el acceso a la información de carácter personal.
• ·        En la política deben contemplarse los procedimientos internos para provisionar y auditar los dispositivos clientes de acceso remoto, los procedimientos de administración y monitorización de la infraestructura, los servicios proporcionados por encargados y la forma en que la política es revisada y actualizada a los riesgos existentes.
• ·        Los recursos que pueden ser accedidos se han de limitar en función de la valoración del riesgo que represente una pérdida del dispositivo cliente y la exposición o acceso no autorizado a la información manejada.
• ·         Hay que planificar y evaluar las aplicaciones y soluciones de acceso remoto teniendo en cuenta los principios de privacidad desde el diseño y por defecto a lo largo de todas las etapas de despliegue de la solución: desde la definición de los requisitos y necesidades hasta la retirada de la misma o de alguno de sus componentes.

RECOMENDACIONES DIRIGIDAS AL PERSONAL QUEPARTICIPA EN LAS OPERACIONES DE TRATAMIENTO.

Las recomendaciones al personal han de estar recogidas en la política de teletrabajo del responsable, referenciadas en el acuerdo de teletrabajo y ajustadas a la situación concreta de las tareas a realizar. Una guía sobre el contenido de dichas recomendaciones es la siguiente:

1. 1. Respetar la política de protección de la información en situaciones de movilidad definida por el responsable.

• ·        Han de observarse las medidas y recomendaciones recogidas en las guías y política de protección de datos y seguridad de la información en situaciones de movilidad de finidas por la organización, así como del resto de las normas y procedimientos que la desarrollen y, especialmente, lo que concierne al deber de confidencialidad de la persona trabajadora con relación a los datos personales a los que tuviera acceso en el desempeño de sus funciones laborales.

1. 2. Proteger el dispositivo utilizado en movilidad y el acceso al mismo.

• ·      La persona empleada debe definir y utilizar contraseñas de acceso robustas y diferentes a las utilizadas para acceder a cuentas de correo personales, redes sociales y otro tipo de aplicaciones utilizadas en el ámbito de su vida personal.
• ·        No se debe descargar ni instalar aplicaciones o software que no hayan sido previamente autorizados por la organización.
• ·        Es recomendable evitar la conexión de los dispositivos a la red corporativa desde lugares públicos, así como la conexión a redes WIFI abiertas no seguras.
• ·      Deben mantenerse protegidos los mecanismos de autenticación definidos (certificados, contraseñas, tokens, sistemas de doble factor, ...) para validarse ante los sistemas de control de acceso remoto de la organización.
• ·        Si se dispone de un equipo corporativo, no se debe utilizar con fines particulares evitando el acceso a redes sociales, correo electrónico personal, páginas web con reclamos y publicidad impactante, así como otros sitios susceptibles de contener virus o favorecer la ejecución de código dañino.
• ·         Si el equipo utilizado para establecer la conexión remota es personal, debe evitarse simultanear la actividad personal con la profesional y definir perfiles independientes para desarrollar cada tipo de tarea.
• ·         El sistema antivirus instalado en el equipo debe estar operativo y actualizado.
• ·        Siempre ha de verificarse la legitimidad de los correos electrónicos recibidos, comprobando que el dominio electrónico del que procede es válido y conocido, y desconfiando de la descarga de ficheros adjuntos con extensiones inusuales o el establecimiento de conexiones a través de enlaces incluidos en el cuerpo del correo que presenten cualquier patrón fuera de lo normal.
• ·         Si pueden ser gestionadas por la persona empleada, conviene desactivar las conexiones WIFI, bluetooth y similares que no estén siendo utilizadas.
• ·        Una vez concluida la jornada de trabajo en situación de movilidad debe desconectarse la sesión de acceso remoto y apagar o bloquear el acceso al dispositivo.

1. 3. Garantizar la protección de la información que se está manejando.

