M1-800- LEGISLACIÓN Y REGULACIÓN

Semestre Feb.20-Junio20 Módulo 2

PEC 1

1) La protección de datos personales encuentra una de sus bases en:

a) Únicamente en la legislación española, en concreto, en Ley Orgánica 15/1999 de 13 de

diciembre, de Protección de Datos de Carácter Personal (LOPD).

b) Únicamente en la legislación española, iniciándose en la Ley Orgánica 5/1992, de

29 de octubre, de Regulación del Tratamiento Automatizado de Datos de carácter
personal (LORTAD).

c) La Carta Europea de Derechos Fundamentales de la Unión Europea, por la que se

reconoce el derecho a la protección de datos personales como un derecho fundamental.

d) La protección de los derechos de autor en el mundo digital, en tanto el autor sea una
persona física.

La respuesta seleccionada es la c):

Las leyes, reglamentos y normativas, sobre la materia se puede decir que viene de la
adecuación de normas de la jurisprudencia española.

2) El artículo 18.4 de la Constitución dice que:

a) La Ley limitará el uso de la informática para garantizar el honor y la

intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus
derechos.

b) La ley regulará... b) El acceso de los ciudadanos a los archivos y registros

administrativos, salvo en lo que afecta a la seguridad y defensa del Estado, la
averiguación de los delitos y la intimidad de las personas.

c) La ley regulará... b) El acceso de los ciudadanos a los archivos y registros

informáticos, salvo en lo que afecta a la seguridad y defensa del Estado, la
averiguación de los delitos y la intimidad de las personas.

d) Los tratados internacionales válidamente celebrados, una vez publicados

oficialmente en España, formarán parte del ordenamiento interno.

La respuesta seleccionada es la a):

El Tribunal Constitucional señaló en su Sentencia 94/1998, de 4 de mayo, que nos

encontramos ante un derecho fundamental a la protección de datos por el que se garantiza
a la persona el control sobre sus datos, cualesquiera datos personales, y sobre su uso y
destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos
de los afectados; de esta forma, el derecho a la protección de datos se configura como una
facultad del ciudadano para oponerse a que determinados datos personales sean usados
para fines distintos a aquel que justificó su obtención

Esta ley garantiza como derecho fundamental la protección de los datos, y a las personas
el control sobre los mismos, que pueden ser de cualquier tipo, uso, destino, tráfico ilícito
etc., dándole la facultad al ciudadano para oponerse a la distorsión o desviación del
objetivo para el cual fue direccionado la obtención de sus datos.

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de

los derechos [Link] el 1 de marzo del 2020 de:
[Link]

3) La Agencia Española de Protección de Datos:

a) Es un ente de derecho público que actúa con dependencia del Ministerio de Justicia en
el ejercicio de sus funciones.

b) Es un ente de derecho privado que actúa en el ejercicio de sus funciones según lo

dispuesto por el Ministerio de Justicia.

c) Es un ente de derecho público que actúa con plena independencia de las

Administraciones Públicas en el ejercicio de sus funciones.

d) Ninguna de las anteriores es correcta.

La respuesta seleccionada es la a):

Es la encargada de velar por la privacidad y la protección de datos de los ciudadanos, su

objetivo principal es el fomento a que los ciudadanos conozcan sus derechos a que la
Agencia ofrece para ejercerlos.

Agencia Española de Protección de [Link] el 13 de marzo del 2020 de:

[Link]

4) En caso de conflicto entre el RGPD y la LOPDGDD, ¿cuál se debe aplicar?

a) Dependerá del artículo en cuestión que se esté aplicando.

b) Siempre el Reglamento por ser Derecho de la Unión de aplicación directa.
c) Siempre la LOPDGDD por ser Derecho Nacional.
d) Lo determinará un Tribunal.

La respuesta seleccionada es la b):

El RGPD no necesita de ninguna ley para su implementación su naturaleza es de

aplicación directa, mientras que la LOPDGDD es una ley que adapta el reglamento
para su aplicación nacional.

La Ley Orgánica 3/2018, de Protección de Datos y RGPD – Todo lo que debes

[Link] el 14 de marzo del 2020 de: [Link]
proteccion-datos-rgpd/#Que_diferencia_hay_entre_LOPD_y_RGPD.
5) En relación a los tratamientos y el delegado de protección de datos:

a) Los tratamientos deben comunicarse en cuanto hayan sido definidos o cambien a la

AEPD.
b) La designación del Delegado de Protección de Datos debe ser comunicada a la
AEPD.
c) Ni la identificación de tratamiento, ni la designación del Delegado de Protección de
Datos debe ser comunicada a la AEPD.
d) Tanto la identificación de tratamientos, como la designación del Delegado de
Protección de Datos debe ser comunicada a la AEPD.

