Francia impondrá la tasa digital, independientemente de un acuerdo internacional

Francia impondrá la tasa digital independientemente de la decisión que tomen otros países respecto de un acuerdo internacional, conforme a este artículo de Euractiv.

Francia impondrá finalmente la tasa digital a los gigantes tecnológicos. Conforme al Ministro de Finanzas, Bruno le Maire, empresas como Amazon o Google se han beneficiado desproporcionadamente de la facilidad de hacer negocios durante la pandemia del COVID-19, y los franceses, como otras tantas naciones europeas, sienten que deben hacer algo a fin de estimular su economía local en lo que se espera que sea una gran recesión.

Washington podría hacer retroceder la tasa digital. 

Ha habido grandes polémicas en torno a la implementación de la tasa digital, que afectaría en gran medida a gigantes tecnológicos como Google, que registra ingresos anuales globales superiores a los 145 billones de euros. Desde Washington, teniendo en cuenta que muchas de estas empresas están en Estados Unidos, ha amenazado con presionar con sus propias tarifas al comercio, con el argumento añadido de que Francia tiene como objetivo ilegítimo las empresas digitales estadounidenses.

Muchas naciones europeas están promoviendo la tasa digital a pesar de las presiones.

Mientras que la implementación de una tasa uniforme a lo largo de las naciones europeas parece que llevará tiempo, Francia no es la única que quiere que salga adelante. Otros países como Italia, Reino Unido y España ya han impuesto su tasa digital, o planean hacerlo en un futuro próximo. Sin embargo, debido a la negativa de países como Irlanda, el progreso a lo largo de Europa parece estar estancado por el momento. En otras naciones como la República Checa, la Ministra de Finanzas Alena Schillerova ha afirmado que puede retrasar la implementación de la tasa digital hasta el próximo año, e imponerla a una tasa menor, de la actual propuesta del 7% hasta el 5%.

Francia impondrá una tasa digital independientemente de que se fije a nivel internacional o no.

Conforme a Euractiv, “cerca de 140 países de la Organización para la Cooperación y Desarrollo Económicos (OECD) están negociando la mayor reforma de las normas fiscales en más de una generación, para tener mejor en cuenta el surgimiento de grandes empresas tecnológicas como Amazon, Facebook, Apple y Google que normalmente registran sus beneficios en países con bajos impuestos.»

El Ministro de Finanzas Bruno Le Maire afirmó en una conferencia que “Nunca una tasa digital ha sido más legítima y necesaria. En cualquier caso, Francia aplicará, como siempre ha dicho, una tasa digital a los gigantes en 2020 de manera internacional, tanto si hay acuerdo como si no“. Inicialmente, en enero, el gobierno de Francia había ofrecido suspender la actual tasa digital a las empresas tecnológicas hasta el final de 220, mientras se negociaba un acuerdo para una tasa internacional. Sin embargo, debido a las circunstancias ocasionadas por el brote de coronavirus, la situación ha cambiado, pues los ministros de finanzas están ahora, más que nunca, centrados en salvar su economía local.

EU busca un espacio digital mejor gestionado, incluida una tasa digital.

En consideración de lo que parece ser una integración de las economías europeas y estadounidenses en la esfera digital, la Unión Europea pretende introducir regulación para alcanzar un campo de juego equilibrado y proteger los intereses tanto de consumidores como de empresas europeas en este nuevo mundo digital. Con normativa como el RGPD para controlar los flujos internacionales de información y proteger los datos de los consumidores, muchas autoridades legislativas creen que la tasa digital es absolutamente necesaria como próximo paso. Muchos gigantes corporativos como Amazon y Google, con muy poca presencia en Europa, han escapado de lo que muchos considerarían una presión fiscal justa, como resultado de su actividad predominantemente online. Por este motive, muchos gobiernos a lo largo de Europa establecen que es el momento de ajustar las condiciones. Mientras que hay muchas iniciativas más centradas en inversión y educación, hay una presión ahora por parte de los legisladores para aplicar la tasa digital, especialmente por la situación actual de necesidad de ingresos y de estimulación de las economías locales afectadas por el COVID-19. En última estancia, el resultado de esto será un espacio digital mejor gestionado donde las empresas online no se beneficiarán de una ventaja desproporcionada.

Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Brecha de seguridad

Brecha de seguridad en la Comisión de Atención Sanitaria de la Provincia de Örebro, en Suecia.

Brecha de seguridad en la Comisión de Atención Sanitaria de la Provincia de Örebo, en Suecia, tras publicar datos sensibles en la página web de la región. 

 

La brecha de seguridad de la Comisión de Atención Sanitaria se descubrió después de que la Autoridad de Control de Suecia recibiese múltiples quejas al respecto. Conforme al artículo publicado por el Comité Europeo de Protección de Datos, las denuncias eran relativas a la publicación de los datos personales de un paciente admitido a psiquiatría forense, lo cual se reveló tras llevar a cabo una auditoría. La Autoridad de Control sueca descubrió así que se habían publicado por error categorías especiales de datos, sin una finalidad ni base legítima para ello. Tampoco se aplicaba ninguna de las excepciones recogidas en el Reglamento General de Protección de Datos. Como resultado, la Autoridad de Control multó a la Comisión y ordenó la realización de algunos cambios. 

 

La Autoridad de Control sueca descubrió una falta de instrucciones escritas en relación a la publicación de datos, lo cual incrementaba el riesgo de brecha de seguridad. 

 

La Autoridad de Control sueca inició una auditoría tras recibir una queja sobre la brecha de seguridad en cuestión y descubrió que no se habían elaborado instrucciones para la publicación de información en la página web de la Comisión. La Comisión ha dependido en este sentido únicamente de la comunicación oral cuando se trata de transmitir instrucciones para la publicación, de modo que el incidente se ha derivado de dicha práctica incompleta. Aunque en este caso fue accidental, los hechos evidencian la insuficiencia de sus medidas para asegurar la protección de los datos personales. 

La brecha de Seguridad de la Comisión de Atención Sanitaria ha resultado en una multa de 120.000 coronas suizas y una orden para enmendar sus acciones. 

La Autoridad de Control sueca ha ordenado a la Comisión la elaboración de instrucciones escritas y la implementación de medidas para asegurar el cumplimiento con las mismas de aquellos encargados de publicar datos en la página web. Además de requerir el cumplimiento absoluto con el RGPD, la Autoridad de Control ha impuesto también el pago de 120.000 coronas suizas como multa administrativa (aproximadamente 11.000 euros). El documento que origin la brecha de seguridad ha sido ya eliminado de la página web. 

 

¿Qué debería haber hecho la Comisión de Atención Sanitaria para evitar la brecha? 

 

-Deberían haber contado con una adecuada política de protección de datos interna en la que se ofreciesen instrucciones escritas sobre cómo tratar y proteger los datos personales en poder de la Comisión. 

Conforme al artículo 24 del RGPD “(1) Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario; (2) Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos”.

-Asimismo, tendrían que haber ofrecido formación a sus empleados. La formación es esencial cuando se trata de reducir el riesgo de brechas de seguridad, porque sólo así el personal entenderá los procesos internos y las normas de protección de datos que les afectan. 

¿Por qué son estas medidas especialmente importantes en este caso? 

Los datos afectados por el incidente incluyen información de salud, lo cual es una categoría especial de datos personales, con lo que se deben aplicar medidas de seguridad adicionales y recordar que las bases para el tratamiento se reducen. Sin embargo, en este caso cabe destacar que la brecha habría tenido lugar aunque los datos publicados no hubiesen sido sensibles, porque igualmente no hay base legítima para hacer dicha información pública. 

 

¿Has implementado todas las medidas necesarias para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

EDPB GDPR consent guidelines .

