Curso Usuario RGPD - Video

Programa de formación
Curso Usuario
PROTECCIÓN DE DATOS
USO SISTEMAS
INFORMACIÓN Y
DERECHOS DIGITALES
LOPD GDD
Ley Orgánica de Protección de Datos y
Garantía de Derechos Digitales
RGPD
Reglamento General de Protección de Datos
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
ÍNDICE
MÓDULO 1 – MARCO REGULARIO DE PROTECCIÓN DE DATOS

1.1 INTRODUCCIÓN
1.2 LA INFORMACIÓN: UN VALOR A PROTEGER
1.3 FINALIDAD Y OBJETO DEL DERECHO A LA PROTECCIÓN DE DATOS DE

CARÁCTER PERSONAL
1.4 LEGISLACIÓN APLICABLE A LA PROTECCIÓN DE DATOS DE CARÁCTER

PERSONAL
1.5 ÁMBITO DE APLICACIÓN
1.6 ELEMENTOS CLAVE DEL MARCO REGULATORIO
1.7 CONCLUSIONES
MÓDULO 2 – PRINCIPALES MEDIDAS APLICABLES A LA PROTECCIÓN DE DATOS

2.1 INTRODUCCIÓN
2.2 CONTENIDO
ENFOQUE BASADO EN EL RIESGO
MEDIDAS DE DILIGENCIA Y CONTROL PROACTIVO
DESIGNACIÓN DEL DELEGADO/RESPONSABLE DE PROTECCIÓN DE DATOS
ENCARGADOS DEL TRATAMIENTO
DERECHOS DE LOS AFECTADOS
DEBER DE COMUNICACIÓN
2.3 CONCLUSIONES
MÓDULO 3 – DATOS DE CARÁCTER PERSONAL Y EMPRESARIAL

3.1 INTRODUCCIÓN
3.2 QUÉ SE ENTIENDE POR DATO DE CARÁCTER PERSONAL Y DATO EMPRESARIAL.

LA NECESIDAD DE SU PROTECCIÓN
LA INFORMACIÓN EMPRESARIAL COMO OBJETO DE PROTECCIÓN
LOS DATOS PERSONALES COMO OBJETO DE PROTECCIÓN
TIPOS DE DATOS DE CARÁCTER PERSONAL
CATEGORÍAS ESPECIALES DE DATOS PERSONALES
3.3 CONCLUSIONES
2
MÓDULO 4 – EL TRATAMIENTO DE DATOS PERSONALES

4.1 INTRODUCCIÓN
4.2 CONCEPTO DE TRATAMIENTO DE DATOS PERSONALES
4.3 LICITUD DEL TRATAMIENTO DE DATOS PERSONALES
TRATAMIENTO DE CATEGORÍAS ESPECIALES DE DATOS PERSONALES
TRATAMIENTO DE DATOS PERSONALES RELATIVOS A CONDENAS E INFRACCIONES
PENALES
4.4 PROCESOS Y FORMAS DE CAPTACIÓN DE DATOS
4.5 FASES DEL TRATAMIENTO Y FORMAS DE LLEVARLO A CABO
4.6 CONCLUSIONES
MÓDULO 5 – PRINCIPIO DE INFORMACIÓN Y CONSENTIMIENTO DE LOS AFECTADOS

5.1 INTRODUCCIÓN
5.2 CUMPLIMIENTO DEL DEBER DE INFORMACIÓN EN LOS PROCESOS DE RECOGIDA Y
TRATAMIENTO DE DATOS PERSONALES
OBTENCIÓN DE DATOS DIRECTAMENTE DEL AFECTADO
OBTENCIÓN DE DATOS POR UN TERCERO DISTINTO AL AFECTADO
5.3 EL CONSENTIMIENTO
RETIRADA DEL CONSENTIMIENTO
CONSENTIMIENTO DE MENORES DE EDAD
CONSENTIMIENTO PARA LA REMISIÓN DE COMUNICACIONES COMERCIALES POR
CORREO ELECTRÓNICO
COOKIES
5.4 CONCLUSIONES
MÓDULO 6 – DERECHOS DE LOS AFECTADOS

6.1 INTRODUCCIÓN
6.2 EL AFECTADO COMO TITULAR DE SUS DATOS PERSONALES
6.3 DESCRIPCIÓN DE LOS DERECHOS
DERECHO DE ACCESO
DERECHO DE RECTIFICACIÓN
DERECHO DE SUPRESIÓN Y DERECHO AL OLVIDO
DERECHO A LA LIMITACIÓN DEL TRATAMIENTO
DERECHO A LA PORTABILIDAD DE DATOS
DERECHO DE OPOSICIÓN
DECISIONES INDIVIDUALIZADAS NO AUTOMATIZADAS, INCLUIDA LA ELABORACIÓN
DE PERFILES
6.4 EJERCICIO DE DERECHOS
LIMITACIONES A LOS DERECHOS DE LOS AFECTADOS

CANAL DE COMUNICACIONES
6.5 CONCLUSIONES
3
MÓDULO 7 – ACCESO A DATOS PERSONALES POR CUENTA DE TERCEROS

7.1 INTRODUCCIÓN
7.2 ACCESO A DATOS POR CUENTA DE TERCEROS
DEFINICIÓN DE LOS ROLES
MEDIDAS PREVIAS AL CONTRATO (DEBER DE DILIGENCIA EN LA ELECCIÓN DEL
ENCARGADO POR PARTE DEL RESPONSABLE)
REQUISITOS DE ACREDITACIÓN Y GARANTÍA DE CUMPLIMIENTO POR PARTE DE LOS
ENCARGADOS DEL TRATAMIENTO
CONTRATO DE ENCARGADO DEL TRATAMIENTO
MECANISMOS DE CONTROL, SEGUIMIENTO Y COORDINACIÓN ENTRE RESPONSABLE
Y ENCARGADO DEL TRATAMIENTO
7.3 OTRAS FIGURAS DEL TRATAMIENTO
7.4 CONCLUSIONES
MÓDULO 8 – MEDIDAS DE SEGURIDAD Y CONFIDENCIALIDAD A SEGUIR Y DERECHOS

DEL USUARIO
8.1 INTRODUCCIÓN
8.2 NORMAS, POLÍTICAS Y PROCEDIMIENTOS SEGUIR COMO USUARIO QUE
ACCEDE A LOS SISTEMAS DE INFORMACIÓN
8.3 PRINCIPIOS DE OBLIGADO CUMPLIMIENTO PARA EL USUARIO
8.4 NORMAS A SEGUIR EN ZONAS DE TRABAJO COMUNES
8.5 MEDIDAS DE SEGURIDAD PARA LOS SISTEMAS DE INFORMACIÓN AUTOMATIZADOS
MEDIDAS CONCRETAS
MEDIDAS DE SEGURIDAD APLICABLES A LOS DISPOSITIVOS PORTÁTILES Y DE
ALMACENAMIENTO TITULARIDAD DE LA EMPRESA
MEDIDAS DE SEGURIDAD APLICABLES A LOS DISPOSITIVOS PERSONALES
UTILIZADOS CON FINES LABORALES
8.6 OBLIGACIONES Y NORMAS RELATIVAS AL USO DE INTERNET, CORREO
ELECTRÓNICO Y REDES SOCIALES
NORMAS DE USO DEL CORREO ELECTRÓNICO
NORMAS DE USO DE INTERNET
NORMAS DE USO DE LAS REDES SOCIALES EN EL ENTORNO LABORAL
8.7 MEDIDAS DE SEGURIDAD APLICABLES A LA DOCUMENTACIÓN EN SOPORTE PAPEL
8.8 CANALES DE COMUNICACIÓN DE PROTECCIÓN DE DATOS
8.9 GARANTÍA DE LOS DERECHOS DIGITALES
8.10 RÉGIMEN DISCIPLINARIO
8.11 CONCLUSIONES
COPYRIGHT
Este curso está destinado sólo y únicamente al alumno para el cual ha sido contratado.
Quedan rigurosamente prohibidas, sin la autorización previa y por escrito de los titulares del
“Copyright”, bajo las sanciones establecidas en las leyes, la reproducción total o parcial de este
curso, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya
sea electrónico, mecánico, por fotocopia, por registro u otros métodos.
4
MÓDULO 1
1 MARCO REGULARIO
DE PROTECCIÓN DE DATOS
OBJETIVOS DEL MÓDULO

Conocer los elementos clave del marco normativo de protección de datos
(RGPD y LOPD GDD).
Tomar conciencia del valor de la información, en especial de aquella que contie-

ne datos personales, así como de la responsabilidad legal y laboral que debe asu-
mir el trabajador al tratar datos de carácter personal e información empresarial.
1.1 INTRODUCCIÓN
El presente módulo tiene como objetivo el establecimiento del marco general de

protección de datos. Para ello se expone, en primer lugar, el fundamento, procediendo
seguidamente a la determinación del ámbito de aplicación para concluir estableciendo
los elementos clave de su marco regulatorio.
En este primer tema introductorio se pretende que Ud. como usuario que accede a
datos de carácter personal e información confidencial, entienda y conozca los deberes,
responsabilidades y procedimientos a seguir en relación con dicha información.
1.2 LA INFORMACIÓN: UN VALOR A PROTEGER
La información de cualquier entidad privada o pública es actualmente el centro neurálgico

de su actividad y un activo importante a proteger.
De este modo, la información que trata una entidad puede tener diversa consideración,
por lo que, de manera general se puede clasificar en dos tipos:
1 Información que contenga datos de carácter personal: Información que trate la

entidad de manera que pueda identificar o hacer identificable a una persona física.
2 Información relativa a los secretos y privacidad empresarial: Estrategias,

diseños, know-how y toda una serie de información que utiliza la entidad para su
funcionamiento habitual con los clientes, proveedores, estrategia de ventas, etc.
5
Los datos de carácter personal tratados en el seno de la empresa son un tipo de

información relevante para la misma, así como lo son los datos relativos a sus estrategias,
información comercial, conocimientos, etc. Sin embargo, los datos personales gozan de
una protección legal específica que será de obligatorio conocimiento para todos aquellos
que formen parte de la misma, ya que afecta a su actividad laboral y profesional. Por lo
tanto, es necesario cumplir con las normas y procedimientos de este curso, así como
todos los procedimientos y protocolos que establezca o pueda establecer su entidad
para el uso o tratamiento de información a la que accederá o tratará con motivo de dicha
relación laboral.
1.3 FINALIDAD Y OBJETO DEL DERECHO A LA PROTECCIÓN DE DATOS

DE CARÁCTER PERSONAL
La finalidad y objeto de la protección de los datos de carácter personal es garantizar
el derecho al honor y a la intimidad de las personas que tiene su fundamento en la
Constitución Española, es su artículo 18.1 y 18.4 que establece:
LEX Art. 18.1 “Se garantiza el derecho al honor, a la intimidad personal y familiar y a
la propia imagen.”
LEX Art. 18.4 “La Ley limitará el uso de la informática para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y el pleno ejercicio de
sus derechos.
Por lo tanto, el derecho a la intimidad se configura de modo que el titular del mismo,
que deberá ser siempre una persona física, posee el denominado “derecho a la
autodeterminación informativa”. Es decir, el derecho que tiene toda persona a ejercer
el control sobre los datos que le conciernen.
De igual modo, tanto el artículo 9.1 de la Carta de Derechos Fundamentales de

la Unión Europea como el artículo 16.1 del Tratado de Funcionamiento de la Unión
Europea (TFUE) establecen que toda persona tiene derecho a la protección de datos
de carácter personal que le conciernan.
En consecuencia, el derecho a la protección de datos se configura como un derecho

fundamental reconocido tanto a nivel estatal como a nivel europeo, inherente a
toda persona física y que tiene como finalidad proteger sus derechos y libertades de una
manera transversal, aplicándose de manera proporcional respecto al resto de derechos
fundamentales.
Debido a su condición de derecho fundamental, resulta de vital importancia que el

IMPORTANTE
acceso y / o tratamiento de datos personales que Ud. lleve a cabo en el ejercicio de su
actividad laboral o profesional se realicen de acuerdo con el marco regulatorio expuesto
en este tema.
6
El presente curso pretende mostrarle los pasos a seguir para que Ud. entienda y conozca
los deberes, responsabilidad y procedimientos que, en su condición de usuario, deberá
seguir para cumplir con el marco regulatorio en la materia, que garantizará el derecho
fundamental a la protección de datos.
1.4 LEGISLACIÓN APLICABLE A LA PROTECCIÓN DE

DATOS DE CARÁCTER PERSONAL
La legislación básica aplicable al marco regulatorio de protección de datos es la siguiente:
R LEX Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de
2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE.
P LEX Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía

de los derechos digitales.
LEX Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de

comercio electrónico.
Asimismo, se deberán tener en cuenta las directrices que marque la Agencia Española
de Protección de Datos y las agencias de protección de datos autonómicas (Agencia
Vasca de Protección de datos y la Autoridad Catalana de Protección de Datos) a través
de sus Guías, Informes Jurídicos, Resoluciones, etc.
1.5 ÁMBITO DE APLICACIÓN

Los tratamientos de datos personales serán sometidos a la legislación aplicable en el
apartado anterior siempre y cuando dicho tratamiento se incluya dentro del siguiente
ámbito de aplicación:
¡! Ámbito de aplicación material: cualquier tratamiento total o parcialmente

automatizado de datos personales, así como el tratamiento no automatizado de
datos personales contenidos o destinados a ser incluidos en un fichero (artículo 2
RGPD y 2 de la LOPD GDD).
Ámbito de aplicación territorial: Responsables y Encargados del tratamiento

establecidos en la UE, así como aquellos responsables y encargados no establecidos
en la UE cuando las actividades del tratamiento estén relacionadas con la oferta de
bienes o servicios o con el control del comportamiento de las personas, si tienen
lugar en la UE. Es decir, se aplica también al tratamiento de datos de responsables
y encargado establecidos fuera de la Unión, siempre y cuando se traten datos de
7
ciudadanos europeos, lo que supone una garantía adicional para la privacidad de

los afectados, ya que el RGPD es igualmente aplicable a empresas que tratan
datos de ciudadanos europeos, aunque estén fuera de la Unión Europea
(Google, Facebook etc.).
Quedan excluidos de este marco de aplicación:
Los tratamientos efectuados por una persona física en el ejercicio de actividades

exclusivamente personales o domésticas.
Los tratamientos llevados a cabo por los órganos de la Administración General del
Estado en el marco de las actividades comprendidas en el ámbito de aplicación del
Capítulo II del Título V del Tratado de la Unión Europea.
Los tratamientos efectuados por parte de las autoridades competentes y sus agentes
con fines de prevención, investigación, detección o enjuiciamiento de infracciones
penales, o de ejecución de sanciones penales, incluida la de protección frente a
amenazas a la seguridad pública y su prevención, en los términos previstos por la
Directiva (UE) 2016/680, del Parlamento Europeo y del Consejo, de 27 de abril de
2016.
Los tratamientos a los que no sea directamente aplicable el Reglamento UE

2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del
Derecho de la Unión Europea.
1.6 ELEMENTOS CLAVE DEL MARCO REGULATORIO

