I. Disposiciones generales. COMUNITAT VALENCIANA. Medidas fiscales, administrativas y financieras. Organización. (BOE-A-2024-2666)
Ley 7/2023, de 26 de diciembre, de medidas fiscales, de gestión administrativa y financiera, y de organización de la Generalitat.
117 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Martes 13 de febrero de 2024
Sec. I. Pág. 16620
2. Las empresas y establecimientos de juego que implanten,
voluntariamente, sistemas de identificación biométrica deberán hacerlo con
sujeción a la normativa en materia de protección de las personas físicas y el
tratamiento de datos personales, respetando, siempre, el derecho de la persona
jugadora o visitante a decidir que su identificación se realice, exclusivamente,
mediante lo previsto en la letra i), del apartado 2, del artículo 16 de esta ley, en los
términos reglamentariamente recogidos.
3. A efectos del régimen jurídico en materia de protección de datos se
declaran de interés público esencial la utilización de sistemas de identificación
biométricos para el control de accesos a establecimientos de juego, por aportar
garantías adicionales en la identificación de las personas. Este interés se
fundamenta en principios y derechos, constitucional y legalmente recogidos, como
la protección de la salud y de los consumidores, en general, pero, muy
especialmente, de la infancia, adolescencia y juventud o la de otros grupos
vulnerables, como el de las personas que puedan tener dispuesta alguna medida
de apoyo que incida en su esfera patrimonial o el de las personas con adicción al
juego.
4. Los tratamientos de datos de categorías especiales declarados de interés
público esencial deberán respetar las siguientes garantías:
a) Atendiendo al principio de responsabilidad desde el diseño y por defecto
previsto en el artículo 25 del Reglamento (UE) 2016/679 del Parlamento Europeo y
del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas
en lo que respecta al tratamiento de sus datos personales y a la libre circulación
de estos datos (RGPD), deberán adoptarse, tanto en el momento de determinar
los medios de tratamiento como en el momento del propio tratamiento, medidas
técnicas y organizativas apropiadas, como la seudonimización, e incluso la
agregación y anonimización. Además, deberá garantizarse que, por defecto, solo
sean objeto de tratamiento los datos personales que sean necesarios para cada
uno de los fines específicos del tratamiento y que no serán accesibles, sin
intervención de la persona, a un número indeterminado de personas.
b) Se deberá realizar una evaluación de impacto relativa a la protección de
datos conforme a lo dispuesto en el artículo 35.3 del RGPD con carácter previo a
la implantación de sistemas de identificación biométricos. Periódicamente o, al
menos, cuando exista un cambio del riesgo que representen estas operaciones de
tratamiento, el responsable examinará si el tratamiento es conforme con la
evaluación de impacto.
c) Deberán adoptarse las medidas de seguridad necesarias conforme a lo
previsto en el artículo 32 del RGPD, que deberán ser lo más rigurosas que permita
el estado de la técnica teniendo en cuenta que se están tratando datos biométricos
cuyo tratamiento es excepcional y que suponen un alto riesgo para los derechos y
libertades de las personas físicas. Entre dichas medidas se incluirán, al menos, las
siguientes:
– protección contra programas o copias maliciosas;
– reevaluación bienal del sistema, mediante auditoría externa suscrita por una
empresa distinta a la que realizó la anterior, sobre la idoneidad de las medidas de
seguridad y organizativas del sistema y su eficacia frente a la constante evolución
de los riesgos;
– disponer de mecanismos que permitan asegurar la trazabilidad de los
accesos y auditar su uso adecuado, garantizando su integridad y asociación
temporal a fuentes de tiempo fiables;
– refuerzo del control de acceso a los sistemas operativos y a las aplicaciones
que dan soporte al tratamiento de datos biométricos.
cve: BOE-A-2024-2666
Verificable en https://www.boe.es
Núm. 38
Martes 13 de febrero de 2024
Sec. I. Pág. 16620
2. Las empresas y establecimientos de juego que implanten,
voluntariamente, sistemas de identificación biométrica deberán hacerlo con
sujeción a la normativa en materia de protección de las personas físicas y el
tratamiento de datos personales, respetando, siempre, el derecho de la persona
jugadora o visitante a decidir que su identificación se realice, exclusivamente,
mediante lo previsto en la letra i), del apartado 2, del artículo 16 de esta ley, en los
términos reglamentariamente recogidos.
3. A efectos del régimen jurídico en materia de protección de datos se
declaran de interés público esencial la utilización de sistemas de identificación
biométricos para el control de accesos a establecimientos de juego, por aportar
garantías adicionales en la identificación de las personas. Este interés se
fundamenta en principios y derechos, constitucional y legalmente recogidos, como
la protección de la salud y de los consumidores, en general, pero, muy
especialmente, de la infancia, adolescencia y juventud o la de otros grupos
vulnerables, como el de las personas que puedan tener dispuesta alguna medida
de apoyo que incida en su esfera patrimonial o el de las personas con adicción al
juego.
4. Los tratamientos de datos de categorías especiales declarados de interés
público esencial deberán respetar las siguientes garantías:
a) Atendiendo al principio de responsabilidad desde el diseño y por defecto
previsto en el artículo 25 del Reglamento (UE) 2016/679 del Parlamento Europeo y
del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas
en lo que respecta al tratamiento de sus datos personales y a la libre circulación
de estos datos (RGPD), deberán adoptarse, tanto en el momento de determinar
los medios de tratamiento como en el momento del propio tratamiento, medidas
técnicas y organizativas apropiadas, como la seudonimización, e incluso la
agregación y anonimización. Además, deberá garantizarse que, por defecto, solo
sean objeto de tratamiento los datos personales que sean necesarios para cada
uno de los fines específicos del tratamiento y que no serán accesibles, sin
intervención de la persona, a un número indeterminado de personas.
b) Se deberá realizar una evaluación de impacto relativa a la protección de
datos conforme a lo dispuesto en el artículo 35.3 del RGPD con carácter previo a
la implantación de sistemas de identificación biométricos. Periódicamente o, al
menos, cuando exista un cambio del riesgo que representen estas operaciones de
tratamiento, el responsable examinará si el tratamiento es conforme con la
evaluación de impacto.
c) Deberán adoptarse las medidas de seguridad necesarias conforme a lo
previsto en el artículo 32 del RGPD, que deberán ser lo más rigurosas que permita
el estado de la técnica teniendo en cuenta que se están tratando datos biométricos
cuyo tratamiento es excepcional y que suponen un alto riesgo para los derechos y
libertades de las personas físicas. Entre dichas medidas se incluirán, al menos, las
siguientes:
– protección contra programas o copias maliciosas;
– reevaluación bienal del sistema, mediante auditoría externa suscrita por una
empresa distinta a la que realizó la anterior, sobre la idoneidad de las medidas de
seguridad y organizativas del sistema y su eficacia frente a la constante evolución
de los riesgos;
– disponer de mecanismos que permitan asegurar la trazabilidad de los
accesos y auditar su uso adecuado, garantizando su integridad y asociación
temporal a fuentes de tiempo fiables;
– refuerzo del control de acceso a los sistemas operativos y a las aplicaciones
que dan soporte al tratamiento de datos biométricos.
cve: BOE-A-2024-2666
Verificable en https://www.boe.es
Núm. 38