El CEPD ha publicado sus directrices sobre el consentimiento bajo el RGPD

El Comité Europeo de Protección de Datos (CEPD) ha publicado sus directrices de consentimiento conforme a la normativa de protección de datos, e incluye un completo análisis del concepto de consentimiento bajo el RGPD. 

El CEPD ha publicado a principios de este mes sus directrices sobre consentimiento conforme a la normativa de protección de datos, e incluye un completo análisis del concepto de consentimiento bajo el RGPD.  En el documento de 31 páginas, el CEPD desarrolla los requisitos para obtener y demostrar consentimiento válido. El consentimiento es una de las seis bases legítimas para tartar datos personales, tal y como se recoge en el artículo 6 RGPD, pero los responsables del tratamiento habrán de considerar cuál es la base legítima de tratamiento en cada caso antes de iniciar actividades que impliquen tratamiento de datos personales. 

Elementos de un consentimiento válido bajo el RGPD.

El artículo 4 (11) del RGPD define el consentimiento como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. 

El uso del término “libre” implica que el interesado tiene una opción real. Como regla general, el RGPD establece que si el sujeto no tiene una opción real, se ve obligado a otorgarlo o siente que se van a derivar consecuencias negativas en ausencia del mismo, entonces el consentimiento no será válido. Cualquier elemento de presión o influencia no apropiado que impida al individuo ejercer su libre voluntad, invalidará el consentimiento. 

Para que el consentimiento sea válido, tendrá que ser también específico, lo que implica que se da en relación “a uno o más” finalidades “específicas” y existe una posibilidad de elegir en todas ellas. El requisito de que sea “específico” persigue garantizar un determinado grado de control y transparencia al sujeto. Conforme al artículo 6 (1) (a) del RGPD, la finalidad para la cual los sujetos ceden su consentimiento, deberá siempre ser específica y explícita. 

EL RGPD también mantiene que el consentimiento debe ser informado. Conforme al artículo 5 del RGOD, la transparencia es uno de los principios fundamentales, junto a la legitimidad y la legalidad. Es obligatorio que los interesados cuenten con información suficiente antes de otorgar su consentimiento; en caso contrario, el consentimiento será inválido por infringir el Artículo 6 del RGPD. 

El CEPD considera que al menos se deberá ofrecer la siguiente información: 

  1. la identidad del responsable;
  2. la finalidad de cada una de las operaciones para las cuales se estás solicitando consentimiento;
  3. el tipo de datos que se va a recoger y tratar;4.
  4. la existencia del derecho a retirar el consentimiento;
  5. información sobre toma automatizada de decisiones conforme al Artículo 22 (2) © del RGPD donde sea relevante y
  6. los posibles riesgos de las transferencias de datos en ausencia de una decisión de adecuación u otras medidas como se describe en el artículo 46 RGPD. 

Además del criterio detallado más arriba, el consentimiento deberá otorgarse siempre mediante un acto afirmativo o declaración. Debe quedar claro que el sujeto consiente a un tratamiento específico. El Artículo 11 del RGPD clarifica que el consentimiento válido requiere una manifestación inequívoca por medio de una declaración o acción afirmativa, lo que implica una elección deliberada. 

Obtención de consentimiento explícito bajo el RGPD.

En el caso de aquellos tratamientos de datos que presenten riesgos para la protección de datos, normalmente se requiere un consentimiento explícito. Conforme al Artículo 9 del RGPD, se precisa consentimiento explícito para el tratamiento de categorías especiales de datos. El término “explícito” se refiere a la forma en que el interesado expresa el consentimiento, ya sea mediante una declaración firmada, de manera electrónica, mediante email, un documento escaneado con la firma o la firma electrónica. En teoría, una declaración oral debería ser válida también, pero puede resultar difícil para el responsable probar que todas las condiciones se dieron de manera adecuada en el momento de la recogida. 

