... Ejemplo Un prestador de servicios de salud utiliza un formulario electrónico en su sitio web, además de formularios en papel en las recepciones de sus clínicas, para facilitar la presentación de solicitudes de acceso a datos personales tanto en línea como en persona. Al tiempo que ofrece estas fórmulas, el prestador sigue aceptando las solicitudes de acceso presentadas por otros canales (p. ej., por correo ordinario y por correo electrónico) y pone a disposición un punto de contacto específico (al que se puede acceder por correo electrónico o por teléfono) para ayudar a los interesados con el ejercicio de sus derechos. ...
... Example A health service provider uses an electronic form on its website, and paper forms in the receptions of its health clinics, to facilitate the submission of access requests for personal data both online and in person. While it provides these modalities, the health service still accepts access requests submitted in other ways (such as by letter and by email) and provides a dedicated point of contact (which can be accessed by email and by telephone) to help data subjects with the exercise of their rights. ...
... Ejemplo Un interesado se registra en un servicio de suscripción en línea pospago. Tras el registro, el responsable del tratamiento obtiene datos crediticios sobre el interesado de una agencia de información crediticia para decidir si le presta el servicio. Con arreglo al artículo 14, apartado 3, letra a), el protocolo del responsable del tratamiento es informar a los interesados de la recogida de estos datos crediticios en el plazo de tres días desde que esta se produjo. Sin embargo, la dirección y el número de teléfono del interesado no figura en registros públicos (de hecho, el interesado reside en el extranjero). El interesado no facilitó una dirección de correo electrónico cuando se registró en el servicio o la dirección de correo electrónico es inválida. El responsable se encuentra con que no tiene forma alguna de contactar directamente con el interesado. En este caso, no obstante, el responsable podría facilitar información sobre la recogida de datos de notificación crediticia en su sitio web antes del registro. En este caso, no resultaría imposible facilitar la información en virtud del artículo 14. ...
... Example A data subject registers for a post-paid online subscription service. After registration, the data controller collects credit data from a credit-reporting agency on the data subject in order to decide whether to provide the service. The controller’s protocol is to inform data subjects of the collection of this credit data within three days of collection, pursuant to Article 14.3(a). However, the data subject’s address and phone number is not registered in public registries (the data subject is in fact living abroad). The data subject did not leave an email address when registering for the service or the email address is invalid. The controller finds that it has no means to directly contact the data subject. In this case, however, the controller may give information about collection of credit reporting data on its website, prior to registration. In this case, it would not be impossible to provide information pursuant to Article 14. ...
... a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»); ...
... (a) processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’); ...
... ...
... – The data controller or processor pays a search engine operator for an internet referencing service in order to facilitate access to its site by consumers in the Union; or the controller or processor has launched marketing and advertisement campaigns directed at an EU country audience ...
... Cuando un responsable del tratamiento pretenda acogerse a la excepción contemplada en el artículo 14, apartado 5, letra b), aduciendo que facilitar la información supondría un esfuerzo desproporcionado, este debe sopesar el esfuerzo que implica para él facilitar la información al interesado y los efectos y la repercusión de no recibir la información para el interesado. El responsable del tratamiento debe documentar esta evaluación de conformidad con sus obligaciones de responsabilidad proactiva. En tal caso, el artículo 14, apartado 5, letra b), especifica que el responsable del tratamiento debe adoptar medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado. Esto se aplica igualmente cuando un responsable determina que resulta imposible facilitar la información o que hacerlo podría imposibilitar u obstaculizar gravemente el logro de los objetivos del tratamiento. Una medida adecuada, tal como se especifica en el artículo 14, apartado 5, letra b), que los responsables siempre deben adoptar es hacer pública la información. Los responsables pueden hacerlo de varias formas, por ejemplo publicando la información en su sitio web, o anunciando proactivamente la información en un periódico o en carteles en sus instalaciones. Además de hacer pública la información, el resto de medidas adecuadas dependerá de las circunstancias del tratamiento, pero estas pueden ser: llevar a cabo una evaluación de impacto relativa a la protección de datos; aplicar técnicas de seudonimización a los datos; minimizar los datos recogidos y el periodo de almacenamiento; y aplicar medidas técnicas y organizativas para garantizar un nivel elevado de seguridad. Por otro lado, pueden darse situaciones en las que el responsable esté tratando datos personales sin que sea necesario identificar a los interesados (por ejemplo, con datos seudonimizados). En tales cases, el artículo 11, apartado 1, también puede ser pertinente, ya que dispone que un responsable de datos no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el RGPD.. ...
... Where a data controller seeks to rely on the exception in Article 14.5(b) on the basis that provision of the information would involve a disproportionate effort, it should carry out a balancing exercise to assess the effort involved for the data controller to provide the information to the data subject against the impact and effects on the data subject if he or she was not provided with the information. This assessment should be documented by the data controller in accordance with its accountability obligations. In such a case, Article 14.5(b) specifies that the controller must take appropriate measures to protect the data subject’s rights, freedoms and legitimate interests. This applies equally where a controller determines that the provision of the information proves impossible, or would likely render impossible or seriously impair the achievement of the objectives of the processing. One appropriate measure, as specified in Article 14.5(b), that controllers must always take is to make the information publicly available. A controller can do this in a number of ways, for instance by putting the information on its website, or by proactively advertising the information in a newspaper or on posters on its premises. Other appropriate measures, in addition to making the information publicly available, will depend on the circumstances of the processing, but may include: undertaking a data protection impact assessment; applying pseudonymisation techniques to the data; minimising the data collected and the storage period; and implementing technical and organisational measures to ensure a high level of security. Furthermore, there may be situations where a data controller is processing personal data which does not require the identification of a data subject (for example with pseudonymised data). In such cases, Article 11.1 may also be relevant as it states that a data controller shall not be obliged to maintain, acquire or process additional information in order to identify the data subject for the sole purposes of complying with the GDPR. ...
... [15] For example, where the controller operates a website in the language in question and/or offers specific country options and/or facilitates the payment for goods or services in the currency of a particular member state then these may be indicative of a data controller targeting data subjects of a particular member state. ...
... [15] For example, where the controller operates a website in the language in question and/or offers specific country options and/or facilitates the payment for goods or services in the currency of a particular member state then these may be indicative of a data controller targeting data subjects of a particular member state. ...
... 1. Cuando se aplique el artículo 6, apartado 1, letra a), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó. ...
... 1. Where point (a) of Article 6(1) applies, in relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least 16 years old. Where the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of parental responsibility over the child. ...
... ...
... The privacy policy should not be difficult for data subjects to access. The privacy policy is thus made available and visible on all web-pages of the site in question, so that the data subject is always only one click away from accessing the information. The information provided is also designed in accordance with the best practices and standards of universal design to make it accessible to all. ...
... c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento; ...
... (c) processing is necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent; ...