DE PROTECCIÓN DE DATOS
El marco regulatorio de protección de datos se alinea y homogeniza con los actuales

marcos de cumplimiento normativo y COMPLIANCE corporativo, incorporando un
entorno y medidas de diligencia y control proactivo unido al requisito de responsabilidad
y compromiso de cumplimiento desde la Alta Dirección y Administradores de la entidad.
Por lo tanto, el RGPD así como la LOPD GDD que lo desarrolla, modifica algunos
aspectos del antiguo régimen de la LOPD y su Reglamento de Desarrollo al incorporar
estas nuevas obligaciones de diligencia y control que deben ser analizadas y aplicadas
por cada entidad teniendo en cuenta sus propias circunstancias, y en concreto, la
naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo que
representen dichos tratamientos para los Derechos y Libertades de las personas
físicas.
8
La aplicación de medidas del RGPD y la LOPD GDD se basan en los siguientes

elementos, que constituyen la mayor innovación del marco regulatorio de protección
de datos:
A Principio de responsabilidad proactiva
El RGPD y la LOPD GDD se refieren a este principio como la necesidad de que la

entidad aplique medidas técnicas y organizativas apropiadas a fin de garantizar y
poder demostrar que el tratamiento es conforme a sus disposiciones.
En términos prácticos, lo que requiere este principio es que las entidades realicen un
estudio en el que se deberá determinar de manera concreta la forma en que aplicarán
las medidas más adecuadas para el tratamiento de datos, asegurándose de que no
solo cumplen con el RGPD, sino que estarán en condiciones de demostrarlo ante los
interesados y ante las autoridades de control (AEPD o agencias autonómicas). Es decir,
este principio exige Diligencia y Control proactivo por parte de cualquier entidad con
respecto al tratamiento de los datos personales que lleven a cabo.
B Enfoque basado en el riesgo
Este principio requiere que las medidas dirigidas a garantizar la efectiva protección de
datos personales se apliquen teniendo en cuenta la naturaleza, el ámbito, el contexto y
las finalidades del tratamiento, así como el riesgo para los Derechos y Libertades de las
personas.
De este modo, cualquier medida que se adopte en materia de protección de datos deberá
determinarse en función del riesgo previamente analizado.
1.7 CONCLUSIONES
Las principales normas aplicables al tratamiento de datos de carácter personal son

el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de
Protección de Datos Personales y garantía de los derechos digitales (LOPD GDD).
El marco regulatorio de protección de datos de carácter personal le afecta a Ud.

de acuerdo con los tratamientos que lleva a cabo en el ejercicio de su actividad
laboral o profesional, por ejemplo, cuando trata datos de clientes, proveedores y
contactos.
Los datos personales son parte importantísima de la información con la que Ud.
trabaja y trata. Por lo tanto, Ud. debe velar por la seguridad y protección de los datos
que trata y asumir la responsabilidad que la normativa en materia de protección de
datos personales le otorga.
9
Las disposiciones del RGPD se aplican tanto a Responsables y Encargados

establecidos en la UE como a aquellos responsables y encargados no establecidos
en la UE cuando las actividades del tratamiento estén relacionadas con la oferta
de bienes o servicios o con el control del comportamiento de las personas, si
tienen lugar en la UE.
Los elementos clave que establece el RGPD y su normativa de desarrollo son el

Principio de Responsabilidad proactiva, que supone que las entidades apliquen
todas aquellas medidas técnicas y organizativas apropiadas a fin de garantizar
y poder demostrar que el tratamiento se ajusta a los requerimientos legales, así
como el enfoque basado en el riesgo, que implica que la aplicación de dichas
medidas se lleve a cabo teniendo en cuenta la naturaleza, el ámbito, el contexto y
las finalidades del tratamiento, así como el riesgo para los Derechos y Libertades
de las personas.
10
MÓDULO 2
2 PRINCIPALES MEDIDAS APLICABLES A LA
Saber identificar las principales medidas de aplicación a su empresa en materia
de protección de datos.
Conocer el esquema de cumplimiento normativo en protección de datos.
2.1 INTRODUCCIÓN
El presente módulo pretende exponer los siete ejes fundamentales que establece el
marco normativo actual para su implementación por las entidades que traten datos de
carácter personal.
La explicación de estas medidas se realizará de una manera general, de modo que en el

IMPORTANTE
presente curso solamente se entrará a analizar aquellas que le son de aplicación como
usuario que accede o trata datos de carácter personal, de conformidad al desarrollo de
su actividad dentro de la empresa.
Si tiene dudas sobre la aplicación o implicaciones de medidas que se excedan de

aquellas relacionadas con sus funciones, póngase en contacto con el Responsable de
Protección de Datos (RPD/DPD) de su entidad.
2.2 CONTENIDO
Las medidas de protección de datos aplicables a las entidades que traten datos de
carácter personal pueden agruparse entorno a los siguientes siete ejes fundamentales:
1 RIESGO PROTECCIÓN DE DATOS
2 DCS DILIGENCIA, CONTROL Y SEGURIDAD
3 ÓRGANO DE CONTROL PROTECCIÓN DE

DATOS / DPO
4 ENCARGADO DEL TRATAMIENTO

5 DERECHOS PROTECCIÓN DE DATOS
6 DEBER DE COMUNICACIÓN / CANAL PD
7 POLÍTICA RDD
11
1 ENFOQUE BASADO EN EL RIESGO
Tal y como acaba de exponerse en el módulo 1, el marco regulatorio aplicable a los datos
de carácter personal requiere que las medidas dirigidas a garantizar su cumplimiento se
apliquen teniendo en cuenta la naturaleza, el ámbito, el contexto y las finalidades del
tratamiento, así como el riesgo para los Derechos y Libertades de las personas.
Antes de iniciar un tratamiento, deberá valorarse el riesgo que éste entraña para
la protección de datos.
2 MEDIDAS DE DILIGENCIA, CONTROL Y SEGURIDAD
Una vez identificado el riesgo, se deberán aplicar medidas técnicas y organizativas

apropiadas con la finalidad de poder garantizar y demostrar que todos los tratamientos
de datos de carácter personal se realizan conforme a los requisitos y obligaciones del
marco regulatorio, así como para poder acreditar su cumplimiento ante los interesados y
autoridades de control y supervisión.
Por lo tanto, del mismo modo que cada entidad deberá establecer el riesgo a la protección
de datos de los tratamientos que va a llevar a cabo, será también ésta la que deba
establecer todas aquellas medidas encaminadas a garantizar la adecuada protección de
datos, de conformidad con el Principio de Responsabilidad Proactiva.
3 DESIGANCIÓN DEL DELEGADO / RESPONSABLE DE PROTECCIÓN DE DATOS
La entidad deberá designar formalmente al Responsable de Protección de Datos o

Delegado de Protección de Datos. Es decir, a una persona interna o a un grupo de
personas que se encarguen de controlar y supervisar el cumplimiento de la normativa
de protección de datos, así como la implantación de medidas y su aplicación dentro de
la organización.
4 ENCARGADOS DEL TRATAMIENTO
De conformidad con el RGPD y su normativa de desarrollo, los Responsables y Encargados

del tratamiento deberán cumplir con las obligaciones y requisitos formales que van más
allá de la suscripción de un contrato, tales como la inclusión de un procedimiento de
control y registro de las actividades con los Encargados del tratamiento o su acreditación
de medidas concretas ante los Responsables del tratamiento.
12
Por lo tanto, cuando su empresa actúe como Responsable del tratamiento, deberá realizar
una evaluación de sus Encargados con carácter previo a la formalización del contrato con
la finalidad de identificar a los encargados que disponen de los conocimientos, recursos
y medidas necesarias para poder demostrar y acreditar el cumplimiento del Reglamento
y en particular la aplicación de las medidas de seguridad. Asimismo, cuando su empresa
actúe como Encargado del tratamiento, deberá realizar la operación inversa, acreditando
que cumple con las medidas requeridas por dicha normativa. Este tema se analiza con
más profundidad en el módulo 7.
5 DEBER DE INFORMACIÓN Y DERECHOS DE LOS AFECTADOS
Siempre que se recaben datos de carácter personal, se deberá cumplir con el Deber de
información a los titulares de los datos personales (afectados), facilitándoles información
sobre la identidad de quién tratará sus datos personales, las finalidades del tratamiento,
la legitimación del mismo o la posibilidad de ejercitar sus derechos, además del resto
de información contenida en los artículos 13 y 14 del RGPD. Asimismo, los afectados
deberán conocer y poder ejercitar sus derechos modo sencillo y de fácil acceso.
Cualquier información dirigida a los afectados deberá presentarse de modo legible e

inteligible, de manera que pueda garantizarse la efectiva tutela de sus derechos. Estas
cuestiones se analizan con más profundidad en los módulos 5 y 6.
6 DEBER DE COMUNICACIÓN / CANAL PROTECCIÓN DE DATOS
Debido al establecimiento de medidas de diligencia y control proactivo, el Responsable

del tratamiento debe poder comunicarse con todos aquellos agentes que participan en
todas las fases del tratamiento para que se notifique cualquier incidencia o incumplimiento
de la normativa de PD.
Asimismo, el RGPD establece el deber de comunicar a la AEPD cualquier violación de

seguridad, de modo que el Responsable debe establecer canales de comunicación para
que sus empleados, encargados del tratamiento y terceros puedan comunicarle dicha
circunstancia.
Cuando se detecte una posible violación de seguridad, ésta deberá documentarse, así
como todos los efectos, medidas, plazos de notificación e instrucciones que permitan
acreditar el cumplimiento de esta medida.
De igual modo, se deben establecer mecanismos para que los afectados puedan ejercitar
su solicitud de derechos, así como proporcionar medios para que pueda darse traslado
a dichas solicitudes cuando éstas se lleven a cabo ante el Encargado del tratamiento o
cuando las mismas se presenten por medios electrónicos. Este tema está detallado en
el módulo 8.
13
7 POLÍTICA DE RESPONSABILIDADES Y DERECHOS DIGITALES
Con la entrada en vigor de la LOPD GDD, los trabajadores disponen de un listado de

Derechos Digitales y Garantías que las empresas deben procurar cumplir de acuerdo
Novedad con los márgenes establecidos por la ley.
LOPD GDD
Por ello, la regulación de estos derechos supone que a partir de ahora las empresas
elaboren una Política de Responsabilidades y Derechos Digitales en la que se detallen
el alcance y los límites de los Derechos Digitales que sean de aplicación en la relación
que la empresa tiene con los trabajadores y con otros terceros.
2.3 CONCLUSIONES
Los seis ejes presentados constituyen las medidas que las entidades que tratan
datos de carácter personal deberán implementar para estar en condiciones de
cumplir con el marco regulatorio de protección de datos.
1 RIESGO PROTECCIÓN DE DATOS
2 DCS DILIGENCIA, CONTROL Y SEGURIDAD
3 ÓRGANO DE CONTROL PROTECCIÓN DE

DATOS / DPO
4 ENCARGADO DEL TRATAMIENTO

5 DERECHOS PROTECCIÓN DE DATOS
6 DEBER DE COMUNICACIÓN / CANAL PD
7 POLÍTICA RDD
La presentación de dichas medidas tiene carácter expositivo a efectos de que Ud.

conozca y entienda en qué consiste el nuevo marco regulatorio.
Para más información, diríjase al RPD / DPD de su entidad.
14
MÓDULO 3
3 DATOS DE CARÁCTER
PERSONAL Y EMPRESARIAL

Saber qué es un dato de carácter personal, un dato de carácter empresarial y la
diferencia entre ambos.
Identificar los datos especialmente protegidos y cómo deben ser tratados.
Diferenciar los datos de carácter personal de los datos mercantiles sujetos a pri-
vacidad, regulados por otras normativas.
3.1 INTRODUCCIÓN
El presente módulo tiene como objetivo principal destacar la importancia de la información

confidencial que Ud. tratará por motivo de su actividad. Asimismo, Ud. deberá poder
diferenciar entre información empresarial e información de carácter personal.
3.2 QUÉ SE ENTIENDE POR DATO DE CARÁCTER PERSONAL

Y DATO EMPRESARIAL.
LA NECESIDAD DE SU PROTECCIÓN
Al objeto de presente curso y del mismo modo que se ha establecido con anterioridad, la
información que trata una entidad puede diferenciarse en dos grandes grupos:
1 Información relativa a los secretos y privacidad empresarial
2 Datos de carácter personal
Este curso tiene como objeto principal los datos de carácter personal, pero Ud. podrá
encontrar diferentes referencias a otro tipo de información de carácter comercial y/o
empresarial, también sujeta a requisitos de confidencialidad y seguridad. Por ello, resulta
vital que Ud. pueda diferenciar entre ambos tipos de información, ya que el tratamiento,
la normativa aplicable, así como las medidas que deban tomarse para garantizar su
protección deberán llevarse a cabo de modo distinto. A continuación se exponen las
principales diferencias.
15
3.2.1 LA INFORMACIÓN EMPRESARIAL COMO OBJETO DE PROTECCIÓN
Se puede considerar dato empresarial cualquier información relativa a cualquier ámbito

de la empresa (incluido el tecnológico, industrial, comercial, organizativo o financiero)
que sea secreta (en el sentido de que no es generalmente conocida por las personas
pertenecientes a los círculos en que normalmente se utilice el tipo de información en
cuestión ni fácilmente accesible para ellas), tenga un valor empresarial precisamente
por ser secreta y haya sido objeto de medidas razonables por parte de su titular para
mantenerla en secreto.
La Información empresarial y/o comercial se encuentra protegida por su normativa

mayoritariamente en el ámbito mercantil, civil y penal, y específica en materia de
propiedad intelectual e industrial.
Asimismo, el uso ilegítimo de la información empresarial privilegiada como estrategias de

venta o listados de clientes, entre otros, puede ser considerada información confidencial,
que, utilizada fuera del ámbito de la empresa, puede constituir un ilícito de carácter
penal, así como actos de competencia desleal.
3.2.2 LOS DATOS PERSONALES COMO OBJETO DE PROTECCIÓN
El artículo 4.1 RGPD define los datos personales como:
“Toda información sobre una persona física identificada o identificable («el interesado»);
se considerará persona física identificable toda persona cuya identidad pueda
determinarse, directa o indirectamente, en particular mediante un identificador, como por
ejemplo un nombre, un número de identificación, datos de localización, un identificador
en línea o uno o varios elementos propios de la identidad física, fisiológica, genética,
psíquica, económica, cultural o social de dicha persona.”
Por tanto, los elementos que le permitirán identificar un dato personal serán:
1 TODA INFORMACIÓN
El RGPD no establece ninguna restricción sobre qué tipo de información podría ser
válida, siempre y cuando sea:
2 SOBRE UNA PERSONA FÍSICA
El dato personal objeto de protección son los datos de personas físicas. Quedan excluidos
los datos de personas jurídicas, como por ejemplo la razón social de una empresa.
16
3 IDENTIFICADA O IDENTIFICABLE
En este sentido, la definición establecida por el RGPD determina que “se considerará
persona física identificable toda persona cuya identidad pueda determinarse,
directa o indirectamente” y hace hincapié en la identificación de personas físicas “en
particular mediante un identificador, como por ejemplo un nombre, un número
de identificación, datos de localización, un identificador en línea o uno o varios
elementos propios de la identidad física, fisiológica, genética, psíquica, económica,
cultural o social de dicha persona.”
RECUERDE
Siempre que trate datos de carácter personal, referentes a una persona física, estará ante
un dato de carácter personal protegible por el RGPD LOPD GDD y su marco de desarrollo.
3.2.3 TIPOS DE DATOS DE CARÁCTER PERSONAL
Una de las principales novedades introducidas por el marco normativo del RGPD es que
pasamos de una organización de los datos personales en categorías de datos según
la tipología de datos establecidas en el Real Decreto 1720/2007 de 21 de diciembre
que desarrolla la LOPD a una aplicación de medidas de seguridad que depende del
riesgo concreto a la protección de datos derivado del tratamiento de datos personales.
En consecuencia, deberá determinarse cuál es el riesgo concreto de los datos