Condiciones adicionales para obtener un consentimiento válido bajo el RGPD

Conforme al Artículo 7 del RGPD, el responsable del tratamiento es quien debe demostrar que cuenta con el consentimiento del sujeto. El Considerando 42 establece que: “Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento.”  Así por tanto, los responsables pueden guardar registros de las declaraciones de consentimiento, o elegir otro método para cumplir con esta disposición. La obligación de demostrar consentimiento abarca todo el tiempo en el cual se extiende la actividad de tratamiento. Aunque no hay un límite específico de duración del consentimiento en el RGOD; el CEPD recomienda que el consentimiento se renueve cada ciertos intervalos. 

En relación a la retirada de consentimiento, el RGPD recoge que el consentimiento debe poder ser retirado por el interesado tan fácil como fue otorgado, y en cualquier momento. El RGPD no concreta si ambos extremos deben hacerse de la misma forma, pero sí establece que si el consentimiento se dio de forma electrónica, también debe poder retirarse de la misma manera. Los responsables tienen asimismo la obligación de borrar los datos que se obtuvieron por medio de consentimiento cuando ya no exista ninguna finalidad que justifique su tratamiento. 

Ejemplos

Las directrices ofrecen algunos ejemplos sobre los casos en los que el consentimiento es válido y cuando no lo es. En las siguientes líneas hemos recogido algunos de los que hemos considerado más interesantes: 

Marketing propio y de terceros configurado de forma ilícita:

“Un minorista aúna la solicitud de consentimiento para marketing propio y de otras empresas dentro del grupo. Este consentimiento no será granular porque no hay solicitudes separadas para las dos finalidades diferentes, con lo que el consentimiento otorgado no sería válido. En este caso, debería recogerse un consentimiento específico para enviar los datos de contacto a socios comerciales. Dicho consentimiento específico sería considerado válido para cada socio de quien se haya proporcionado la identidad en el momento de la recogida del consentimiento, siempre y cuando la finalidad del tratamiento de los datos sea la misma (por ejemplo, marketing)». 

Provisión del servicio y marketing configurado de manera ilícita: 

“Un sitio web introduce un script que bloquea el contenido de la web, excepto la solicitud para aceptar las cookies y la información al respecto. No hay posibilidad alguna de ver el contenido sin aceptar las cookies. Dado que no se le presenta al interesado una opción genuina, el consentimiento no se habrá dado de forma libre. No es por tanto consentimiento válido, porque el servicio estará basándose en la aceptación de las cookies que no se ha realizado de manera correcta”. 

“Conforme el Considerando 32, acciones como desplazarse por una página web no serán en ningún caso conformes con el requisito de acción clara y afirmativa, pues sería difícil de distinguir de otras interacciones del usuario y por tanto no se podría determinar que el consentimiento no ha sido ambiguo. Además, en ese caso, sería difícil ofrecer al interesado una forma de retirar su consentimiento de manera tan sencilla a la usada para garantizarlo”. 

Acceso a características del teléfono configuradas de manera ilegítima en relación al producto: 

“Cuando se descarga una app móvil de estilo de vida, la app solicita consentimiento para acceder al acelerómetro del teléfono. Esto no es necesario para que la app funcione, pero es útil para los responsables que desean conocer más de los movimientos y niveles de actividad de sus usuarios. Cuando el usuario más tarde revoca el consentimiento, descubre que la app sólo funciona ahora de manera limitada. Este es un ejemplo de lo que recoge el Considerando 42 e implica que el consentimiento nunca fue obtenido de manera válida (y que, por tanto, el responsable debe borrar todos los datos sobre los movimientos de los usuarios recogidos de esa forma)”.

Sin embargo, si sólo se pierden beneficios ligados al consentimiento cuando este se deniega, sí será válido: 

“Un sujeto se subscribe a la newsletter de un minorista de moda que incluye descuentos generales. El minorista solicita consentimiento para recoger más datos sobre las preferencias de compra y así personalizar las ofertas a sus preferencias basado en el historial de compra o en un cuestionario que puede rellenar de forma voluntaria. Si el consentimiento se revoca después, el único efecto es que el cliente volverá a recibir ofertas no personalizadas, y sólo se habrá perdido un incentivo tolerable”. 