• ·        Tanto en lugares públicos como en el entorno domésticos es obligado adoptar las precauciones necesarias para garantizar la confidencialidad de la información que se está gestionando.
• ·        Si habitualmente se genera y trabaja con papel, durante situaciones de movilidad es importante minimizar o evitar la entrada y salida de documentación en este soporte y extremar las precauciones para evitar accesos no autorizados por parte de terceros.
• ·     La información en soporte papel, incluyendo borradores, no se puede desechar sin garantizar que es adecuadamente destruida. Si es posible, no arrojar papeles enteros o en trozos en papeleras de hoteles, lugares públicos o en la basura doméstica a los que alguien podría acceder y recuperar información de carácter personal.
• ·      Conviene extremar las precauciones para evitar el acceso no autorizado a la información personal, propia y de terceros, manejada, no dejando a la vista ningún soporte de información en el lugar donde se desarrolle el teletrabajo y bloqueando las sesiones de los dispositivos cuando estos estén desatendidos.
• ·    Se debe evitar exponer la pantalla a la mirada de terceros. Si se trabaja habitualmente desde lugares públicos, es recomendable utilizar un filtro de privacidad para la pantalla.
• ·      En la medida de lo posible es aconsejable prevenir que se puedan escuchar conversaciones por parte de terceros ajenos utilizando, por ejemplo, auriculares o retirándose a un espacio en el que la persona empleada no esté acompañada.

1. 4. Guardar la información en los espacios de red habilitados.

• ·     Conviene evitar almacenar la información generada durante la situación de movilidad de forma local en el dispositivo utilizado, siendo preferible hacer uso de los recursos de almacenamiento compartidos o en la nube proporcionados por la organización.
• ·        Si se permite la utilización de equipos personales, no utilizar bajo ningún concepto aplicaciones no autorizadas en la política de la entidad para compartir información (servicios en nube de alojamiento de archivos, correos personales, mensajería rápida, etc.)
• ·         No se debe bloquear o deshabilitar la política de copia de seguridad corporativa definida para cada dispositivo.
• ·        Es recomendable revisar y eliminar periódicamente la información residual que pueda quedar almacenadas en el dispositivo, como archivos temporales del navegador o descargas de documentos.

1. 5. Si hay sospecha de que la información ha podido verse comprometida comunicar con carácter inmediato la brecha de seguridad.

• ·        Cualquier anomalía que pueda afectar a la seguridad de la información y a los datos personales tratados debe notificarse al responsable, sin dilación y a la mayor brevedad posible, a través de los canales definidos al efecto.
• ·       Ante cualquier cuestión que pueda suscitarse en el contexto de las situaciones de movilidad y que puedan representar un riesgo para la protección de la información y el acceso a los recursos corporativos el empleado debe consultar con el Delegado de Protección de Datos y con el responsable de seguridad de la información, o los perfiles responsables designados al efecto, trasladándoles toda información de interés de la que tenga constancia.

13 de abril de 2020

Comunicado de la Agencia Española de Protección de Datos.

SOBRE EL CORONAVIRUS

La Agencia Española de Protección de Datos, en el contexto de la emergencia de salud pública derivada de la extensión del coronavirus, está recibiendo consultas, tanto de ciudadanos como de empresas y otros sujetos obligados al cumplimiento de la normativa de protección de datos sobre el tratamiento de datos personales relativos a la salud. Estas FAQ tratan de dar respuesta a las preguntas más frecuentes que se han recibido.

-       ¿Pueden los empresarios tratar la información de si las personas trabajadoras están infectadas del coronavirus?