objeto del tratamiento teniendo en cuenta la naturaleza, el ámbito, el contexto y
las finalidades del tratamiento y en base al mismo, aplicar las medidas técnicas y
organizativas necesarias para garantizar su seguridad y confidencialidad.
Cabe indicar que, aunque en el RGPD las medidas de seguridad aplicables ya no se

estructuren en base a categorías de datos personales, deberán adoptarse medidas de
especial protección cuando se trate de las categorías especiales de datos personales
que se exponen a continuación.
Asimismo, con la posterior entrada en vigor de la LOPD GDD se han regulado supuestos
de tratamiento de datos concretos y se han establecido nuevas indicaciones sobre la
configuración de los canales de denuncias internas. Además, la nueva normativa
española regula los llamados derechos digitales que también tienen implicaciones
para los empleados y que se pueden consultar en el módulo 8.
3.2.4 CATEGORÍAS ESPECIALES DE DATOS PERSONALES
Existen categorías de datos que deben protegerse especialmente, debido a su incidencia

en los derechos y libertades de las personas. Por ello, el artículo 9 RGPD, como norma
general, prohíbe el tratamiento las categorías especiales de datos personales que
revelen:
17
a Origen étnico o racial.
b Opiniones políticas.
c Convicciones religiosas o filosóficas.
d Afiliación sindical.
e Datos genéticos.
f Datos biométricos dirigidos a identificar de manera unívoca a una persona física.
g Datos relativos a la salud.
h Datos relativos a la vida sexual o a las orientaciones sexuales de una persona física.
Sin embargo, estos datos podrán ser tratados cuando el interesado preste su
consentimiento expreso o cuando el tratamiento sea necesario para cumplir con
una de las obligaciones que que establece el mismo artículo 9, y que detallamos en el
siguiente módulo, como excepción a dicha prohibición.
3.3 CONCLUSIONES
Los datos personales permiten identificar a una persona o hacerla identificable.
En el ámbito diario de su trabajo gestiona y trata directamente Datos Personales:

datos de clientes o proveedores, datos de trabajadores o compañeros, personas
de contacto, etc.
Del conjunto de la información que Ud. trata en su día a día, diferenciamos entre
información empresarial/comercial y datos personales que identifican a personas.
Ambas categorías son protegibles por las leyes, estableciendo obligaciones que
en caso de incumplirlas derivarán en importantes responsabilidades.
El RGPD no establece categorías de datos en base a una tipología concreta, sino

que el tratamiento de los mismos deberá determinarse en función del riesgo para
los derechos y libertades de los afectados.
No obstante, el RGPD establece categorías especiales de datos. Si en el

desempeño de su actividad profesional identifica el tratamiento de categorías
especiales de datos póngase en contacto INMEDIATAMENTE con el RPD / DPD
a fin de que le indique las medidas y requerimientos que deberá cumplir para
garantizar la correcta protección de los datos.
18
MÓDULO 4
4 EL TRATAMIENTO DE DATOS PERSONALES
Identificar qué se entiende por “tratamiento de datos personales” .
Saber en qué casos será lícito el tratamiento de datos personales.
Conocer de qué modo deberá tratar los datos personales en cada fase del trata-
miento, de conformidad con los principios de protección de datos.
4.1 INTRODUCCIÓN
En el desarrollo de su actividad laboral o profesional es posible que Ud. acceda o trate

datos de carácter personal, de modo que deberá conocer:
Qué se entiende como tratamiento de datos personales.
Cómo tratar estos datos de manera adecuada, ayudándose siempre del soporte
del RPD / DPD.
Recuerde que el tratamiento de datos personales deberá determinarse por el RPD / DPD
o el responsable de área correspondiente.
Si tiene dudas sobre cómo llevar a cabo cualquier tratamiento de datos personales,
póngase en contacto con el RPD / DPD de su entidad.
4.2 CONCEPTO DE TRATAMIENTO DE DATOS PERSONALES
¿QUÉ SE ENTIENDE COMO TRATAMIENTO DE DATOS PERSONALES?
El artículo 4.2 RGPD define el tratamiento de datos personales como “cualquier

operación o conjunto de operaciones realizadas sobre datos personales o
conjuntos de datos personales, ya sea por procedimientos automatizados o no,
como la recogida, registro, organización, estructuración, conservación, adaptación
o modificación, extracción, consulta, utilización, comunicación por transmisión,
difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión,
limitación, supresión o destrucción.”
19
De este modo constituirá tratamiento de datos personales.
El tratamiento de datos personales de los trabajadores para el mantenimiento de

las relaciones laborales (nóminas, altas y bajas, prevención de riesgos…).
El tratamiento de currículums vitae para procesos de selección de personal.
EJEMPLOS El tratamiento de datos personales de los clientes (facturas, presupuestos,

informes), así como cualquier otra actividad comercial con los mismos.
Realización de publicidad por medios electrónicos (emailing).
El tratamiento de imágenes captadas y almacenadas por cámaras de videovigilancia

instaladas en los accesos a las instalaciones.
¿QUÉ DEBE HACER PARA PODER TRATAR DATOS DE CARÁCTER PERSONAL?
El tratamiento de datos personales deberá llevarse a cabo de manera que respete los
derechos y libertades fundamentales de las personas. Por ello, antes de llevar a cabo
cualquier tratamiento de datos personales, Ud. deberá:
Verificar que el tratamiento de datos que Ud. va a llevar a cabo se encuentra dentro
de los supuestos de licitud que establece el RGPD LOPD GDD.
Tratar los datos personales de conformidad a los principios de protección de datos.
4.3 LICITUD DEL TRATAMIENTO DE DATOS PERSONALES
Los datos de carácter personal solamente podrán ser tratados en los siguientes
supuestos de licitud del tratamiento (art.6 RGPD):
20
SUPUESTOS EJEMPLO
Cuando el interesado marca la casilla “He
El interesado haya prestado su consentimiento leído y aceptado la política de privacidad”
para el tratamiento de sus datos personales, ya antes de enviar un formulario con sus datos
sea para uno o para varios fines específicos. personales expresa su consentimiento al
tratamiento de los mismos.
El tratamiento sea necesario para la ejecución Medidas precontractuales: datos personales

de un contrato en el que el interesado es parte o contenidos en una propuesta de servicios.
para la aplicación a petición de éste de medidas Ejecución de un contrato: tratamiento de datos

precontractuales. derivados de un contrato laboral.
La Ley de Autonomía del paciente regula

determinadas particularidades relativas al
El tratamiento sea necesario para el
tratamiento de datos de salud (consentimiento,
cumplimiento de una obligación legal aplicable derechos de los interesados, plazos de
al Responsable del tratamiento. conservación, etc.), en especial, en referencia
a la historia clínica del paciente.
El tratamiento sea necesario para proteger

intereses vitales del interesado o de otra Fines humanitarios, catástrofes naturales, etc.
persona física.
El tratamiento sea necesario para el

Tratamiento de datos llevados a cabo por la
cumplimiento de una misión en interés público
Administración Tributaria en el ejercicio de sus
o en el ejercicio de poderes públicos conferidos
funciones.
al Responsable.
El tratamiento sea necesario para la satisfacción

de un interés legítimo perseguido por el Comunicación de datos personales a través
Responsable del tratamiento o de un tercero, del Canal de Denuncias interno de una
siempre que dichos intereses no prevalezcan empresa. En este caso, el tratamiento de estos
a los intereses o derechos y libertades datos obedece a un fin legítimo que es el de
fundamentales del interesado que requieran detección de posibles incumplimientos.
la protección de datos personales, en especial
cuando se trata de un niño.
4.3.1 TRATAMIENTO DE CATEGORÍAS ESPECIALES DE DATOS PERSONALES
El artículo 9 RGPD establece como principio general la prohibición del tratamiento

de los datos de categorías especiales de datos personales, es decir, de aquellos
datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones
religiosas o filosóficas o la afiliación sindical, y el tratamiento de datos genéticos, datos
biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos
a la salud categorías especiales de datos personales. Sin embargo, estas categorías de
datos podrán ser tratadas cuando:
21
1 El interesado preste su consentimiento explícito e informado, excepto si legalmente se

establece que la prohibición no puede ser levantada por el interesado a fin de evitar
situaciones discriminatorias.
2 El tratamiento:
Sea necesario para el cumplimiento de obligaciones y ejercicios de derechos

específicos en el ámbito del Derecho laboral y de la seguridad y protección social.
Sea necesario para proteger intereses vitales del interesado o de otra persona
física.
Sea efectuado, en el ámbito de sus actividades legítimas y con las debidas

garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo
de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el
tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales
organismos que mantengan contactos regulares con ellos en relación con sus fines
y siempre que los datos no se comuniquen fuera de ellos sin el consentimiento de
los interesados.
Se refiera a hechos que el interesado ha hecho manifiestamente públicos.
Sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o

cuando los tribunales actúen en el ejercicio de su función judicial.
Sea necesario por razones de interés público esencial.
Sea necesario para fines de medicina preventiva o laboral, evaluación de la

capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o
tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de
asistencia sanitaria y social.
Sea necesario por razones de interés público en el ámbito de la salud pública.
El tratamiento es necesario con fines de archivo en interés público, fines de

investigación científica o histórica o fines estadísticos.
4.3.2 TRATAMIENTO DE DATOS PERSONALES RELATIVOS A CONDENAS E

INFRACCIONES PENALES
El tratamiento de datos personales relativo a condena e infracciones penales, así

como a procedimientos y medidas cautelares y de seguridad conexas que no tengan
como finalidad la prevención, investigación, detección o enjuiciamiento de infracciones
penales o de ejecución de sanciones penales: solamente podrá llevase a cabo cuando
el mismo esté basado en una norma, y que como mínimo, tenga rango de ley.
22
4.4 PROCESOS Y FORMAS DE CAPTACIÓN DE DATOS
Existen diversos procedimientos para la solicitud y recogida de datos personales

que permiten que la obtención de éstos pueda ser automatizada o manual, e incluso
por sistemas de captación que no se realizan directamente por el titular de los datos
personales.
Cada entidad ajusta los procedimientos de recogida a sus necesidades, pero algunos de
los más habituales son los siguientes:
Por medio de formularios.

Por medio de pedidos, encargos o albaranes.
Haciendo entrevistas y encuestas.
Cupones respuesta de promociones comerciales.
En campañas publicitarias.
Por encuestas telefónicas o a través de internet.
Recogidas de datos en formularios web.
Recepción de currículos en la bolsa de trabajo.
Cesiones de datos.
4.5 FASES DEL TRATAMIENTO Y FORMAS DE LLEVARLO A CABO
El tratamiento de datos personales abarca todo el “ciclo de vida” de los mismos. En

consecuencia, Ud. deberá tener presente en qué punto del tratamiento se encuentra,
puesto que debe cumplir con los requerimientos que en cada momento establezca el
RGPD y su normativa de desarrollo, así como con sus principios rectores.
Los principios de protección de datos deberán cumplirse en todas las fases del tratamiento,
pero en concreto, deberán tenerse en especial consideración en las siguientes fases:
1 Recogida de datos
Solamente deberán tratarse los datos legitimados por los supuestos del
RGPD, teniendo en cuenta, asimismo, las reglas de licitud del tratamiento para las
categorías especiales de datos. Es decir, solamente podrán tratarse los datos de
carácter personal especificados en el RGPD y legitimados de conformidad con el
epígrafe 4.3 del presente módulo (principio de licitud).
Se debe informar al interesado, en todo caso, sobre quién recogerá sus datos, la
finalidad del tratamiento y la posibilidad de acceder a sus datos en todo momento.
Esta información deberá ser accesible para el afectado en todo momento y se
deberá utilizar un lenguaje claro y sencillo en toda comunicación con el mismo,
de modo que cualquier persona pueda entender la información que se le está
ofreciendo (principios de lealtad y transparencia).
23
Los datos solamente serán recogidos con fines determinados, explícitos y legítimos,
y no serán tratados ulteriormente de manera incompatible con esas finalidades.
Por lo tanto, todo dato personal tratado debe obedecer a un fin concreto
lícitamente establecido y comunicado así al interesado en el momento de su
recogida (principio de limitación de la finalidad).
Los datos serán adecuados, pertinentes y limitados a aquellos estrictamente

necesarios en relación con los fines para los que son tratado. De este modo,
se minimizará al máximo el tratamiento de datos personales. Asimismo, no se
recogerán más datos que aquellos necesarios para la finalidad concretamente
perseguida (principio de minimización de datos).
La recogida de datos limitará al máximo el tratamiento de datos personales, recogiendo

IMPORTANTE
solamente aquellos datos que sean necesarios para los fines perseguidos. Cuando se
realice un tratamiento de datos personales, deberá informarse al interesado de manera
transparente sobre la finalidad, tratamiento y acceso a sus datos personales.
Además, cuando se solicite el consentimiento para una pluralidad de finalidades, será

preciso que se otorgue el consentimiento para cada una de las finalidades.
2 Durante todo el tratamiento
En cualquiera de las fases del tratamiento, se deberá garantizar que los datos
de carácter personal que trate durante el desempeño de su actividad laboral
cuenten con una seguridad adecuada al riesgo derivado de dicho tratamiento.
Concretamente, protegiéndolo contra el tratamiento no autorizado ilícito y contra
su pérdida, destrucción o daño accidental. Ud. deberá cumplir con los protocolos y
medidas de protección de datos que le sean aplicables, así como con los deberes
de secreto profesional, que se mantendrá aun cuando hubiese dejado de prestar
sus servicios en su empresa (principios de integridad y confidencialidad).
3 Actualización de los datos tratados
Los datos personales que Ud. trate en el desempeño de sus funciones deben
ser exactos y actualizados en todo momento, de modo que cuando identifique
la inexactitud de los mismos proceda a su rectificación o supresión sin dilación
(principio de exactitud).
Toda entidad que trata datos personales ha de asegurarse que sus bases
de datos se encuentren actualizadas y que respondan con veracidad de la
situación real del titular de los datos, estableciendo sistemas periódicos por los
que se asegure la puesta al día de los datos de los que dispone.
24
4 Conservación
¿Podemos guardar los datos personales de forma indefinida?
No. Solamente podrán conservarse los datos durante el tiempo necesario para la
consecución de los fines que originaron su tratamiento. Una vez se haya cumplido
con la finalidad determinada, los datos personales serán conservados por el mínimo
tiempo posible, teniendo siempre en cuenta los límites de conservación que establecen
las legislaciones sectoriales o específicas (principio de limitación del plazo de
conservación).
EJEMPLO
Conservación de la documentación durante el periodo mínimo de 10 años, de
conformidad con la normativa de prevención de blanqueo de capitales.
En muchos casos la cancelación física de los datos no es posible, pudiendo existir