La respuesta seleccionada es la b):

Los responsables del tratamiento comunicarán en un plazo de diez días a la AEPD, de la

designación o cese de los Delegados de Protección de Datos.

6) En relación a la notificación de brechas de seguridad:

a) De forma general deberá notificarse a la autoridad de control en el plazo de 72

horas.
b) En menos de 72 se debe ofrecer toda la información al respecto de la brecha de
seguridad, así como la solución aportada.
c) Se da detalle sobre cómo actuar ante una brecha de seguridad en la Instrucción Técnica
de Seguridad sobre la Auditoría de Sistemas.
d) El interesado debe ser notificado de toda incidencia que sufran sus datos personales.

La respuesta seleccionada es la a):

Cuando se produzca la violación de seguridad de los datos personales, la notificación se

realizará a la autoridad de control competente, esta se realizará "sin dilación indebida".

7) Cuáles de las siguientes condiciones debe cumplir el consentimiento del

interesado:

a) Debe utilizar un lenguaje técnico y jurídico con el fin de explicar exactamente los
términos de este.
b) Puede ser retirado por el interesado en los periodos establecidos por el responsable del
tratamiento, siendo al menos posible dos veces al año.
c) Debe utilizar un lenguaje claro y sencillo, de forma que el mensaje resulte
inteligible y de fácil acceso.
d) La retirada del consentimiento debe hacerse de forma presencial para asegurar la
identificación del solicitante.

La respuesta seleccionada es la c):

El consentimiento debe darse mediante un acto afirmativo, reflejando voluntad, de

aceptar el tratamiento de sus datos, el consentimiento podrá ser realizado por escrito,
por medios electrónicos o de forma verbal.
8) ¿Cuál es la sanción por una falta grave según el RGPD?

a) Multa administrativa de hasta 10.000.000€ o, en el caso de empresas, de cuantía

equivalente al 2% como máximo del volumen de negocio total anual, lo que resulte
mayor en cuantía.
b) Multa administrativa de hasta 20.000.000€ o, en el caso de empresas, de cuantía
equivalente al 4% como máximo del volumen de negocio total anual, lo que resulte mayor
en cuantía.
c) Dependiendo de factores, como la reincidencia en la infracción podrá ser entre 40.001€
y 300.000€.
d) El RGPD no especifica cuantía para las sanciones.

La respuesta seleccionada es la a):

Tomado del Artículo 83 de la RGPD Condiciones generales para la imposición de multas

administrativas.

1. Cada autoridad de control garantizará que la imposición de las multas administrativas

con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en
los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y
disuasorias.

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de

2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento general de protección de datos)
.Recuperado el 16 de marzo del 2020 de:[Link]
L-2016-80807.

9) De acuerdo con la Ley Orgánica de Protección de Datos, 3/2018, en relación con

el ejercicio de los derechos de rectificación y/o cancelación se necesita:

a) Con carácter general, su ejercicio es gratuito. e jo diría: con carácter general, su

ejercicio es gratuito
b) Es preciso pagar solo los gastos ocasionados por la rectificación
c) Se necesita un notario
d) Ninguna de las respuestas anteriores es cierta.

La respuesta seleccionada es la d):

10) En relación a la elaboración de perfiles:

a) El afectado deberá ser informado de su derecho a oponerse a la adopción de

decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le
afecten significativamente.
b) En la información que se le ofrezca al afectado deberá incluirse detalle del algoritmo
utilizado.
c) Por razones comerciales no se dará detalle de las fuentes de las que proceden los datos.
d) El interesado tendrá derecho de oposición durante el primer año después del comienzo
de la actividad de elaboración de perfiles.
La respuesta seleccionada es la a):

Relativa a la elaboración de un perfil, lo que significa que una persona sea evaluada
basados únicamente en sus datos, sin la interactuación humana.

SUPUESTO PRÁCTICO I (4 puntos)

El presente supuesto práctico consiste en realizar un análisis de riesgos legales con

relación al cumplimiento de la normativa de protección de datos, en concreto a las
medidas de seguridad de la información exigidas.

El mismo se basa en un centro hospitalario, en concreto os solicitan que como expertos

en seguridad de la información evaluéis los riesgos legales relacionados con TIC y la
protección de datos de los sistemas de información que utilizan.