En aplicación de lo establecido en la normativa sanitaria, laboral y, en particular, de prevención de riesgos laborales, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que establecen, los datos del personal necesarios para garantizar su salud y adoptar las medidas necesarias por las autoridades competentes, lo que incluye igualmente asegurar el derecho a la protección de la salud del resto del personal y evitar los contagios en el seno de la empresa y/o centros de trabajo que puedan propagar la enfermedad al conjunto de la población. La empresa podrá conocer si la persona trabajadora está infectada o no, para diseñar a través de su servicio de prevención los planes de contingencia que sean necesarios, o que hayan sido previstos por las autoridades sanitarias. Esa información también puede ser obtenida mediante preguntas al personal. Sin embargo, las preguntas deberían limitarse exclusivamente a indagar sobre la existencia de síntomas, o si la persona trabajadora ha sido diagnosticada como contagiada, o sujeta a cuarentena. Resultaría contrario al principio de minimización de datos la circulación de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.   

¿     ¿Pueden transmitir esa información al personal de la empresa?

Esta información debería proporcionarse sin identificar a la persona afectada a fin de mantener su privacidad, si bien, podría transmitirse a requerimiento de las autoridades competentes, en particular las sanitarias. La información debe proporcionarse respetando los principios de finalidad y proporcionalidad y siempre dentro de lo establecido en las recomendaciones o instrucciones emitidas por las autoridades competentes, en particular las sanitarias. Por ejemplo, si es posible alcanzar la finalidad de protección de la salud del personal divulgando la existencia de un contagio, pero sin especificar la identidad de la persona contagiada, debería procederse de ese modo. Si, por el contrario, ese objetivo no puede conseguirse con información parcial, o la práctica es desaconsejada por las autoridades competentes, en particular las sanitarias, podría proporcionarse la información identificativa.

-       ¿Se puede pedir a las personas trabajadoras y visitantes ajenos a la empresa datos sobre países que hayan visitado anteriormente, o si presentan sintomatología relacionada con el coronavirus?

Con independencia de que las autoridades competentes, en particular las sanitarias, establezcan estas medidas por una cuestión de Salud Pública y que así lo comuniquen a los centros de trabajo, los empleadores tienen la obligación legal de proteger la salud de las personas trabajadoras y mantener el lugar de trabajo libre de riesgos sanitarios, por lo que estaría justificada la solicitud de información a los empleados y visitantes externos sobre síntomas o factores de riesgo sin necesidad de pedir su consentimiento explícito(RGPD y Ley de Prevención de Riesgos Laborales).

La información a solicitar debería responder al principio de proporcionalidad y limitarse exclusivamente a preguntar por visitas a países de alta prevalencia del virus y en el marco temporal de incubación de la enfermedad, las últimas 2 semanas, o si se tiene alguno de los síntomas de la enfermedad. Resultaría contrario al principio de minimización de datos la utilización de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.

-       ¿Se pueden tratar los datos de salud de las personas trabajadoras relacionados con el coronavirus?

Para cumplir las decisiones sobre la pandemia de coronavirus que adopten las autoridades competentes, en particular las sanitarias, la normativa de protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten dichas autoridades en la lucha contra la pandemia.

La normativa de protección de datos permite adoptar las medidas que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el interés público esencial en el ámbito de la salud, la realización de diagnósticos médicos, o el cumplimiento de obligaciones legales en el ámbito laboral, incluido el tratamiento de datos de salud sin necesidad de contar con el consentimiento explícito el afectado.

En todo caso, el tratamiento de estos datos debe observar los principios establecidos en el RGPD, en particular los de minimización, limitación de la finalidad y minimización de la conservación.

-       En caso de cuarentena preventiva o estar afectado por el coronavirus, ¿el trabajador tiene obligación de informar a su empleador de esta circunstancia?