EXCEPCIONES imposiciones legales que obliga, al mantenimiento de éstos (como en el caso de las
obligaciones tributarias). En estos supuestos los datos personales quedarán bloqueados
y disponibles única y exclusivamente para las Administraciones Públicas, Jueces y
Tribunales.
IMPORTANTE Es recomendable establecer sistemas de actualización de los datos personales que

se traten; por ejemplo, aprovechar comunicaciones que se remitan a clientes de forma
masiva para hacer un recordatorio de actualización de sus datos si hubiesen variado.
4.6 CONCLUSIONES
Deberá asegurarse de que el tratamiento de datos personales que lleva a cabo se
encuentra en uno de los supuestos que lo legitiman, especialmente si se refiere a
categorías especiales de datos personales.
Solamente podrá recabar y tratar datos de carácter personal cuando sean

necesarios para la finalidad por la que fueron obtenidos y siempre y cuando se
trate de uno de los supuestos legitimados por el RGPD. Asegúrese de que no se
solicitan datos excesivos, inadecuados o no pertinentes.
Si comprueba que los datos no están actualizados correctamente o detecta

cualquier incidencia al respecto, notifíquelo urgentemente al RPD / DPD. Debe
tener siempre presente que su empresa deberá cumplir con el principio de
responsabilidad proactiva en base al cual no solo debe cumplir con el marco
regulatorio de protección de datos, sino que también deberá demostrarlo.
25
MÓDULO 5
5 PRINCIPIO DE INFORMACIÓN Y
CONSENTIMIENTO DE LOS AFECTADOS

Conocer debidamente que es el principio de información en los procesos de
recogida de datos.
Estar en condiciones de dar cumplimiento del deber de información cuando los

datos no se obtienen directamente del afectado.
Conocer cuándo y cómo debemos cumplir con el consentimiento necesario para

el tratamiento de datos de carácter personal.
5.1 INTRODUCCIÓN
Cada vez que se recaben datos de carácter personal, se deberá informar a los afectados
de la información sobre el destino de sus datos, así como de los derechos que le asisten,
permitiendo así que éstos puedan disponer de sus derechos y tener la información sobre
el destino de los mismos.
Por ello, cuando en la entidad en la que desarrolla su actividad laboral o profesional

se recaben datos de carácter personal, se deberá tener en cuenta las reglas que se
exponen a continuación.
Cada vez que se recaben datos de carácter personal, se deberá informar a los afectados
de la información sobre el destino de sus datos, así como de los derechos que le asisten,
permitiendo así que éstos puedan disponer de sus derechos y tener la información sobre
el destino de los mismos. En este sentido, el Responsable tendrá distintos deberes
de información dependiendo de si ha obtenido directamente los datos de los propios
afectados (artículo 13 RGPD) o si los datos del afectado han sido facilitados por un
tercero distinto (artículo 14 RGPD).
5.2 CUMPLIMIENTO DEL DEBER DE INFORMACIÓN EN PROCESOS DE

RECOGIDA Y TRATAMIENTO DE DATOS PERSONALES
Hemos estudiado en el módulo 4 el concepto de tratamiento de datos personales, así

como las distintas formas para proceder a la solicitud y recogida de datos personales y
el modo en el que deben tratarse estos datos personales
26
En este sentido, es extremadamente crítico y necesario cumplir con el principio

de información en la recogida de datos siempre que se recaben datos de carácter
personal, así como con el consentimiento del afectado, cuando éste sea necesario,
tal y como se analiza a continuación.
¿Qué implica cumplir con el PRINCIPIO DE INFORMACIÓN?
Quiere decir que el titular de los datos conoce cuál va a ser el uso que le vamos a dar a
los datos, así como quién es el Responsable del tratamiento y dónde puede ejercer sus
derechos.
El cumplimiento del deber de información depende de la procedencia de los datos:
Directamente del titular: proceso en el cual es el propio titular de los datos el que
toma conciencia que “entrega” sus datos a alguien.
EJEMPLO
Cuando se están obteniendo datos de un potencial trabajador para un proceso
de selección o datos de clientes por medio de un albarán o pedido.
De terceros: en determinados procesos puede darse la circunstancia de que el

titular de los datos no sepa de qué forma o medio se han obtenido sus datos.
EJEMPLO Datos personales extraídos de fuentes accesibles al público (guías telefónicas,

guías profesionales, diarios y boletines oficiales y medios de comunicación), o
provienen de terceros.
¿Por qué se debe dar esta información previa?
RECUERDE La razón del deber de información previa tiene su origen en el fundamento del derecho
a la protección de datos personales (autodeterminación informativa), por el cual el titular
de los datos tiene derecho a saber quién va a realizar el tratamiento de sus datos, para
qué van a ser utilizados, y cómo puede decidir acerca del uso de los mismos, ejercitando
sus derechos.
5.2.1 OBTENCIÓN DE DATOS DIRECTAMENTE DEL AFECTADO

MUY
IMPORTANTE La obtención de datos directamente de su titular suele ser la forma más habitual en la
que nos podamos encontrar en el funcionamiento rutinario de una empresa o actividad
económica.
De conformidad con el artículo 13 RGPD, siempre que el Responsable obtenga datos

de carácter personal de un interesado, en el momento de la recogida de sus datos, el
Responsable deberá informarle de:
27
a La identidad y los datos de contacto del Responsable.
b Los datos de contacto del delegado de protección de datos, en los supuestos en

los que exista la obligación del nombramiento del mismo.
c Los fines del tratamiento a los que se destinan los datos personales y la base
jurídica del tratamiento.
d Los intereses legítimos del Responsable o de un tercero cuando el tratamiento de

datos sea necesario para la satisfacción dichos intereses.
e En caso de que existan cesiones de datos.
f Si existen Transferencias Internacionales de Datos.
g Los plazos de conservación.
h Los derechos que asisten a los afectados.
i La posibilidad de retirar el consentimiento en cualquier momento, sin que ello

afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada (si
el tratamiento de datos se base en el consentimiento del interesado).
j El derecho a presentar una reclamación ante una Autoridad de Control.
k Si existieran decisiones automatizadas, incluida la elaboración de perfiles.
¿CÓMO DEBERÁ PROPORCIONARSE ESTA INFORMACIÓN?
Debido a que la información completa que debe proporcionarse al interesado según

el RGPD es extensa y que en numerosas ocasiones por cuestiones de formato o
practicidad resulta complicado prestar toda la información en el mismo momento de la
recogida de datos, tanto el legislador español (artículo 11 LOPD GDD) como la AEPD
han introducido el concepto de presentación de la información por capas. Según el
mismo, en la primera capa se presentará la información básica y en la segunda capa se
presentará de manera detallada la información adicional del artículo 13 RGPD.
28
Información básica Información adicional

Epígrafe (1ª capa, resumida) (2ª capa, detallada)
Datos de contacto del Responsable
Identidad y datos de contacto del
“Responsable” Identidad del Responsable representante
(del tratamiento) del Tratamiento
Datos de contacto del Delegado de
Protección de Datos
Descripción ampliada de los fines del

tratamiento
“Finalidad” Descripción sencilla de los fines
del tratamiento, incluso Plazos o criterios de conservación de los datos
(del tratamiento)
elaboración de perfiles Decisiones automatizadas, perfiles y
lógica aplicada
Detalle de la base jurídica del

tratamiento, en los casos de obligación
“Legitimación” Base jurídica del legal, interés público o interés legítimo.
(del tratamiento) tratamiento Obligación o no de facilitar datos y
consecuencias de no hacerlo
Destinatarios o categorías de
“Destinatarios” Previsión o no de Cesiones destinatarios
(de cesiones o Decisiones de adecuación, garantías,
Previsión de Transferencias, o
transferencias) normas corporativas vinculantes o
no, a terceros países
situaciones específicas aplicables
Cómo ejercer los derechos de

acceso,rectificación, supresión y
portabilidad de sus datos, y la limitación u
“Derechos”
oposición a su tratamiento
(de las Referencia al ejercicio de
personas derechos Derecho a retirar el consentimiento
prestado
interesadas)
Derecho a reclamar ante la Autoridad de
Control
Información detallada del origen de los

“Procedencia” Fuente de los datos (cuando no datos, incluso si proceden de fuentes de
(de los datos) proceden del interesado) acceso público
Categorías de datos que se traten
Información por capas, Guía para el cumplimiento del deber de información. AEPD. 2017. pag.5
La información básica deberá contener, al menos:
a La identidad del Responsable del tratamiento y de su representante, en su caso.
b La finalidad del tratamiento.
c El modo en que el afectado podrá ejercitar sus derechos.
d La elaboración de perfiles, si los datos obtenidos del interesado fueran tratados para
dicha finalidad así como la información al interesado sobre su derecho a oponerse a
la adopción de decisiones individuales automatizadas.
29
Información básica sobre protección de datos
RESPONSABLE ENTIDAD
FINALIDAD Prestación de los servicios contratos
LEGITIMACIÓN Ejecución de un contrato
No se cederán datos a terceros salvo disposición legal. No se realizan

DESTINATARIOS transferencias de datos a terceros países
DERECHOS Acceder, rectificar y suprimir, así como otros derechos, como se explica
en la información adicional
INFORMACIÓN Puede consultar la información adicional y detallada sobre nuestra

ADICIONAL política de protección de datos, en el apartado “aviso legal” de nuestra
página web: www.entidad.com
Ejemplo de información básica en un medio electrónico, Guía para el cumplimiento del deber de
información. AEPD. 2017. pag.7
La información básica deberá presentarse siempre en el momento de la recogida de

datos a través del medio por el cual se recogió (formularios web, facturas, registros de
aplicaciones móviles, etc.) cuando por su naturaleza no se pueda dar toda la información
al afectado, y hacer remisión expresa al lugar donde se encuentra la información
detallada (aviso legal de página web, dirección electrónica, contrato entre las partes,
etc.) en el cual se presente al afectado la posibilidad de acceder a dicha información de
manera sencilla e inmediata.
5.3.2 OBTENCIÓN DE DATOS POR UN TERCERO DISTINTO AL AFECTADO

5.3.2.1 SUPUESTOS
Los datos personales podrán ser tratados por un tercero distinto al que el afectado
proporcionó sus datos cuando:
Datos obtenidos de fuentes accesibles al público: guías telefónicas, listados de los

colegios profesionales (abogados, médicos, etc…), diarios y boletines oficiales y
medios de comunicación.
Proporcionadas por terceros legítimamente: Empresa de bases de datos, mailing,

asociación de empresarios, empresas colaboradoras, empresas del grupo
empresarial, etc.).
Se haya obtenido el consentimiento expreso del interesado.
30
PREGUNTA
¿Puedo dar a un tercero o conocido unilateralmente mi base de datos de clientes
para que les envíe publicidad?
No podemos de forma unilateral proporcionar un listado ni un dato de carácter personal

a un tercero ya que esto implica una comunicación o cesión de datos personales para la
RESPUESTA se necesitará, EN TODO CASO, el consentimiento del afectado, a no ser que encuentre
dentro de los supuestos de fuentes accesibles al público.
Cuando se encuentra ante esta situación, debe siempre comunicarla siempre al

DPO / RPD.
5.3.2.2 DEBER DE INFORMACIÓN
Aunque los datos de carácter personal no se hayan obtenido del interesado, antes de
llevar a cabo el tratamiento de datos personales, Ud. o la persona que vaya a tratar
los datos personales también deberá facilitar al interesado la información por
capas incluyendo la información que establecen los artículos 14 RGPD y 11.3 LOPD
GDD.
Aunque los datos de carácter personal no se hayan obtenido del interesado, antes de
llevar a cabo el tratamiento de datos personales, Ud. o la persona que vaya a tratar
los datos personales también deberá facilitar al interesado la información por
Actualizado capas incluyendo la información que establecen los artículos 14 RGPD y 11.3 LOPD
LOPD GDD GDD. Entre la información anterior que se debe facilitar destaca:
a Las categorías de datos objeto de tratamiento.

b Las fuentes de las que procedieran los datos.
5.4 EL CONSENTIMIENTO
DEFINICIÓN Se entenderá como consentimiento cualquier manifestación de voluntad libre,
específica, informada e inequívoca del interesado por la que éste acepta el tratamiento
de sus datos personales, ya sea mediante una declaración o una clara acción afirmativa
(art. 6 LOPD GDD).
Cuando el consentimiento deba prestarse para varias finalidades del tratamiento

en el contexto de una declaración escrita que se refiera a diferentes asuntos, deberá
expresarse de manera específica e inequívoca para cada una de ellas.
31
5.4.1 RETIRADA DEL CONSENTIMIENTO
El interesado tendrá derecho a retirar su consentimiento en cualquier momento,

de manera que sea tan fácil retirarlo como fue prestarlo. No obstante, la retirada del
consentimiento no afectará de manera retroactiva a los tratamientos anteriores basados
en su consentimiento.
Ante esta situación, póngase en contacto con el Responsable / Delegado de

Protección de Datos.
5.4.2 CONSENTIMIENTO DE MENORES DE EDAD
De conformidad con el artículo 7 de la LOPD GDD, solamente será lícito el tratamiento

de datos personales basado en el consentimiento de un menor cuando éste sea mayor
de catorce años. En caso contrario, será necesario el consentimiento de los titulares de
su patria potestad o tutela.
El Responsable del tratamiento será quien tenga la carga de la prueba para verificar
que el menor tiene la capacidad suficiente para prestar su consentimiento cuando sea
necesario, o que existe autorización de los titulares de la patria potestad o tutela del menor.
El tratamiento de categorías especiales de datos solamente podrá llevarse a cabo cuando

medie consentimiento expreso e informado del afectado o el tratamiento se incluya en
uno de los supuestos especificados en artículo 9 RGPD. El tratamiento de estos datos
no podrá basarse en un contrato o una relación precontractual.
Ud. como parte integrante de la entidad en la que trabaja, cuando identifique el

RESPUESTA
tratamiento de datos especialmente protegidos, deberá notificarlo al responsable de
área o Responsable/Delegado de Protección de datos para que éste lleve a cabo las
acciones correspondientes.
5.4.3 CONSENTIMIENTO PARA LA REMISIÓN DE COMUNICACIONES COMERCIALES

POR CORREO ELECTRÓNICO
En primer lugar, Ud. debe garantizar que, para la realización de actividades comerciales
y publicitarias, al igual que para el resto de las finalidades de tratamientos de datos
personales, se deberá cumplir con todas las exigencias del RGPD y LOPD GDD en los
términos establecidos en el presente curso. Por ello, le recomendamos que Ud. como
usuario, siempre que deba realizar este tipo de actividades, solicite la autorización del
DPO/RPD, para que controle y verifique que se cumple con la normativa vigente.
32
De este modo, debido a la importancia en el uso empresarial de estas actividades, Ud.

deberá conocer que:
El uso indiscriminado (sin autorización del titular) de la dirección de correo electrónico

de una persona puede comportar el incumplimiento de:
a El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica

3/2018 de Protección de Datos Personales y garantía de los derechos
digitales (LOPD GDD) en cuanto al deber de información.
b La Ley de Servicios de la Sociedad de la Información y de Comercio