Los mismos son:

• Servidores ubicados en los sótanos del hospital.

Estos servidores contienen las siguientes tipologías de datos personales:
o Datos personales del personal del hospital (para la gestión de recursos
humanos, pago de nóminas, seguridad social, etc.)
o Datos personales de proveedores de bienes y servicios del hospital que son
personas físicas (para la gestión fiscal y contable).
o Historias clínicas de los pacientes.

• Correo electrónico a través de correo web.

• Intranet que permite acceder a los datos mencionados.
• Plataforma web que permite conectarse de manera on-line a los servidores y
acceder a los datos personales señalados.

Para realizar este análisis de los riesgos jurídicos se propone la siguiente escala:

CUESTIONES

1. Detecta diez posibles amenazas para la seguridad de los datos personales que trata el
centro hospitalario (Pensad en amenazas relacionadas con la disponibilidad, integridad y
confidencialidad de los datos). Se puede utilizar el RD 1720/2007 para establecer
posibles amenazas a partir de sus medidas de seguridad.

1) Intrusión no autorizada en la red del sistema.

2) Violación de la privacidad de los datos por parte de los empleados.
3) Comprometer información confidencial de los pacientes.
4) Errores en mantenimiento.
5) Fuga de información.
6) Código malicioso.
7) Hurtos o vandalismo.
8) Uso no autorizado de software.
9) Pérdida de información por falta de respaldos.
10) Amenaza interna.
2. Analizar las vulnerabilidades y hacer consideraciones sobre las mismas.

1) Falta de segmentación en la red del sistema.- Red de datos la debida

clasificación.
2) Supervisión negligente de los empleados.- Exceso de confianza en los
empleados puede ser una vulnerabilidad muy crítica.
3) Descarte de medios de almacenamiento sin eliminar datos.- Cuando las personas
encargadas de la información no tienen las debidas precauciones en eliminar los
datos medios extraíbles.
4) Reemplazo inadecuado de equipos obsoletos.- Tener protocolos claros para el
cambio, por problemas de respaldos y fuga de información.
5) Falta de políticas de confidencialidad de los datos.- Crear una política muy
estricta para la confidencialidad de la información por parte de recursos
humanos hacia los empleados.
6) Descarga sin restricción de internet.- Dejar abierto el uso de internet sin tener
restricción de acceso a páginas web, y descarga de archivos.
7) Control inadecuado del acceso físico.- Se debe tener un control adecuado del
acceso de personal a las diferentes áreas determinando cuales son de libre acceso
y cuales son restringidas.
8) Software no documentado.- Instalación de cualquier tipo de software sin tener
un adecuado control de políticas de instalación de software licenciado.
9) Falta de redundancia, copia única.- Es necesario varias tener copias de
seguridad, de tal manera que sé de continuidad al negocio por cualquier
eventualidad.
10) Uso inadecuado del computador asignado.- El empleado no realiza un buen uso
del computador asignado sin seguir las políticas de escritorio limpio, claves
adecuadas etc.

3. Evaluar el impacto de las amenazas detectadas. Ver tabla de impacto (escala de 1 a

5).