Además, no hay perjuicio si se ofrece un canal alternativo: 

“Una revista de moda ofrece a sus lectores acceso para comprar unos productos de maquillaje antes de su lanzamiento. Los productos estarán en breves disponibles para la venta, pero los lectores pueden acceder a una preventa, para lo cual es necesario dar su dirección postal y aceptar suscribirse a la newsletter de la revista. La dirección postal es requerida para el envío, y la lista de mail se emplea para enviar ofertas comerciales de productos como cosméticos o camisetas a lo largo del año. La empresa explica que los datos de la lista de email sólo se usarán para enviar merchandise y publicidad en papel de la revista como tal, y que no será compartido con ninguna otra organización. En caso de que el lector no quiera dar su dirección por esta razón, no hay perjuicio porque los productos estarán disponibles para ellos igualmente”.

Se deberá elaborar una política en relación al consentimiento de los menores: 

“Una Plataforma online de gaming quiere asegurarse de que los menores que se suscriben a sus servicios cuentan con el consentimiento de sus padres o tutores. El responsable sigue estos pasos: Paso 1- le pregunta al usuario si está por encima o por debajo de la edad de 16 años (o una edad alternativa, según la normativa nacional). El usuario afirma que su edad está por debajo de la mínima para otorgar consentimiento a los servicios digitales; Paso 2- el servicio le informa al menor de que el padre o tutor deberá autorizar el tratamiento antes de que el menor pueda usar los servicios; Paso 3- el servicio contacta al padre o tutor y obtiene el consentimiento vía email, con la implementación de una serie de medidas para confirmar que el adulto en cuestión es el tutor del menor; Paso 4- en caso de quejas, la plataforma toma medidas adicionales para verificar la edad del subscriptor. Si la plataforma ha cumplido con el resto de requisitos de consentimiento, la plataforma habrá actuado de manera correcta conforme al artículo 8 del RGPD con estos pasos”.

¿Necesitas orientación sobre las medidas que deberían aplicarse al consentimiento? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

EDPB on Health Data

EL CEPD publica sus directrices para el tratamiento de datos de salud con fines de investigación durante el COVID-19.

En medio del brote del COVID-19, el CEPD ha adoptado unas directrices para el tratamiento de datos de salud con fines de investigación con el propósito de aclarar algunas dudas al respecto. 

En previsión de que no volveremos a la normalidad hasta que se disponga de una vacuna contra el COVID-19, investigadores de todo el mundo están concentrando sus esfuerzos en hallar resultados lo más rápido posible. En este contexto, son inevitables las preguntas en torno al papel que juega el RGPD en todo esto, de manera que el CEPD ha lanzado unas directrices para el tratamiento de datos de salud con fines de investigación, con el objetivo de proporcionar una guía básica al respecto. 

¿Qué se entiende por “datos de salud”?

El artículo 4 (15) del RGPD define “datos relativos a la salud” como “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”. Esta definición también abarca:

  • Información que se convierte en datos de salud por referencias cruzadas con otros datos de modo que se revela el estado de salud o los riesgos asociados a la salud, como por ejemplo la presunción de que una persona tiene más alto riesgo de sufrir una enfermedad grave por contagio de COVID-19 debido a contar con patologías previas. 
  • Información que se convierte en datos de salud por su uso en un contexto específico, como aquella relativa a un viaje reciente a alguna región afectada por el COVID-19. 

El CEPD señala que el concepto “tratamiento con fines de investigación científica” deberá ser interpretado de manera amplia, conforme al considerando 159 RGPD. 

¿Cuál es la base legítima para el tratamiento?