Electrónico (LSSI) que regula las comunicaciones comerciales en el marco de
Internet.
Cada día es más frecuente la utilización del correo electrónico por los Departamentos de
Marketing o Comercial para lanzar campañas de carácter publicitario. Muchos de estos
correos pueden tener la consideración de SPAM o correo basura dado que son acciones
comerciales que el destinatario no ha autorizado expresamente.
RECUERDE Ud. debe tener en cuenta las siguientes reglas siempre y cuando no disponga del
consentimiento del titular de la dirección de correo electrónico, o por expresa indicación
y autorización del RPD.
MUY
IMPORTANTE Previamente al envío de comunicaciones comerciales, asegúrese de que dispone
del consentimiento expreso del destinatario, (tanto personas físicas como jurídicas
(empresas), será necesario el consentimiento del destinatario de forma expresa.
Una de las principales novedades del RGPD es la fijación del consentimiento

inequívoco del interesado como vía para poder tratar lícitamente sus datos
personales. Deja claro que se deberá recabar el consentimiento a través de una clara
acción afirmativa o una manifestación libre de voluntad que no deje lugar a dudas. En
definitiva, el consentimiento tácito (la mera inacción o no oposición en el plazo
de 30 días) ya no es válido.
EXCEPCIÓN No será necesario el consentimiento previo y expreso cuando exista una relación
contractual previa con el destinatario y el contenido de las comunicaciones
comerciales vaya referido al objeto principal del contrato y no a otro distinto.
En el asunto del mail o de forma visible debe indicar que el mail se trata de
“PUBLICIDAD” o “PUBLI”, para que el destinatario pueda ver de forma rápida su
contenido y elegir leerlo o no.
33
En el mail se debe proporcionar un sistema sencillo para que el destinatario pueda

oponerse al envío de comunicaciones comerciales por medio de correo electrónico.
Por ello, en virtud del Real Decreto-ley 13/2012, de 30 de marzo, se deberá incluir una
dirección de correo electrónico en cada comunicación comercial realizada a través
de la cual se pueda ejercer el derecho de oponerse al tratamiento de los datos del
receptor con fines promocionales.
En cuanto se reciba una solicitud de un destinatario en la que se comunique su

decisión de no recibir más envíos comerciales, debe proceder a cancelar y dar de
baja inmediatamente ese email del listado de distribución y ponerlo en su caso en
comunicación del DPO/RPD.
Asegúrese de que antes de realizar ningún envío masivo por correo electrónico
Ud. dispone del consentimiento previo y expreso o que dicho consentimiento se
encuentre recogido dentro de las excepciones previstas por la LSSI.
Por las posibles implicaciones, en caso de querer realizar algún envío de

comunicaciones comerciales a través del correo electrónico, póngase en contacto
con el DPO/RPD.
5.4.4 COOKIES
Actualmente, gran parte de la inversión publicitaria se vehicula a través de internet,

motivo por el cual desde hace ya algún tiempo convivimos con las famosas cookies.
Estos mecanismos tienen un papel esencial para la prestación de numerosos servicios
de la sociedad de la información. Por ello, debemos determinar qué papel tienen estos
dispositivos en el tratamiento de datos personales, pero… ¿qué son las cookies?
Las cookies suponen la descarga de un archivo o dispositivo en el equipo terminal de un

usuario con la finalidad de almacenar y recuperar datos que se encuentran en el citado
equipo, facilitando la navegación del usuario y ofreciendo una publicidad basada en los
hábitos de navegación. Por ello, deberá tenerse en cuenta el impacto que ello supone a
la privacidad de los usuarios.
En este sentido, con el objetivo de regular la realidad de las cookies, el artículo 22 de la

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio
electrónico, (en adelante, LSSI) establece que: “Los prestadores de servicios podrán
utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales
de los destinatarios, a condición de que los mismos hayan dado su consentimiento
después de que se les haya facilitado información clara y completa sobre su
utilización, en particular, sobre los fines del tratamiento.
34
La política de cookies debe contener la siguiente información:
MUY a Qué son las cookies.

IMPORTANTE
b Para que se utilizan (si son cookies de seguimiento, publicitarias, etc.).
c Quién las instala (bien sea el propietario del portal o terceras personas o empresas).
d Cómo se rechazan (realizar una pequeña explicación de cómo se pueden rechazar

las cookies de nuestro sitio web sea cual sea el navegador que utilice el usuario).
Con carácter previo al estudio por parte de su Entidad de introducir este tipo de
mecanismos de publicidad comportamental (de acuerdo con la naturaleza de su
actividad, el modelo de negocio que desarrollan y el alcance de su responsabilidad),
deberá determinar qué tipo de cookies es más adecuada para su negocio. Esta
revisión debe tener como objetivo identificar las cookies que se están instalando o
utilizando, analizando si son cookies propias o de terceros, de sesión o permanentes
y, concretando su función para poder decidir si las mismas se encuentran o no en el
ámbito de aplicación del artículo 22.2.
5.5 CONCLUSIONES
Cualquier proceso de recogida de datos personales que tenga establecida su

empresa debe cumplir con el deber de información al afectado.
El deber de información puede prestarse por capas, aportando la información básica

en un primer momento e indicando el lugar donde el afectado puede encontrar el
resto de información.
Ud. deberá notificar al RPD/DPD cualquier incidencia o incumplimiento referente

al deber de información en especial, cuando se trate de la recogida de datos de
clientes, potenciales clientes, futuros trabajadores, etc.
Debe prestar atención al origen de las bases de datos que les pueda proporcionar un
tercero y comunicar su posible tratamiento al Responsable/Delegado de protección
de datos, para que le autorice y le comunique los requisitos a cumplir para su uso.

35
Cuando se realicen comunicaciones comerciales por correo electrónico deberá

incluirse, en todo caso, una dirección de e-mail en la que poder oponerse a seguir
recibiendo tales comunicaciones. Antes de llevar a cabo acciones de e-mailing con
carácter comercial, solicite información y la aprobación del DPO/RPD.
En caso de que su organización disponga o esté valorando implementar cookies en

la página web de la cual es titular, deberá proceder a su estudio con el objetivo de
verificar si su instalación queda dentro del ámbito de aplicación de la LSSI y el RGPD.
Debe consultar siempre con el Delegado/Responsable de protección de datos cuál

va a ser la forma más conveniente de cumplir con los principios de información y
consentimiento dentro de su organización.
36
MÓDULO 6
6 DERECHOS DE LOS AFECTADOS

Conocer los derechos que asisten a los afectados y cómo pueden ejercitarlos.
Establecimiento de canales adecuados para tramitar estos derechos.
6.1 INTRODUCCIÓN
Todo titular de datos de carácter personal tiene derecho a ejercitar sus derechos ante el
Responsable del tratamiento y a obtener una respuesta del mismo.
Por ello, es muy importante que, como sujeto susceptible de recibir solicitudes de
ejercicios de derechos, Ud. sepa identificarlos, así como conocer los plazos en los que se
deberá dar traslado a los afectados, con el fin de que pueda notificar dichas solicitudes
al Responsable de Protección de Datos mediante los canales habilitados a tal efecto.
6.2 EL AFECTADO COMO TITULAR DE SUS DATOS PERSONALES

¿Quién es el afectado / interesado?
Cuando hablamos del afectado o interesado nos referimos a toda persona física
titular de los datos personales que son objeto del tratamiento. Es decir, aquellos datos
que se refieren a una persona y que le identifican o pueden hacerle identificable.
Por este motivo, cualquier persona titular de los datos personales (afectado/interesado),
además del derecho a ser informado del tratamiento de sus datos, tiene derecho a
dirigirse al Responsable del tratamiento (persona física o jurídica) para saber si éste
trata sus datos y solicitar el acceso, rectificación, supresión, limitación de su tratamiento
o solicitud de la portabilidad de los mismos.
RECUERDE Uno de los aspectos con los que se debe informar al interesado en el proceso de recogida
de datos son los derechos de los que dispone y que puede ejercitar ante el Responsable
del tratamiento (ver módulo 5).
37
6.3 DESCRIPCIÓN DE LOS DERECHOS
A continuación se realizará una descripción general de los derechos de los que dispone
el afectado en relación a sus datos de carácter personal. Recuerde que si recibe una
solicitud de derechos por parte de cualquier afectado deberá ponerse en contacto con
el DPO/RPD.
6.3.1 DERECHO DE ACCESO
El derecho de acceso es el derecho que tiene todo interesado a dirigirse al

Responsable del tratamiento para que éste le confirme si se están tratando o no
datos personales que le conciernen. A tal efecto, el interesado deberá ser informado
acerca de los fines del tratamiento, las categorías de datos tratados, los destinatarios,
el plazo de conservación, los derechos del interesado y la posibilidad de presentar
reclamación ante la autoridad de control, entre otros.
El interesado tendrá derecho a recibir una copia de sus datos personales que están
siendo objeto de tratamiento. Asimismo, el derecho de acceso se entenderá otorgado
si se ofrece al interesado un sistema de acceso remoto, directo y seguro a los datos
personales que garantice, de modo permanente, el acceso a su totalidad.
6.3.2 DERECHO DE RECTIFICACIÓN
Todo interesado tendrá derecho a que, sin dilación indebida, el Responsable del
tratamiento:
a Proceda a la rectificación de sus datos personales cuando éstos sean

inexactos.
b Se completen los datos personales que sean incompletos, inclusive mediante una
declaración adicional y teniendo en cuenta, asimismo, los fines del tratamiento.
Al ejercer el derecho de rectificación, el afectado deberá indicar en su solicitud a

qué datos se refiere y cuál es la corrección que debe realizarse. Asimismo, deberá
acompañar, cuando sea preciso, la documentación justificativa de la inexactitud o
carácter incompleto de los datos objeto del tratamiento.
6.3.3 DERECHO DE SUPRESIÓN / OLVIDO
Mediante el ejercicio de este derecho, el interesado deberá obtener del Responsable

del tratamiento, sin dilación indebida, la supresión de los datos personales que le
conciernen. El Responsable estará obligado a suprimir los datos personales cuando
concurra alguna de las circunstancias determinadas por el RGPD.
38
Derecho al Olvido
El Derecho al Olvido consiste en el derecho que tienen los afectados a que sus datos
sean suprimidos en un contexto de servicios en línea o internet. De este modo, deberá
contemplarse la posibilidad de que los afectados puedan dirigirse directamente a los
motores de búsqueda en internet para que quiten de su página de resultados aquellas
informaciones en las que consten los datos personales del solicitante.
6.3.4 DERECHO A LA LIMITACIÓN DEL TRATAMIENTO
Mediante el ejercicio de este derecho el interesado puede solicitar al Responsable:
Que se suspenda el tratamiento de datos personales mientras se esté ejercitando el

derecho de rectificación respecto a la exactitud de los datos tratados o mientras se
esté ejercitando el derecho de oposición al tratamiento de datos.
Que se conserven sus datos personales cuando el tratamiento de datos sea ilícito
y el interesado se oponga a la suspensión de sus datos solicitando la limitación de
su uso o cuando el Responsable ya no necesite los datos personales para los fines
del tratamiento pero el interesado sí que los necesita para la formulación, ejercicio
o defensa de reclamaciones.
El hecho de que el tratamiento de los datos esté limitado mediante la suspensión o

conservación de sus datos deberá constar claramente en el sistema del Responsable.
6.3.5 DERECHO A LA PORTABILIDAD DE DATOS
El interesado tendrá derecho a recibir los datos personales que le incumban, que haya
facilitado a un Responsable del Tratamiento, en un formato estructurado, de uso común y
lectura mecánica, y a transmitirlos a otro Responsable del Tratamiento sin que lo impida
el Responsable al que se los hubiera facilitado.
El interesado tendrá derecho a que los datos personales se transmitan directamente de

Responsable a Responsable cuando sea técnicamente posible.
6.3.6 DERECHO DE OPOSICIÓN
El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados

con su situación particular, a que datos personales que le conciernan sean objeto de
un tratamiento cuando concurra alguna de las circunstancias establecidas por el RGPD.
El Responsable del Tratamiento dejará de tratar los datos personales, salvo que acredite
motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los
derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa
de reclamaciones, entre otros.
39
6.3.7 DECISIONES INDIVIDUALIZADAS AUTOMATIZADAS, INCLUIDA LA

ELABORACÍON DE PERFILES
De conformidad con el artículo 22 RGPD, todo interesado tendrá derecho a no

ser objeto de una decisión basada únicamente en el tratamiento automatizado,
incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte
significativamente de modo similar.
El interesado no podrá oponerse al tratamiento cuando la decisión:
a Sea necesaria para la celebración o ejecución de un contrato entre el interesado

y el responsable del tratamiento.
b Que esté autorizado por el Derecho de la Unión o los Estados miembros.
c Se base en el consentimiento explícito del interesado.
En los casos de las letras a) y c), el Responsable del tratamiento deberá adoptar medidas
adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del
interesado.
6.4 EJERCICIO DE LOS DERECHOS

Es sumamente importante conocer la forma y protocolo a seguir ante el supuesto de una
solicitud y tramitar el derecho de FORMA INMEDIATA ante el Responsable/Delegado de
Protección de Datos personales.
¿QUIÉN PUEDE SOLICITAR ESTOS DERECHOS CUANDO NUESTRA ENTIDAD

¡! EJERCE DE RESPONSABLE DEL TRATAMIENTO?
Cualquier persona física afectada o potencialmente afectada por el tratamiento de sus

datos personales: cliente, proveedor, trabajador, futuro cliente, etc.
Es un derecho personalísimo por lo que debe ejercerlo la propia persona o los padres
o tutores legales en caso de ejercitarlo un menor. Si lo hiciera una persona en nombre
de otra (por ejemplo, un familiar o conocido) debería hacerlo con o autorización expresa
que lo permitiesen.
¡! ¿QUÉ FORMA DEBE TENER LA SOLICITUD?
El ejercicio de los derechos se llevará a cabo mediante una solicitud dirigida al

responsable del fichero (la empresa). El personal que trate con el ciudadano o cliente
deberá poner a disposición los modelos correspondientes o, en caso de tratarse de
datos automatizados, el lugar al que los afectados podrán dirigirse para el ejercicio de
sus derechos.
40
NORMAS GENERALES PARA EL EJERCICIO DE DERECHOS
La empresa Responsable del tratamiento deberá seguir el siguiente procedimiento

respecto al ejercicio de los derechos de los afectados:
Informar a los interesados de la posibilidad del ejercicio de sus derechos de

conformidad con las reglas establecidas en el módulo 5 del presente curso.
El plazo de contestación a las solicitudes es de un mes a partir de la recepción

de la solicitud, tanto si es estimatoria o desestimatoria. Este plazo podrá prorrogarse
a dos meses teniendo en cuenta la complejidad y número de solicitudes recibidas,
en cuyo caso deberá comunicárselo al interesado durante el primer mes, indicando
los motivos de la dilación.
Gratuidad de las solicitudes y tramitaciones de los ejercicios de derechos, excepto

si éstas son manifiestamente infundadas, excesivas o repetitivas, en cuyo caso el
Responsable podrá cobrar un canon.
Legitimidad para el ejercicio de derechos: Cualquiera de estos derechos, podrá