Amenaza: Impacto: Mínimo (1) Bajo (2) Moderado (3) Alto (4) Máximo (5)
Intrusión no Denegació Los empleados Los El tiempo de El El sistema es
autorizada en n del no percibirán el empleado negación al sistema inaccesible.
la red del servicio ningún problema s notaran sistema se es Posible daño
sistema un prolonga por inaccesib permanente
pequeño una o dos horas le por un
retraso en periodo
las de dos día
actividade o más
s normales
del
sistema
Violación de Destrucció Acceso a la Daños Daños Daño en Perdida total de
la privacidad n, pérdida o información por reversible reversibles de la la información,
de los datos alteración parte de personas s a la información, se informaci cambios o
por parte de accidental o no autorizadas sin informaci requiere soporte ón daños
los empleados ilícita sufrir ón, se externo para posible irreversibles,
de datos modificaciones o requiere solucionar el perdida o
personales pérdidas, procesos problema alteración
copias de los
procesos más de los datos por parte
menores para complejos datos de personas
resolver el para irreversib inescrupulosas
problema solucionar le
el
problema
Comprometer Divulgació Los interesados Los Los interesados Los Los problemas
información n de no percibirán interesado percibirán algún interesad pueden tener
confidencial informació ningún cambio s tipo de os consecuencias
de los n percibirán consecuencias percibirá irreversibles
pacientes. confidencia algún tipo significativas. n
l de problema
consecuen s
cia pero significat
será ivos
superable
Errores en Daño en los Plan de Plan de Plan de Plan de Plan de
mantenimient equipos y mantenimiento mantenim mantenimiento manteni mantenimiento
o. perdida de obsoleto sin iento obsoleto daños miento obsoleto daños
la perjuicio de obsoleto en los equipos obsoleto en los equipos
informació perdida de posibles reparación con daños en
sin reparación
n. información ni daños en horas de retraso, los
daños en los los posibles equipos
y perdida de la
equipos. equipos, perdidas de reparació información.
reparación información n externa,
inmediata perdida
sin de la
perdida de informaci
la ón.
informaci
ón.
Fuga de Podrían Acceso a la Sin Se afecta la Genera Los daños a la
información. conllevar información sin problemas información un reputación
sanciones daños a la misma. daño sensible y impacto conllevan
económicas aceptable. existen posibles negativo consecuencias
o amonestaciones. de la con graves
administrat institució
ivas n y lleva
sanciones
implícita
pérdida
de
confianza
Código Ataque o Fallas en los Posible Ataque por Ataque Falla
malicioso infección equipos de infección código por catastrófica
por código mínimo impacto en los malicioso que código ocasionada por
malicioso equipos puede causar la malicioso código
sin interrupción de interrump malicioso,
interrupci los servicios y e los
ón de los poner en marcha servicios
borrado de
servicios procesos por un elemento
de restauración tiempo críticos del
de información prolonga sistema
y de los equipos do
de cómputo debiendo
necesarios poner en
marcha
procesos
de
desinfecc
ión,
posible
perdida
de
informaci
ón en los
equipos
Hurtos o Perdida de Sin perdidas Intento de Hurto de Robo de Robo de
vandalismo. activos e aparentes de hurto de equipos con equipos e equipos e
informació información o equipos consecuencias informaci información
n robo de equipos sin daño a menores sin ón con sensible con
la afectación a la consecue consecuencias
infraestru información ncias
ctura graves y
legales graves
perdida
de
informaci
ón
Uso no Pérdida de Revisión de los Revisión Revisión Revisión Revisión
autorizado de datos, equipos sin periódica periódica de los periódica periódica de
software fallos consecuencias. de los equipos de los los equipos
críticos del equipos aplicando equipos aplicando
sistema por políticas de aplicando políticas de
informático posible instalación de políticas
instalación de
o una instalació software de
mayor n de indebido o sin instalació software
exposición software licencia, con n de indebido o sin
a los indebido o posibles software licencia, con
ataques de sin sanciones. indebido sanciones por
virus licencia, o sin responsabilida
informático sin licencia, d y destitución
s y malware inconveni con de los
entes en la sanciones involucrados
continuida por
d del responsa
servicio bilidad
Pérdida de Pedida total A los interesados Daño Daño en elDaños en Daños en los
información de la nos les afecta. menor en equipo, perdida
los servidores,
por falta de informació el equipo, de tiempo y
servidore consecuencias
respaldos n la recursos, para
s con fatales para la
informaci recuperar la
perdida institución por
ón fue información o la
de
recuperad generación de la
informaci
no tener
a misma ón, respaldo de la
restauraci información
ón con
copia
antigua
de
respaldo
Amenaza Ajustes de Sin Problema Problema de Problema Problemas
interna. seguridad inconvenientes, de seguridad, s de fatales de
mal leve problema de seguridad, claves de acceso seguridad seguridad
configurad seguridad no afecta a poco seguras de graves, interna, daños
os la fácil por falta con
continuida determinación de
d del políticas
consecuencias
negocio, en graves para la
socializaci seguridad institución
ón de o poco
políticas claras y
de no
seguridad supervisa
das,
teniendo
comprom
etida la
continuid
ad del
negocio

4. Evaluar su probabilidad. Ver tabla de probabilidad (escala de 1 a 5).

Nivel probabilidad Escala (frecuencia)

Muy alta (5) Situación con exposición continua, es posible que suceda con
mucha frecuencia
Alta (4) Situación con exposición frecuente, es posible que suceda
varias veces
Media (3) Situación con exposición esporádica, es posible que suceda
alguna vez
Baja (2) Situación manejable, ocasional o esporádica
Muy baja (1) No se detecta problema alguno
5. Calcular el riesgo inherente (impacto x probabilidad).

