Articulo 69 Medidas fiscales, de gestión administrativa y financiera, y de organización de la Generalitat Valenciana

Se añade una nueva disposición adicional undécima a la Ley 1/2020, de 11 de junio, de regulación del juego y de prevención de la ludopatía en la Comunitat Valenciana, que queda redactada como sigue:

D.A. 11ª. Fundamento y garantías adicionales de los sistemas de identificación biométrica

1. El tratamiento de datos personales biométricos que se realice en cumplimiento de esta ley se ajustará a lo dispuesto en el régimen jurídico europeo y estatal en materia de protección de datos de carácter personal. Los datos personales que se traten en el ejercicio de los derechos garantizados en esta ley serán utilizados con las finalidades y los límites previstos.

2. Las empresas y establecimientos de juego que implanten, voluntariamente, sistemas de identificación biométrica deberán hacerlo con sujeción a la normativa en materia de protección de las personas físicas y el tratamiento de datos personales, respetando, siempre, el derecho de la persona jugadora o visitante a decidir que su identificación se realice, exclusivamente, mediante lo previsto en la letra i), del apartado 2, del artículo 16 de esta ley, en los términos reglamentariamente recogidos.

3. A efectos del régimen jurídico en materia de protección de datos se declaran de interés público esencial la utilización de sistemas de identificación biométricos para el control de accesos a establecimientos de juego, por aportar garantías adicionales en la identificación de las personas. Este interés se fundamenta en principios y derechos, constitucional y legalmente recogidos, como la protección de la salud y de los consumidores, en general, pero, muy especialmente, de la infancia, adolescencia y juventud o la de otros grupos vulnerables, como el de las personas que puedan tener dispuesta alguna medida de apoyo que incida en su esfera patrimonial o el de las personas con adicción al juego.

4. Los tratamientos de datos de categorías especiales declarados de interés público esencial deberán respetar las siguientes garantías:

a) Atendiendo al principio de responsabilidad desde el diseño y por defecto previsto en el artículo 25 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (RGPD), deberán adoptarse, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, e incluso la agregación y anonimización. Además, deberá garantizarse que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento y que no serán accesibles, sin intervención de la persona, a un número indeterminado de personas.

b) Se deberá realizar una evaluación de impacto relativa a la protección de datos conforme a lo dispuesto en el artículo 35.3 del RGPD con carácter previo a la implantación de sistemas de identificación biométricos. Periódicamente o, al menos, cuando exista un cambio del riesgo que representen estas operaciones de tratamiento, el responsable examinará si el tratamiento es conforme con la evaluación de impacto.

c) Deberán adoptarse las medidas de seguridad necesarias conforme a lo previsto en el artículo 32 del RGPD, que deberán ser lo más rigurosas que permita el estado de la técnica teniendo en cuenta que se están tratando datos biométricos cuyo tratamiento es excepcional y que suponen un alto riesgo para los derechos y libertades de las personas físicas. Entre dichas medidas se incluirán, al menos, las siguientes:

- protección contra programas o copias maliciosas;

- reevaluación bienal del sistema, mediante auditoría externa suscrita por una empresa distinta a la que realizó la anterior, sobre la idoneidad de las medidas de seguridad y organizativas del sistema y su eficacia frente a la constante evolución de los riesgos;

- disponer de mecanismos que permitan asegurar la trazabilidad de los accesos y auditar su uso adecuado, garantizando su integridad y asociación temporal a fuentes de tiempo fiables;

- refuerzo del control de acceso a los sistemas operativos y a las aplicaciones que dan soporte al tratamiento de datos biométricos.

d) Queda prohibido cualquier tipo de grabación, almacenamiento o conservación de los tratamientos biométricos de datos de personas menores de edad legal.

e) Cuando el tratamiento se vaya a realizar por un encargado del tratamiento, deberá seleccionarse uno que ofrezca garantías suficientes y haberse suscrito un contrato con el contenido del artículo 28 del RGPD, en el que deberá quedar plenamente garantizado que el encargado actuará solo siguiendo instrucciones del responsable, debiendo dichas instrucciones contemplar todas las garantías necesarias.

5. El uso de sistemas de identificación biométrica para el control de accesos a los establecimientos de juego podrá ser supervisado por el órgano directivo competente en materia de juego que, en caso de incumplimiento de los preceptos legales o reglamentarios, ejercerá la facultad sancionadora o de comunicación a la correspondiente autoridad de protección de datos, según proceda.