Actualizado
ejercerse directamente por el interesado o por medio de un representante legal o
LOPD GDD
voluntario.
Podrá pedirse información adicional para identificar al interesado (por ejemplo,

presentación del DNI u otro documento acreditativo que demuestre su legitimación).
Medios puestos a disposición del interesado: El Responsable, está obligado a

informar al interesado de los medios que pone a su disposición para el ejercicio
de sus derechos, los cuales deberán ser fácilmente accesibles por el interesado.
Actualizado
Cuando el interesado presente la solicitud por medios electrónicos, la información
LOPD GDD
se facilitará por los mismos medios, a menos que el interesado solicite que se le
facilite de otro modo. En ningún caso, el ejercicio de derechos podrá ser denegado
por el solo motivo que el interesado opte por otro medio.
El encargado del tratamiento podrá atender, por cuenta del Responsable, las
solicitudes de ejercicio de derechos cuando así se estipule en el contrato de
Encargado del tratamiento.
Existe la posibilidad de mostrar el deber de información al interesado mediante

iconos normalizados que permitan proporcionarle de forma fácil, visible, inteligible
y claramente legible una adecuada visión de conjunto del tratamiento previsto.
41
6.4.1 LIMITACIONES A LOS DERECHOS DE LOS AFECTADOS
De conformidad con el artículo 23 RGPD, los derechos de los afectados podrán verse
limitados cuando así lo establezca el Derecho de la Unión o el de Estados miembros,
y, siempre y cuando tal limitación respete esencialmente los derechos y libertades
fundamentales de las personas, especialmente, en las siguientes situaciones: cuando
sea necesario para salvaguardar la seguridad del Estado, la defensa, la seguridad
pública, el tratamiento derivado de las investigaciones, acciones, procedimientos o
ejecuciones de sanciones penales, el interés general, los procedimientos judiciales, las
normas deontológicas, la protección del interesado y los derechos y libertades de otros
o la ejecución de demandas civiles.
6.4.2 CANAL DE COMUNICACIÓN
Si Ud. recibe una comunicación de ejercicio de derechos por parte de un afectado o

un tercero, deberá comunicarlo RPD/DPD a través de los canales de comunicación
establecidos internamente por su entidad.
Estos canales se explican con más detalle en el módulo 8.
6.5 CONCLUSIONES
Los derechos de los afectados son personalísimos, de manera que solamente

deberán ser ejercitados por el titular del derecho fundamental a la protección de
datos.
Si Ud. recibe una solicitud de ejercicio de derechos por parte de cualquier afectado
deberá ponerlo en conocimiento del RPD/DPD inmediatamente. El medio más
adecuado para comunicar dichas circunstancias es a través de los Canales de
comunicación de de Protección de Datos de la Entidad.
42
MÓDULO 7
7 ACCESO A DATOS PERSONALES POR CUENTA
DE TERCEROS OBJETIVOS DEL MÓDULO

Identificar cuando existe un tratamiento de datos por cuenta de terceros.
Conocer bajo qué reglas deben actuar los Responsables y Encargados del
tratamiento.
7.1 INTRODUCCIÓN
En determinados casos, existen terceros (Encargados del tratamiento) que accederán a

datos personales titularidad del Responsable (su empresa) para la prestación de datos
de carácter personal.
Por lo tanto, en el presente módulo se establecen los roles, características y reglas que
se establecen entre responsable y encargado con la finalidad de que Ud. sepa identificar
cuándo suceden estos tratamientos y acudir al DPO/RPD para que lleve a cabo las
acciones correspondientes.
7.2 EL ACCESO A DATOS POR CUENTA DE TERCEROS

7.2.1 DEFINICIÓN DE LOS ROLES
Se produce un acceso a datos de carácter personal por cuenta de un tercero cuando

una persona o Entidad externa accede a datos de carácter personal del Responsable
del tratamiento (su empresa) para la consecución de los fines que previamente éste le
haya encomendado. Este tercero se denominará Encargado del tratamiento.
En consecuencia, entran en juego dos figuras: el Responsable del tratamiento y el

Encargado del tratamiento, que el artículo 4 RGPD define de la siguiente manera:
Responsable del tratamiento: la persona física o jurídica, autoridad, servicio u

otro organismo que, solo o junto con otros, determina los fines y medios del
tratamiento.
Encargado del tratamiento: la persona física o jurídica, autoridad, servicio u

otro organismo que trate datos personales por cuenta del Responsable del
tratamiento.
43
Es decir, por un lado, el Responsable del tratamiento es la empresa titular de los

datos de carácter personal que contrata un servicio mediante el cual la empresa
externa podrá acceder a datos de carácter personal de los cuales es responsable. Y, por
el otro, el encargado del tratamiento es la empresa externa contratada por el responsable
del tratamiento para llevar a cabo dichos servicios.
Ejemplo: LA ENTIDAD, S.A. contrata el servicio de gestión de nóminas con

TODONÓMINAS, S.L.
En este caso, TODONÓMINAS, S.L. actuará como encargado del tratamiento de LA

ENTIDAD, S.A. (Responsable) ya que accederá a determinados datos de carácter
personal del Responsable para llevar a cabo los fines determinados por éste (los
servicios contratados).
En consecuencia, dependiendo a la actividad a la que se dedique su empresa podrá

ejercer el rol de Responsable o de Responsable y encargado del tratamiento.
7.2.2 MEDIDAS PREVIAS AL CONTRATO (DEBER DE DILIGENCIA EN LA ELECCIÓN

DEL ENCARGADO POR PARTE DEL RESPONSABLE)
Antes de suscribir el contrato con el encargado del tratamiento, el Responsable deberá

garantizar que elige al encargado que cuente con las medidas técnicas y organizativas
adecuadas para garantizar el tratamiento de los datos que lleva a cabo por su cuenta.
En concreto, el artículo 28 del RGPD establece que “cuando se vaya a realizar un

tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente
un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y
organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos
del presente Reglamento y garantice la protección de los derechos del interesado”.
Existe, por tanto, por imperativo del RGPD, un deber de diligencia en la elección del
Encargado por parte del Responsable.
De ese modo, para poder cumplir con este deber de diligencia, cuando su empresa
actúe como Responsable del tratamiento deberá:
1 Realizar una evaluación de idoneidad de sus encargados del tratamiento: Dicha

evaluación podrá instrumentarse a través de la elaboración de un documento interno
de registro y control de encargados.
2 Una vez que el Responsable haya identificado a sus encargados del tratamiento,
deberá exigir a dichos encargados que acrediten que ofrecen las garantías
suficientes con respecto a la implementación y mantenimiento de las medidas
técnicas y organizativas apropiadas, de acuerdo con lo establecido en el RGPD.
44
7.2.3 REQUISITOS DE ACREDITACIÓN Y GARANTÍA DE CUMPLIMIENTO POR PARTE

DE LOS ENCARGADOS DEL TRATAMIENTO
En cuanto a los Encargados del tratamiento, el Considerando 81 RGPD prevé que

el encargado del tratamiento debe ofrecer suficientes garantías en lo referente a
conocimientos especializados, fiabilidad y recursos, con vistas a la aplicación de
medidas técnicas y organizativas que cumplan los requisitos del Reglamento, incluida la
seguridad del tratamiento.
En concreto, la entidad que ostente el rol de Encargado del tratamiento de sus clientes
(asesor laboral, fiscal, entidades que impartan formación, entidades gestoras de
instituciones de inversión colectiva y cualquier otra entidad prestadora de servicios que
implican el tratamiento de datos personales por cuenta de terceros), debe demostrar al
Responsable que está en condiciones de poder cumplir con el marco normativo
de protección de datos que le es de aplicación.
En consecuencia, para cumplir este requisito de acreditación y garantía del cumplimiento,

el Encargado del tratamiento deberá:
1 De manera interna: elaborar un documento de registro y control de los

tratamientos que lleva cabo por cuenta del Responsable, debiendo identificar al
responsable del tratamiento, los tratamientos que lleve a cabo en concepto de encargado,
así como el riesgo o no que suponen las operaciones en el tratamiento para los Derechos
y Libertades de los colectivos que tratan (empleados, clientes, proveedores, candidatos
etc…), incluyendo una referencia expresa al contrato y a su periodo de vigencia.
2 De manera externa: una vez que el Encargado haya identificado a sus

Responsables y los tratamientos que lleva a cabo en concepto de encargado, deberá
poder demostrar que cumple con los requisitos de garantía y acreditación de
cumplimiento al Responsable. Dicha acreditación podrá consistir en certificaciones,
auditorías, etc. que garanticen que el tratamiento de datos va a llevarse de acuerdo
con el RGPD y su normativa de desarrollo.
Es importante destacar que dichas medidas deben realizarse previamente a la

RECUERDE celebración del contrato de Encargado del tratamiento, que regulará la relación
jurídica entre Responsable y Encargado del tratamiento, de modo que solamente
después de la acreditación de las debidas garantías, las partes estarán en
condición de suscribir el correspondiente contrato de Encargado del tratamiento.
45
7.2.4 CONTRATO DE ENCARGADO DEL TRATAMIENTO
Una vez determinados los riesgos y establecidas todas las medidas de diligencia y control
entre Responsable y Encargado, éstos deberán suscribir un contrato por escrito de
encargado del tratamiento conforme a los artículos 28.3 RGPD y 33 de la LOPD GDD.
Si el Encargado del tratamiento incumple dicho contrato al determinar por su

cuenta los fines y medios del tratamiento, será considerado Responsable del
tratamiento y le serán aplicables las obligaciones y responsabilidades establecidas
para los Responsables.
7.2.5 MECANISMOS DE CONTROL, SEGUIMIENTO Y COORDINACIÓN ENTRE

RESPONSABLE Y ENCARGADO DEL TRATAMIENTO
Después de que el Responsable determine los riesgos, elija al Encargado que acredite
el cumplimiento de sus obligaciones y se celebre el correspondiente contrato, las
obligaciones entre responsable y encargado no acaban aquí, sino que además de
los requisitos de acreditación formal, deberán establecerse mecanismos de control,
seguimiento y coordinación que garanticen el mantenimiento de las obligaciones de las
partes.
A MECANISMOS DE CONTROL Y SEGUIMIENTO
El Responsable deberá asegurar la correcta aplicación y cumplimiento de las medidas

previamente establecidas por parte de sus encargados mediante certificaciones,
controles, auditorías y/o cualquier otro mecanismo que permita acreditar y garantizar el
cumplimiento continuo de los mismos, siempre modulado en función de los riesgos que
entrañen los tratamientos de datos personales. Todo ello podrá instrumentarse mediante
un Protocolo de acreditación de medidas de Encargados del tratamiento.
RECUERDE Para el establecimiento estos mecanismos del control y seguimiento con los encargados
del tratamiento se deberá tener muy en cuenta el riesgo que representen para la
privacidad de las personas físicas los tratamientos externalizados con los encargados.
B MECANISMOS DE COORDINACIÓN
Deberán establecerse mecanismos de coordinación entre Responsable y Encargado

para que puedan comunicarse entre ellos en lo que se refiere a:
Violaciones de seguridad. De conformidad con el artículo 33.2 RGPD, cuando

el Encargado del tratamiento detecte una posible violación de seguridad, deberá
notificarla sin dilación indebida al Responsable, para que éste la comunique a la
Autoridad de Control, o a los afectados. Por lo tanto, se deberá abrir un canal de
comunicación entre Encargado y Responsable del tratamiento que reúna las
medidas de seguridad adecuadas y los registros correspondientes.
46
Traslado de ejercicio de derechos de los afectados. El Encargado estará

obligado a dar traslado al Responsable de las correspondientes solicitudes de
derechos de los afectados a través de un canal válido y que ofrezca todas las
garantías que permitan garantizar que el ejercicio de los derechos de los afectados
se hace efectivo sin dilaciones indebidas (rtículo 28.3 e) RGPD).
Por lo tanto, para cumplir con ambas obligaciones, recomendamos establecer un canal
de comunicación, así como un Protocolo de coordinación entre Responsables y
Encargados del tratamiento que delimite las funciones y responsabilidad de las partes.
7.3 OTROS FIGURAS DEL TRATAMIENTO DE DATOS
7.3.1 SUBENCARGADO DEL TRATAMIENTO
¿Qué sucede si nuestro proveedor (Encargado del tratamiento) subcontrata con

otra empresa el servicio que nosotros le hemos encomendado?
En este caso, la subcontratación de un servicio por parte del encargado determinará la

existencia de una nueva figura: el subencargado del tratamiento.
En este sentido, para que el Encargado del tratamiento pueda recurrir a otro encargado,
deberá mediar autorización previa (por escrito, específica o general) del Responsable.
Una de las formas más comunes para autorizar que el Encargado recurra a otros es
establecerlo así en el contrato de tratamiento de datos personales que éste formalice
con el Responsable.
La “empresa, s.a.” contrata a “milencuestas, s.c.p.” para realizar encuestas de

satisfacción a sus clientes, y a su vez, “milencuestas, s.c.p.” subcontrata a “tucallcenter,
s.l.” para realizar las encuestas de satisfacción telefónicas que la “empresa, s.a.” le
EJEMPLO
encomendó.
En este supuesto, “la empresa, s.a.” será el responsable del tratamiento, “milencuestas”,
s.c.p. el encargado del tratamiento y “tucallcenter, s.l.” el subencargado del tratamiento
en cuanto al tratamiento de datos personales derivado de las encuestas telefónicas.
El subencargado tendrá las mismas obligaciones que aquellas establecidas para

el Encargado del tratamiento por el Responsable mediante un nuevo contrato de
Encargado del tratamiento. En especial, en lo que se refiere a la prestación de garantías
suficientes en la aplicación de medidas técnicas y organizativas que deban implantarse
para la seguridad del tratamiento.
En caso de que el subencargado del tratamiento incumpla sus obligaciones, el

encargado será plenamente responsable ante el Responsable del tratamiento,
ya que existe un incumplimiento de las obligaciones pactadas por el Responsable y el
Encargado en el contrato de Encargado del tratamiento.
47
7.3.2 CORRESPONSABLE DEL TRATAMIENTO
Finalmente, se debe tenerse en cuenta la figura del de corresponsable de tratamiento