VULNERABILIDAD / RIESGO
AMENAZA
CONSIDERACIONES IMPACTO PROBABILIDAD INHERENTE
Intrusión no Falta de segmentación en la red
autorizada en del sistema.- El hospital tiene un
la red del red de computadoras la misma
sistema que debe ser protegida por un
sistema de vlans o segmentación
Alto(4) Media (3) 12
de red para que no todo el
personal pueda tener acceso a
los servidores que alojan datos
de historias clínicas de los
pacientes
Violación de la Supervisión negligente de los
privacidad de empleados.- Las historias
los datos por clínicas de los pacientes están
parte de los almacenadas en los servidores
empleados del hospital, a dichas historias
clínicas tiene acceso los
Alto(4) Baja (2) 8
empleados del hospital, a través
de un sistema web, el sistema
web debe ser seguros protegido
por contraseñas robustas, y una
política de cambio frecuente de
las mismas
Comprometer Descarte de medios de
información almacenamiento sin eliminar
confidencial de datos.- El acceso de los
los pacientes empleados a la información del
historial clínico de los pacientes
y del personal del hospital, los
Alto(4) Muy baja (1) 4
ordenadores de uso de los
empleados del hospital tiene que
tener restringido el uso de
medios extraíbles y puertos para
dificultar el copiado de datos
sensibles
Errores en Reemplazo inadecuado de
mantenimiento equipos obsoletos.- Cuando se
haga el mantenimiento o
reemplazo de computadores del
Bajo (2) Baja (2) 4
hospital, se debe tener un plan
de contingencia y
mantenimiento adecuado para
evitar perdidas de información.
Fuga de Falta de políticas de
información confidencialidad de los datos.-
Los empleados tiene acceso a
los datos sensibles de historias
clínicas, bases de datos de Máximo (5) Baja (2) 10
proveedores, nómina del
personal, es necesario tener una
política de confidencialidad para
todos los empleados del hospital
Código Descarga sin restricción de
malicioso internet y correo electrónico.-
Los empleados tiene acceso al
correo electrónico, acceso on-
line a los servidores del hospital,
acceso a través de una intranet a
Moderado
los datos del personal, se debe Muy baja (1) 3
(3)
tener restricción de ingreso a
portales web, descarga de
archivos maliciosos, con la
instalación y actualización de un
firewall y antivirus para la red
del hospital
Hurtos o Control inadecuado del acceso
vandalismo físico.- Los empleados del
hospital tiene acceso a todas las
áreas, poner restricciones y Alto (4) Baja (2) 8
políticas de acceso a los
empleados de acuerdo a sus
funciones dentro del hospital
Uso no Software no documentado.- Los
autorizado de empleados tiene asignado un
software computador para el trabajo
diario el mismo que tiene acceso
a los datos, historias clínicas, Bajo (2) Muy baja (1) 2
proveedores, personal etc., se
debe tener implementado una
política para la instalación y uso
de software seguro y licenciado
Pérdida de Falta de redundancia, copia
información única.- El hospital tiene
por falta de servidores donde se aloja
respaldos información sensible y sistemas
de información necesarios para
el proceso de la misma, para un
Máximo (5) Muy baja (1) 5
adecuado respaldo de la
información se necesita de la
instalación de un sistema
redundante para la continuidad
del negocio con una política de
respaldos también en otros
 medios de almacenamiento que
puede ser en cloud

Amenaza Uso inadecuado del computador

interna asignado.- Los empleados tiene
asignado un computador para el
trabajo diario el mismo que tiene
acceso a los datos, historias
clínicas, proveedores, personal Bajo (2) Muy alta (5) 10
etc, implementar una política de
escritorios limpios, claves
seguras, para evitar que la
brecha de seguridad sea desde
adentro del hospital

SUPUESTO PRÁCTICO II (4 puntos)

Aconsejada por una amiga, Eva se ha descargado en su “teléfono inteligente” una app de
Salud (“Topsalut”) desarrollada por una startup extremeña (Applus, S.L.), que, a partir de
los datos que la propia Eva le suministra, le ofrece consejos dietéticos y para mantener la
forma física. Esta app, además, permite la conexión con relojes y pulseras inteligentes
que monitoriza a través del teléfono inteligente recabando -vía “Bluetooth”- datos sobre
las constantes vitales (frecuencia cardíaca, temperatura, etc.) y sobre hábitos de vida
(distancia recorrida a pie, tiempo de sueño, etc.). Los datos quedan almacenados en un
servidor en la nube con el que la app mantiene una conexión permanente. La app puede
descargarse gratis en la Appstore de Apple y en Google Play, así como actualizarse
periódicamente.