Los trabajadores que, tras haber tenido contacto con un caso de coronavirus, pudieran estar afectados por dicha enfermedad y que, por aplicación de los protocolos establecidos por las Autoridades Sanitarias competentes, se ven sometidos al correspondiente aislamiento preventivo para evitar los riesgos de contagio derivados de dicha situación hasta tanto se disponga del correspondiente diagnóstico, deberán informar a su empleador y al servicio de prevención o, en su caso, a los delegados de prevención(Ley de Prevención de Riesgos Laborales)

La persona trabajadora en situación de baja por enfermedad no tiene obligación de informar sobre la razón de la baja a la empresa, sin embargo, este derecho individual puede ceder frente a la defensa de otros derechos como el derecho a la protección de la salud del colectivo de trabajadores en situaciones de pandemia y, más en general, la defensa de la salud de toda la población.

-       ¿El personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus?

Verificar si el estado de salud de las personas trabajadoras puede constituir un peligro para ellas mismas, para el resto del personal, o para otras personas relacionadas con la empresa constituye una medida relacionada con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador y debería ser realizada por personal sanitario. En todo caso, el tratamiento de los datos obtenidos a partir de las tomas de temperatura debe respetar la normativa de protección de datos y, por ello y entre otras obligaciones, debe obedecer a la finalidad específica de contener la propagación del coronavirus, limitarse a esa finalidad y no extenderse a otras distintas, y mantenidos no más del tiempo necesario para la finalidad para la que se recaban.

13 de abril de 2020

Tratamientos de datos resultantes de la actual situación derivada de la exteción del Virus COVID-19.

El Considerado (46) del RGPD ya reconoce que, en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público, como en el interés vital del interesado u otra persona física.

"(46) El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano".

Por lo tanto, en materia de riesgo de transmisión de enfermedades, epidemia, crisis sanitarias etc., la normativa aplicable ha otorgado “a las autoridades sanitarias de las distintas Administraciones públicas” (art. 1 Ley Orgánica 3/1986, de 14 de abril) las competencias para adoptar las medidas necesarias previstas en dichas leyes cuando así lo exijan razones sanitarias de urgencia o necesidad. En consecuencia, desde un punto de vista de tratamiento de datos personales, la salvaguardia de intereses esenciales en el ámbito de la salud pública corresponde a las distintas autoridades sanitarias de las diferentes administraciones públicas, quienes podrán adoptar las medidas necesarias para salvaguardar dichos intereses esenciales públicos en situaciones de emergencia sanitaria de salud pública.

Los tratamientos de datos personales en estas situaciones de emergencia sanitaria, siguen siendo tratados de conformidad con la normativa de protección de datos personales (RGPD y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, LOPDGDD), por lo que se aplican todos sus principios, contenidos en el artículo 5 RGPD, y entre ellos el de tratamiento de los datos personales con licitud, lealtad y transparencia, delimitación de la finalidad (en este caso, salvaguardar los intereses vitales/esenciales de las personas físicas), principio de exactitud, y por supuesto, y hay que hacer especial hincapié en ello, el principio de minimización de datos. Sobre este último aspecto hay que hacer referencia expresa a que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a cualesquiera otros datos personales no estrictamente necesarios para dicha finalidad, sin que pueda confundirse conveniencia con necesidad, porque el derecho fundamental a la protección de datos sigue aplicándose con normalidad, sin perjuicio de que, como se ha dicho, la propia normativa de protección de datos personales establece que en situaciones de emergencia, para la protección de intereses esenciales de salud pública y/o vitales de las personas físicas, podrán tratarse los datos de salud necesarios para evitar la propagación de la enfermedad que ha causado la emergencia sanitaria. Respecto del principio de limitación de la finalidad en relación con supuestos de tratamientos de datos de salud por razones de interés público, el Considerando (54) RGPD es claro, cuando establece que:

"El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. [...] Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines".

23 de marzo de 2018

- Asistimos al seminario sobre NUEVOS PRINCIPIOS Y GARANTÍAS PARA RESPONSABLES DE TRATAMIENTO SEGÚN EL NUEVO REGLAMENTO EUROPEO Y PROYECTO DE LEY ORGÁNICA DE PROTECCIÓN DE DATOS. Organizado por la Confederación de Empresarios de Andalucía.