(artículos 26 RGPD y 29 LOPD GDD).
CONCEPTO
La corresponsabilidad del tratamiento tiene lugar cuando dos o más responsables
determinan conjuntamente los objetivos o los medios del tratamiento.
La determinación de las responsabilidades se realizará de acuerdo con las actividades

que efectivamente desarrolle cada uno de los corresponsables del tratamiento.
En cuanto a su relación con el ejercicio de los derechos de los interesados, los

corresponsables deberán determinar su responsabilidad, así como el cumplimiento de
dichas obligaciones de manera transparente y de mutuo acuerdo.
Si en el desempeño de su actividad laboral identifica un tratamiento de datos en el que

pueda participar un tercero en concepto de corresponsable del tratamiento, póngase en
contacto con el DPO / RPD de su empresa.
7.4 CONCLUSIONES
Recuerde que como norma general, Ud. NUNCA debe proporcionar o comunicar
datos personales a terceras personas que lo soliciten.
Se pueden dar determinadas situaciones en las que deba comunicar datos

personales. Si Ud. se encuentra en esta situación, comunique tal circunstancia al
DPO / RPD a fin de verificar que efectivamente se ha firmado el correspondiente
contrato de encargado del tratamiento.
Verifique, junto con el DPO / RPD que el tercero que trata datos correspondientes a
su área de actuación cumple con todas las obligaciones referentes a los encargados
del tratamiento.
48
MÓDULO 8
8 MEDIDAS DE SEGURIDAD, CONFIDENCIALIDAD Y
RESPONSABILIDAD DERECHOS DIGITALES
Conocer las normas de uso y medidas de seguridad aplicables a los sistemas de

información, así como aquellas aplicables al soporte papel, que deben adoptarse
para garantizar la seguridad de los datos personales e información empresarial a
la que Ud. accederá en el trascurso de su actividad laboral.
Ser capaz de identificar las obligaciones Ud. deberá cumplir para la correcta apli-
cación y mantenimiento de las medidas de seguridad que corresponde aplicar a
los datos de carácter personal y empresarial.
Conocer las medidas a considerar en los diferentes ámbitos y situaciones como:
Zonas de trabajo comunes.
Medidas de seguridad para el tratamiento y conservación de datos automatizados.
Normas específicas para el uso de correo electrónico e internet.
Uso de las redes sociales en el entorno laboral.
Medidas de seguridad para el tratamiento y conservación de la documenta-

ción en soporte papel.
Conocer y entender cómo se utilizan los canales de comunicación internos para

la comunicación de incidencias y otras medidas de protección de datos.
Conocer las responsabilidades y los derechos digitales que le son de aplicación.
8.1 INTRODUCCIÓN
El presente módulo tiene como objetivo el establecimiento de las medidas técnicas y
organizativas que Ud. deberá seguir en el tratamiento o acceso a datos, tanto personales
como cualquier otro dato, información, imagen o documento, a los que accederá en el
desempeño de su actividad laboral, prestando especial atención a aquellas medidas de
seguridad y confidencialidad que deben adoptarse respecto al uso de los sistemas de
información. Por todo ello, este módulo se instrumenta como el marco general de las
Políticas, procedimientos y/o normativas internas complementarias para el tratamiento
de datos, acceso a la información y determinación de responsabilidades de Derechos
Digitales.
49
Asimismo, se expondrán también los Derechos Digitales que, según lo establecido en la

LOPD GDD, Ud. tiene como trabajador de esta Entidad.
Si tiene dudas sobre cómo aplicar las medidas concretas que se exponen a continuación
o de cómo éstas afectan al tratamiento de datos que realiza en su puesto de trabajo,
diríjase al RPD / DPD.
Además, tenga en cuenta que este curso se debe complementar con las políticas que
la Entidad tenga establecidas y que pueden ser, a modo enunciativo y no limitativo, las
políticas relacionadas con los sistemas de información o aquellas relacionadas con los
derechos digitales, entre otras.
8.2 NORMAS, POLÍTICAS Y PROCEDIMIENTOS SEGUIR COMO USUARIO

QUE ACCEDE A LOS SISTEMAS DE INFORMACIÓN
IMPORTANTE Como empleado que va a tener acceso a información personal y empresarial (información
confidencial), Ud. deberá adoptar las medidas técnicas y organizativas implementadas
por su entidad con el objetivo de garantizar la correcta protección de datos de carácter
personal, así como el resto de información confidencial.
Para ello, deberá seguir todas las políticas, procedimientos y normas internas de
seguridad implementadas por su entidad y que tengan como objeto la protección de la
información confidencial.
De entre estas políticas deberá destacarse la Política de Sistemas de la Información

(Política de Sistemas), pues la misma tiene como finalidad garantizar el buen uso y
seguridad de la información confidencial, estableciendo las reglas de uso de dichos
sistemas y adaptándolas a las características concretas de su organización.
Asimismo, también deberá seguir el resto de políticas concretas que internamente pudiera
haber implantado su entidad, como la Política de uso de Dispositivos Personales con
fines laborales o la Política Bring Your Own Device (BYOD).
No obstante, en caso de que la entidad en la que trabaja no cuente con una Política
de Sistemas concreta, deberá seguir todos los procedimientos que internamente
se establezcan para el uso de la información confidencial, y, en todo caso, deberán
seguirse las medidas técnicas y organizativas que se exponen a continuación.
50
8.3 PRINCIPIOS DE OBLIGADO CUMPLIMIENTO PARA EL USUARIO

MUY
IMPORTANTE Es necesario que Ud. lea, comprenda y asuma las medidas que se recogen en los
puntos siguientes, a la vez que aquellas explícitamente detalladas en las políticas y
normativa interna de la Entidad, ya que de ello depende el correcto cumplimiento del
marco normativo indicado en este curso y las normas internas de la Entidad. En caso
de duda sobre el alcance o aplicación de alguna de las medidas, póngase en contacto
con el RPD / DPD.
En el desempeño de su relación laboral, Ud. como usuario de los sistemas de información

de la entidad en la que trabaja accede y/o trata información confidencial, pero… ¿qué se
entiende por información confidencial?
DEFINICIÓN Se considera información confidencial toda aquella información sobre la relación de

su entidad con los empleados, profesionales, consumidores, clientes, proveedores
estrategias comerciales y organizativas e industriales, contenidos, textos, imágenes,
videos, audios y logos, secretos, procedimientos, métodos, datos comerciales o
industriales relativos a los negocios y cualquier otra información a la que el usuario
tenga acceso en el desarrollo de su actividad laboral, la cual puede ser tanto de carácter
personal como empresarial.
Por ello, antes de acceder o llevar a cabo cualquier tratamiento de datos, debe tener
conocimiento y cumplir preceptivamente con las siguientes medidas:
Deber de secreto profesional: durante el transcurso de su relación laboral y aún

incluso después de la finalización de la misma, Ud. no puede revelar información
empresarial ni datos personales que haya manejado en la empresa durante el
desempeño de su relación laboral, ya que, por un lado, constituyen el fondo de
comercio y el activo de la empresa, y por el otro, Ud. tiene la obligación de secreto
impuesta por el RGPD y otras normativas de aplicación.
No extraer información de datos personales o empresariales en ningún tipo de

soporte fuera de los locales donde están los ficheros, mediante copias en CD, USB
(pendrive), listados, expedientes, etc, sin la previa autorización del RPD / DPD.
Siempre que tenga que difundir, ceder o externalizar este tipo de información solicite
información y autorización a su jefe funcional y al RPD / DPD. De igual modo, revise
siempre la política o normativa interna referente a estos efectos antes de actuar
al respecto. Asimismo, Ud. tampoco podrá extraer información a través de internet
como puede ser utilizando el correo electrónico o sistemas de almacenamiento
online (Dropbox, Google Drive, etc.).
51
Responsabilidad y seguridad: su puesto de trabajo se halla bajo su responsabilidad

como usuario del sistema de información de su empresa. Por lo tanto, Ud. debe
tomar (y la empresa proporcionárselas) las precauciones oportunas para que la
información que trata (tanto el equipo informático como el lugar de trabajo) no sea
visible y accesible por personas no autorizadas.
RECUERDE El incumplimiento del deber de secreto es susceptible de generar responsabilidad

para el usuario, tanto durante el tiempo que dure la relación profesional como con
posterioridad a ésta. Asimismo, el incumplimiento de las obligaciones aquí expuestas
puede ser constitutivo de un delito de revelación de secretos.
Durante la propia relación laboral, el incumplimiento del deber de sigilo profesional

podrá ser constitutivo de una infracción en los deberes profesionales, susceptible de
la oportuna medida disciplinaria en atención a la gravedad de la revelación, debiendo
asimismo el usuario hacer frente a la reparación de aquellos daños y perjuicios
generados por su conducta.
8.4 NORMAS A SEGUIR EN ZONAS DE TRABAJO COMUNES

Es habitual que muchas empresas cuenten con zonas comunes de trabajo para un gran
número de personas e incluso zonas de trabajo que se corresponden a zonas de paso
comunes para terceras personas ajenas a la empresa.
En este sentido, cuando un gran número de personas utilizan espacios comunes, tal
sistema de trabajo debe comportar necesariamente algunas medidas de seguridad
que han de ser cumplidas a los efectos de preservar la protección de datos, como, por
ejemplo:
1 Impresión de documentos: cuando imprima documentos que contengan datos u otro

tipo de información confidencial, debe evitar dejarlos “olvidados” en las bandejas de
las impresoras comunes. Por lo tanto, durante estos procesos, Ud. debe asegurarse
directamente de preservar la confidencialidad de los datos.
2 Correspondencia: Debe ser consciente de que los documentos que se reciban o

envíen por correspondencia y que contengan datos personales sean confidenciales
y solamente accesibles por sus destinatarios.
3 Obligaciones frente al envío de datos personales a terceros: Como norma,

siempre que se facilite información empresarial y/o datos personales a través de
soporte documental o informáticamente, adicionalmente a la autorización del
RPD / DPD (quien analizará todas las obligaciones y acciones necesarias), Ud.
deberá asegurarse de:
52
Que el receptor sea la persona autorizada.
Notificar las responsabilidades que debe asumir el destinatario una vez recibida
la información.
Limitar el uso de los datos a los fines que originaron su entrega.
4 Orientación de pantallas y dispositivos visuales: Los dispositivos visuales como

pantallas de ordenador, impresoras y faxes estarán orientados de tal forma que no
sea posible el acceso visual directo de las personas no autorizadas que transitan por
la zona y no estén autorizadas al acceso a los datos. En el caso de los ordenadores,
se deberá tener un protector de pantalla que impida la visualización de los datos. La
reanudación del trabajo implicará la desactivación de la pantalla protectora con la
introducción de una contraseña.
5 Documentos y archivos: Los documentos estarán archivados y protegidos frente al

acceso visual directo de las personas no autorizadas que transitan o se encuentran
en la zona y no estén autorizadas para el acceso a los datos. Por tanto, el usuario
deberá asegurarse de no dejar documentación fácilmente al alcance de terceros no
autorizados, especialmente cuando éste abandone su puesto de trabajo.
6 Entrevistas y preguntas: Las comunicaciones sonoras (entrevistas, cuestionarios,

preguntas para formularios, etc.) de datos confidenciales se efectuarán, en la medida
de lo posible, en una zona independiente y/o aislada de la zona donde accede el
personal y público no autorizado con el fin de evitar una posible comunicación a
terceras personas de los datos que se facilitan. En caso de duda, acuda al RPD/
DPD para que éste, junto con los responsables de área correspondiente, a zonas
reservadas para este tipo de actuaciones.
8.5 MEDIDAS DE SEGURIDAD PARA LOS SISTEMAS DE INFORMACIÓN

Como usuario de los sistemas a los que accede en el desempeño de su actividad laboral,
Ud. debe adoptar todas aquellas medidas de seguridad implementadas en su empresa
que garanticen la protección de la información propiedad de la misma (datos personales
y empresariales, imágenes o documentos).
Por todo ello, este módulo se instrumenta como el marco general de las Políticas,
procedimientos y/o normativas internas complementarias que tienen como objetivo
principal garantizar el correcto uso, así como preservar la seguridad de los sistemas de
información, datos personales y responsabilidades de Derechos Digitales.
53
A continuación, se indican las medidas de seguridad que debe contener

cualquier sistema de información que trate datos de carácter personal de manera
automatizada.
8.5.1 MEDIDAS CONCRETAS
Las principales medidas que deberá cumplir como usuario que accede a datos
confidenciales en su empresa (o aquella empresa a la que acceda por motivo de su
relación laboral) son las siguientes:
1 Control de acceso: Como usuario del sistema, Ud. debe velar por que el acceso a los
servidores, aplicaciones y/o bases de datos que contengan información confidencial
(datos empresariales y personales) se realice de forma segura y restringida,
accediendo solamente a aquellos datos confidenciales que sean estrictamente
necesarios para el desempeño de su actividad laboral.
Para cumplir con esta finalidad, se protegerán los accesos a los sistemas mediante
identificación (usuario) y clave de acceso (contraseña) con el fin de imposibilitar su
consulta a terceros no autorizados.
2 Confidencialidad en la identificación; nombre de usuario y clave de acceso

(usuario y contraseña): los controles de acceso a los sistemas solamente permitirán
la entrada a los mismos mediante nombre de usuario y clave de acceso. Por lo tanto,
para que el acceso sea restringido solamente a aquellos usuarios autorizados, la
identificación de los usuarios (nombre de usuario y clave de acceso) deberá
ser confidencial.
¿Qué se entiende por nombre de usuario y clave de acceso (contraseña)?
• Nombre de usuario: Nombre único con el que se identifica a un usuario en el

sistema.
• Claves de acceso (contraseña): es la clave de autenticación que junto al

nombre de usuario da acceso a un recurso o sistema.
RECUERDE La combinación de nombre de usuario y clave de acceso correcta será la

identificación que le dará acceso al recurso o sistema concreto (servidores,
correo electrónico, aplicaciones, etc.).
54
¡! ¿En qué le afecta?
Ud., como usuario del sistema, tiene asignado un nombre de usuario y una contraseña
que le identifica como usuario autorizado en el sistema de información. Dicho acceso,
además de ser confidencial, deberá seguir las políticas internas de asignación y
autenticación que determinen la identificación de los usuarios.
IMPORTANTE
Cada usuario es responsable de la confidencialidad, custodia y salvaguarda de sus
propias claves de identificación de los sistemas.
Ud. no deberá, en ningún caso, facilitar su contraseña y/o usuario de acceso a

ningún otro usuario o persona externa. Tampoco deberá acceder a los sistemas
con la identificación de otros usuarios. Si tiene la sospecha de que otro usuario
conoce sus datos de identificación y acceso, deberá ponerlo en conocimiento del
RPD / DPD con la finalidad de que se adopten las medidas adecuadas.
3 Almacenamiento y custodia de la información confidencial: Ud. debe asegurarse

de que toda la información confidencial que trate en el desempeño de su actividad
laboral se almacene y custodie en la carpeta correspondiente del servidor corporativo.
Asimismo, Ud. es responsable de los datos confidenciales a los que accede y / o trata
en su puesto de trabajo, garantizando que, bajo su conocimiento y responsabilidad,
ninguna otra persona no autorizada pueda acceder a dicha información.
En caso de crear ficheros temporales o copias de documentos que contengan

datos de carácter personal creados exclusivamente para la realización de trabajos
puntuales, temporales o auxiliares deberán ser en todo caso borrados o destruidos
una vez cumplida la finalidad que motivó su creación.
Si Ud. desea realizar copias de información confidencial o utilizar cualquier tipo

de soporte informático (dispositivo USB, disco extraíble, etc.) deberá contar con la
autorización previa del RPD / DPD o miembro del equipo del RPD / DPD que se
encargue de la supervisión y control de los sistemas de información.
4 Copias de seguridad y recuperación de datos:
¡! ¿Qué es una copia de seguridad?