Puedes consultar el Dictamen 2/2013 sobre las aplicaciones de los dispositivos

inteligentes, 00461/13/ES WP 202, 27.2.2013, Grupo de trabajo Artículo 29 sobre la
protección de datos.

Contesta razonadamente las siguientes cuestiones:

1.- Enumera los datos que podrá tratar la App y categoriza los mismos.

Datos personales:

• Nombre o identificación de usuario.

• Correo electrónico.
• Contactos.
• Credenciales de autenticación para los servicios de la sociedad de la información.
• Datos biométricos (frecuencia cardíaca, temperatura, etc.).
Datos públicos:

• Localización.
• Identidad del teléfono.

2.- ¿Qué sujetos de los mencionados en el supuesto pueden ser considerados como
responsables del tratamiento?

“Los desarrolladores diseñan y/o crean los programas que funcionarán en los teléfonos
inteligentes y, por tanto, deciden la medida en que la aplicación accederá y procesará
las distintas categorías de datos personales en el dispositivo y/o a través de recursos
informáticos remotos (unidades informáticas de los desarrolladores o de terceros). El
desarrollador de aplicaciones es el responsable del tratamiento”.

Por lo tanto los responsables del tratamiento de los datos personales es la empresa Applus,
S.L.

3.- ¿Qué sujetos de los mencionados en el supuesto pueden ser considerados como
encargados del tratamiento?

Los encargados del tratamiento de los datos pueden ser, los desarrolladores mientra que
la aplicación no este externalizada en parte o en su totalidad del tratamiento real de los
datos a un tercero.

Por otro lado el encargado del tratamiento también se incluye al proveedor de

computación en nube.

Por lo tanto los encargados del tratamiento para este supuesto son:

1. Applus, S.L
2. Appstore de Apple.
3. Google Play.

4.- ¿Cuál es a base jurídica que habilita el tratamiento de los datos personales por parte
de los distintos sujetos implicados en el mismo?

Como base puede fundamentarse en el artículo 7, literales b) y f), de la Directiva sobre

protección de datos.

Este artículo permite a los desarrolladores de aplicaciones que puedan leer o escribir datos
legalmente echo fundamental, de esta manera también se realiza el proceso de datos
personales.

Durante el uso de la aplicación el desarrollador puede apelar a otros fundamentos

jurídicos siempre que no sean datos sensibles de carácter personal, estos pueden ser para
realizar contratos con el interesado o necesidades empresariales legítimas, estos artículos
se fundamentan en el tratamiento de datos personales no sensibles de un usuario y pueden
citarse en lo estrictamente necesario para realizar un servicio en concreto.
5.- ¿Podría ser un menor de 15 años usuario de “Topsalut”? En su caso, ¿bajo qué
condiciones se podría garantizar su acceso?

Si pude ser un menor de 15 años usuario de la app siempre que cumpla con las siguientes
condiciones:

• Se necesita autorización de quien tenga la patria potestad o tutela del menor, sin
la cual el tratamiento no sería licito
• Los Estados Miembros pueden establecer una edad menor siempre que no sea esta
menor a los 13 años, por otro lado establece en el art el artículo 7 de la Ley
Orgánica 3/2018, el tratamiento de los datos personales de un menor de edad
podrá fundarse en su consentimiento cuando sea mayor de 14 años.
• Además el RGPD obliga al RT a verificar si el consentimiento fue otorgado por
el titular de la patria potestad o tutela sobre el niño y le obliga a realizar esfuerzos
razonables para ello, así como guardar evidencias suficientes de ello.

Referencias

Ministerio de Justicia.(2007). Documento consolidado BOE-A-2008-979. Real Decreto

1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la
Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
.Recuperado de [Link]

Gobierno de Españ[Link] [Link] de un sistema informático.

Recuperado de
[Link]
s_de_un_sistema_informtico.html

Escuela europea [Link]ÓN ONLINE ESPECIALIZADA Y

PRÁCTICA PARA AUDITORES [Link] de amenazas y vulnerabilidades
en ISO [Link] de
[Link]
vulnerabilidades-en-iso-27001/

INCIBE.(2017).Instituto Nacional de Ciberseguridad. Amenaza vs Vulnerabilidad,

¿sabes en qué se diferencian?.Recuperado de [Link]
empresa/blog/amenaza-vs-vulnerabilidad-sabes-se-diferencian