Conforme al RGPD, el tratamiento de categorías especiales de datos se permite sólo en algunos escenarios. Aquellos que pueden tomar especial relevancia en lo que se refiere al tratamiento de datos de salud para fines de investigación durante el COVID-19 son los siguientes: 

  • El sujeto ha dado consentimiento explícito.
  • El tratamiento se refiere a datos personales que han sido hechos manifiestamente públicos por el sujeto. 
  • El tratamiento es necesario para fines de medicina preventiva u ocupacional. 
  • El tratamiento es necesario por razones de interés público en el área de salud pública. 
  • El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sobre la base del Derecho de la Unión o de los Estados miembros.

Es importante señalar que “el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales”, sujeto a las medidas apropiadas.

¿Se debería informar a los interesados?

Conforme a los artículos 13 y 14 RGPD, los interesados deberían ser informados en el momento de obtención de los datos o dentro de un período razonable y como máximo un mes cuando estos no se hayan recogido del interesado como tal. 

Sin embargo, dado que muchas veces no es posible identificar completamente la finalidad del tratamiento para fines de investigación científica en el momento de la recogida, el CEPD recomienda proporcionar tal información dentro de un período de tiempo razonable antes de que se implemente el proyecto. 

Existen cuatro excepciones:

  • El interesado ya está en posesión de la información.
  • Proporcionar la información resulta imposible, implicaría un esfuerzo desproporcionado o es susceptible de perjudicar los resultados.  En este caso, el responsable debería demostrar todos los factores que limitarían este derecho, y realizar un ejercicio de evaluación sobre el impacto potencial y los efectos de no ofrecer la información.
  • La obtención o divulgación está expresamente establecida por la legislación de la Unión o de los Estados miembros, sujeto a que se establezcan “medidas adecuadas para proteger los intereses legítimos de los sujetos”. 
  • Los datos personales son confidenciales por la obligación de secreto profesional. 

¿Qué otras medidas se deberían aplicar?

A la luz del principio de minimización de datos, el CEPD considera esencial especificar y detallar las preguntas de investigación y así evaluar el tipo y cantidad de datos necesarios para poder responder a las mismas. Además, los datos deberán ser anónimos siempre y cuando sea posible. 

Asimismo se tendrán que acordar períodos de almacenamiento de los datos, en valoración de criterios como la duración y la finalidad de la investigación. 

En relación a las medidas de seguridad, cabe apuntar que, junto a la pseudonimización, encriptado, acuerdo de no-divulgación y controles de acceso estrictos, el CEPD enfatiza la necesidad de realizar evaluaciones de impacto cuando el tratamiento “puede resultar en un alto riesgo para los derechos y libertades de las personas” y enfatiza la importancia de los delegados de protección de datos como una parte fundamental que debería estar involucrada en el proceso. 

¿Qué ocurre con el ejercicio de los derechos de os sujetos?

Junto a las exenciones a la obligación de información comentadas anteriormente, el artículo 17 (3) (d) establece que el derecho de supresión no se aplicará cuando el tratamiento sea necesario “con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento”.

Según jurisprudencia del TJUE, todas las restricciones de los derechos de los sujetos operarán siempre y cuando sea estrictamente necesario, con lo que estas deben entenderse de manera restringida.

 

¿Están permitidas las transferencias internacionales de datos?

En ausencia de una decision de adecuación conforme al artículo 45 (3) RGPD o garantías adecuadas según el artículo 46 RGPD, el artículo 49 RGPD recoge algunas situaciones específicas bajo las que las transferencias de datos pueden llevarse a cabo de manera excepcional: 

  • El sujeto ha consentido de manera explícita a la realización de la transferencia. 
  • La transferencia es necesaria por razones importantes de interés público. 

Cabe señalar, sin embargo, que transferencias repetidas de datos a terceros países como parte de proyectos de investigación de larga duración tendrán que encuadrarse dentro del marco de garantías adecuadas previsto en el artículo 46 RGPD.

¿Tienes dudas sobre cómo cumplir con la normativa de protección de datos durante el tiempo que dure la pandemia? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.

Y si quieres estar actualizado de las últimas novedades sobre el COVID-19 e IA, no te olvides de suscribirte a nuestro Canal de YouTube