Una copia de seguridad es una copia que se realiza de los datos originales
con el fin de disponer de un medio para recuperarlos en caso de su alteración,
destrucción o pérdida. Las copias de seguridad podrán realizarse en los propios
sistemas de su entidad o externamente (en servidores externos, en la nube,
etc.). La persona designada para llevar a cabo las copias de seguridad será el
responsable de sistemas o el responsable que en su empresa se designe a estos
efectos.
55
Recuperación de datos
En caso de que Ud. tenga una incidencia en referencia a los datos almacenados
en los sistemas de información (alteración, destrucción o perdida) debe dirigirse
al RPD/DPD a través de los canales de comunicación habilitados, a fin de que los
datos sean recuperados correctamente.
5 Destrucción de soportes que contengan datos personales: Siempre que quiera

eliminar soportes que contengan datos personales, ya sean de carácter físico
(listados de papel, currículum vitae, etc), o en soporte electrónico (CD, discos duros,
USB, etc.) debe asegurarse de que éstos se DESTRUYEN, de manera que el acceso
a los mismos no sea posible de ningún modo.
En definitiva, en el uso de los sistemas de información Ud. deberá garantizar la seguridad

y confidenciad de la información a la que tenga acceso.
RECUERDE Adicionalmente, la Entidad puede implementar una Política de Sistemas interna

o cualquier otra política en relación con los sistemas de información que deberá
complementarse con las medidas de seguridad arriba indicadas.
8.5.2 MEDIDAS DE SEGURIDAD APLICABLES A LOS DISPOSITIVOS PORTÁTILES Y DE

ALMACENAMIENTO TITULARIDAD DE LA EMPRESA
DEFINICIÓN Los dispositivos portátiles (ordenadores, teléfonos móviles o tablets corporativos) y de

almacenamiento (Pendrive, USB, disco duro externo) son herramientas de trabajo que
la entidad pone a su disposición para el uso de su actividad laboral.
Su uso debe ser exclusivamente profesional, y, por lo tanto, debe evitarse incorporar y
compartir en estos dispositivos información de carácter privado o personal que quede
fuera del ámbito laboral o profesional.
En determinados casos, los Smartphones, Tablets y dispositivos similares pueden

permitir su uso personal como llamadas o acceso a determinadas aplicaciones como
Whatsapp u otras aplicaciones de mensajería instantánea. En estos casos, consulte al
responsable de Sistemas de su entidad o al RPD / DPO, quien le indicará los accesos y
uso personal permitidos mediante este tipo de dispositivos.
Para garantizar el uso correcto y la protección de la información confidencial tratada a

través de estos dispositivos, la empresa podrá establecer los siguientes controles:
56
1 Al inicio de la relación laboral / entrega del dispositivo: Cuando se he haga

entrega de un dispositivo portátil para el desempeño de su relación laboral, su entidad
deberá hacerle entrega de la política correspondiente o normas que deberá seguir en
el uso de estos dispositivos, en caso de que las hubiera, junto con la correspondiente
acreditación de entrega.
RECUERDE Estos dispositivos son propiedad de la empresa, de modo que la misma tiene la
facultad de monitorizarlos, así como de acceder y borrar la información contenida en
los mismos.
2 Al finalizar la relación laboral: Los dispositivos portátiles y de almacenamiento

deberán ser devueltos a la entidad (haciendo entrega de los mismos al responsable
correspondiente) al término de la relación laboral, pues éstos son propiedad de la
entidad y han sido puestos a la disposición de sus trabajadores para el desempeño
de las funciones asignadas.
De igual modo, con objeto de garantizar la integridad y seguridad de los datos e

información confidencial, antes de la salida de la empresa, el usuario verificará que
los dispositivos portátiles no contienen información privada o personal que quede
fuera del ámbito laboral o profesional. La entidad deberá facilitarle el correspondiente
documento acreditativo de entrega donde conste toda esta información.
8.5.3 MEDIDAS DE SEGURIDAD APLICABLES A LOS DISPOSITIVOS PERSONALES

UTILIZADOS CON FINES LABORALES
En determinados casos, y siempre que su entidad le autorice para tal fin, podrá utilizar
IMPORTANTE sus dispositivos personales (teléfonos móviles, tablets, etc.) con fines laborales. Es decir,
es posible que, mediante su propio dispositivo personal, Ud. pueda acceder a recursos
corporativos (correo electrónico, bases de datos, etc.) y, en consecuencia, tenga acceso
a información confidencial de su empresa. El acceso podrá llevarse a cabo mediante la
propia red de la empresa o accediendo a través de acceso remoto.
Los dispositivos son propiedad del empleado, pero los recursos (correo electrónico,
bases de datos, servidores, etc.) así como la información confidencial a la que pueda
acceder mediante los mismos, es propiedad de la empresa.
Cualquier incidencia en el dispositivo que suponga o pueda suponer el acceso no

autorizado o riesgo a la seguridad de la información confidencial de la empresa contenida
en el dispositivo debe notificarse al responsable correspondiente o al RPD / DPD para
que adopte las medidas pertinentes. Esta notificación incluye cualquier otra violación de
seguridad en cuanto a los datos de carácter personal y confidencial de la empresa.
57
Asimismo, la entidad podrá establecer diferentes medidas y compromisos a seguir

que tengan como objetivo garantizar el uso correcto y la protección de la información
confidencial tratada a través de los propios dispositivos del trabajador / colaborador con
fines laborales tanto durante la relación laboral como al finalizar la misma:
8.6 NORMAS DE USO DEL CORREO ELECTRÓNICO,

INTERNET Y REDES SOCIALES
8.6.1 NORMAS DE USO DEL CORREO ELECTRÓNICO
Ud., como usuario dado de alta en su empresa, tendrá asignado un correo electrónico
que puede ser de uso “personal” asignado específicamente a Ud. o un correo
electrónico “genérico” compartido con otros trabajadores (por ejemplo, info@xxxxx.com,
admin@xxxxx.com).
En primer lugar, deberá tener en cuenta que el correo electrónico es un recurso

que la empresa pone a disposición de sus trabajadores para el desempeño de su
actividad laboral.
Por lo tanto, pese a que el correo electrónico esté protegido por nombre de usuario y
contraseña personal y sea usado exclusivamente por Ud., deberá tener en cuenta las
normas que su empresa establece para su uso, y en todo caso:
1 Uso profesional: el correo electrónico queda limitado a fines estrictamente laborales

o profesionales relacionados con las funciones desarrolladas en su puesto de
trabajo. Por lo tanto, no debe utilizarlo para fines personales si Ud. no cuenta con la
autorización expresa de su empresa y el DPO / RPD. Si quiere hacer un uso personal
de los recursos de la empresa debe solicitar la correspondiente autorización al
RPD / DPD, que le indicara en su caso la forma y utilización personal de los mismos.
En todo caso deberá identificar como “personal” el mensaje en el asunto del mismo.
2 Titularidad de los mensajes: Todos los accesos, mensajes creados, enviados,

recibidos o almacenados, así como la totalidad de su contenido, son de la exclusiva
propiedad de la empresa. La empresa en el ejercicio de sus auditorias de seguridad
interna puede proceder a controles de acceso aleatorio, filtros y registros de acceso
y por tanto acceder a leer y conocer el contenido de estos correos electrónicos.
58
Asimismo, la empresa se reserva el derecho a revisar los mensajes de correo

electrónico de los usuarios de la red corporativa con el fin de comprobar el
cumplimiento de las finalidades y prevenir que las actividades que lleva a cabo el
empleado puedan dañar su imagen, reputación o prestigio (por ejemplo, fugas de
datos personales, envío de contenido inapropiado, etc.).
LEER
ATENTAMENTE
3 Contenido de los mensajes: No realizar ni reenviar mensajes de correo electrónico
con contenidos:
Difamatorios, ofensivos, insultantes, ilegales, despectivo o que de cualquier modo

puedan ser constitutivos de delito; incite o promuevan a acciones delictivas o
contra la Ley, moral y / u orden público.
Pongan a disposición o permitan acceder a servicios encaminados a su perpetración

infrinjan la normativa de propiedad intelectual o industrial y/o el secreto de las
comunicaciones.
Incluyan contenidos violentos, pornográficos, racistas, obscenos o sexualmente

explícitos, ofensivos y / o inapropiados, historias y chistes racistas, de contenido
sexual o religioso.
Todos aquellos que puedan perjudicar de cualquier modo la imagen de la empresa.
Aquello que implique el incumplimiento de cualquier normativa y legislación

especialmente en lo referente a las comunicaciones comerciales.
4 Seguridad: Los sistemas de información de la empresa se podrá usar únicamente

por las personas autorizadas para ello. La cuenta de correo electrónico asignada a
cada empleado sólo podrá usarse por éste y estará protegida por una contraseña
de acceso asignada por el responsable. No debemos revelar nuestra contraseña a
terceros, ajenos o no a la empresa, y no debemos utilizar las claves de otros empleados
para acceder y/o utilizar sus cuentas, sin la autorización expresa y por escrito de la
empresa. Para garantizar la información y evitar el daño de los sistemas, deben
tenerse en cuenta las siguientes reglas:
Acceder a la cuenta de correo a través de código de usuario y contraseña que

deberá actualizarse periódicamente.
RECUERDE
No utilizar la opción de “guardar contraseña”.
No proporcionar nuestra cuenta de correo sin conocimiento exacto de por quién,

y para qué y quién va a ser utilizado.
59
Cuando se envíe un e-mail simultáneamente a diversos destinatarios (en

especial cuando son destinatarios externos a su empresa), a la hora de poner
las direcciones se utilizará la opción “CCO” para ocultar la visualización de los
destinatarios al receptor del e-mail.
Evitar enviar cadenas de mensajes.

RECUERDE
No enviar documentos confidenciales a través de este medio sin autorización

expresa de la entidad y siguiendo las medidas de seguridad complementarias
que su normativa interna y su RPD / DPD establezca.
Cuando el mensaje contenga información confidencial, Ud. deberá verificar que

el contenido del mismo y/o los datos confidenciales adjuntos se transmiten de
manera cifrada.
5 Gestión de los mensajes: Debemos ser, en todo momento, conscientes a la hora de

redactar los mensajes de la importancia de:
Tener bajo su control el contenido de los mensajes, incluidas las versiones

impresas de los mismos.
Remitir los mensajes adecuadamente para no revelar datos de terceros, al

destinatario inmediato ni a los posibles ulteriores receptores del mensaje y
conservarlos. Para ello, revise siempre las direcciones de los destinatarios antes
de enviar un mensaje.
Conservar los mensajes de modo íntegro y seguro, por ejemplo, para el caso de
que la empresa lo necesite como prueba.
6 Archivos adjuntos e información confidencial recibida mediante correo

electrónico: el correo electrónico es una herramienta de tránsito, de modo que
toda la información confidencial contenida en los mismos, así como los archivos
adjuntos que contengan este tipo de información (contratos, escrituras, informes,
documentos editables, etc.) deberán ser archivados y guardados correctamente en la
correspondiente carpeta del servidor de modo que la confidencialidad de los mismos
quede garantizada.
Cuando se trate de datos sensibles, éstos deberán eliminarse de la bandeja del

correo electrónico, quedado solo almacenados en los sistemas de la empresa bajo
las medidas de seguridad adecuadas.
60
7 Virus: Todos los usuarios supervisarán que los ficheros descargados desde correos
electrónicos con origen distinto a la empresa sean analizados con el programa de
detección de virus de la empresa. Cualquier problema o incidencia relacionada con
este aspecto deberá ser comunicada de inmediato al RPD / DPD a través de los
canales habilitados a tal efecto.
8 Uso de correos electrónicos ajenos a la empresa: Ud. no podrá, sin autorización

de la empresa, utilizar cuentas de correo personales accediendo a internet a
través de los sistemas de la empresa, pues supone un riesgo para la seguridad
de la información contenida en los mismos, como puede ser la entrada de virus,
implicaciones y riesgos legales, pérdida o destrucción de información, o ralentización
los sistemas operativos de la empresa.
Al finalizar su relación laboral / contractual, el correo electrónico continuará siendo

RECUERDE propiedad de la entidad, de manera que si el correo corporativo contiene algún tipo
de dato personal referente a su persona o terceros ajenos a su empresa o relación
laboral, deberá eliminarlo, ya que el correo electrónico que proporciona la entidad
es para llevar a cabo el desempeño laboral, la cuenta de correo seguirá siendo
propiedad de la empresa, pudiendo acceder al mismo en todo momento.
8.6.2 NORMAS DE USO DE INTERNET
¡! ¿Qué se considerará acceso a internet?
A los efectos del presente curso, se considerará internet aquel acceso que realice el
empleado a la red alámbrica o inalámbrica que la empresa pone a disposición de sus
trabajadores, e incluso el uso y empleo de las direcciones IP en las que radicase tal acceso.
El uso de internet queda limitado a fines estrictamente laborales y relacionado con las
funciones desempeñadas en su empresa. Sin embargo, muchas empresas permiten
un uso personal de internet siempre que sea razonable y no afecte al desarrollo de su
actividad laboral.
En particular, siempre que acceda a internet a través de los sistemas de su empresa

o esté conectado a la red de la misma, deberá prestar atención a las siguientes
consideraciones:
61
1 Virus: para proteger a los sistemas de su empresa de los virus con los que Ud. pueda
ser infectado navegando en internet, deberá:
Tener actualizado el antivirus.
Configurar de manera adecuada el software del navegador con las opciones más
restrictivas de seguridad en Internet.
Realizar intercambios de datos sólo en sitios web con protocolos de seguridad y

políticas de privacidad.
Borrar periódicamente las “cookies”.
Tener instalado el bloqueo de páginas emergentes.
2 Comercio y Banca electrónica: solamente podrá utilizar estas aplicaciones si está

expresamente autorizado por el RPD / DPD. Antes de facilitar cualquier tipo de dato
personal, deberá asegurarse de que Ud. se encuentra en un portal con conexión
segura.
LEER
ATENTAMENTE 3 Accesos prohibidos: Mediante los sistemas de su empresa o accediendo a la
red propiedad de ésta, no es aceptado el acceso a las siguientes aplicaciones o
páginas web:
Acceder, descargar y / o almacenar datos provenientes de aplicaciones o páginas

web de carácter sexual, xenófobo, difamatorio y en general, de cualquier sitio web
que pueda estar involucrado en incumplimientos de la legislación vigente.
RECUERDE
Descargarse programas o aplicaciones sin la autorización del RPD / DPD.
Participar en foros de opinión, listas de distribución sin la autorización de su jefe

funcional y del RPD / DPD.
Utilizar programas P2P o de intercambio de información (tipo Emule, Ares y

similares) sin la autorización del RPD / DPD.
El incumplimiento de estos principios puede comprometer gravemente la seguridad del

sistema de información de la empresa y la generación tanto de responsabilidad civil
como penal por su parte y de la empresa.
Cualquier uso profesional y personal tanto de la página web de la empresa como del
correo electrónico tiene que ser remitida al delegado o responsable de protección de
datos, en especial cuando implique un uso comercial y masivo de datos personales.
62
8.6.3 NORMAS DE USO DE LAS REDES SOCIALES EN EL ENTORNO LABORAL
Ud. como usuario, en su entorno de trabajo podrá hacer uso de las redes sociales en dos
supuestos bien diferenciados:
a Realizando un uso privado de las redes sociales: Para conocer si en su entidad

se permite un uso moderado de las redes sociales para usos privados, Ud., en primer
lugar, deberá dirigirse al RPD / DPO y /o a la Política de sistemas concreta o a las
normas de uso con las que cuente su entidad y, en todo caso deberá saber que:
En relación a este uso, la entidad tiene el deber y la facultad de controlar la actividad

laboral de sus empleados, así como de los recursos que pone a disposición de los
mismos, de modo que tendrá la disposición de determinar si se permite el acceso
a las redes sociales con uso privado, siendo la norma general la prohibición del
acceso a las mismas. No podrá realizar un uso privado de las redes sociales sin la
autorización del RPD / DPD.
b Realizando un uso corporativo de las redes sociales: Si la entidad cuenta con

presencia corporativa en redes sociales (Twitter, Facebook, LinkedIn…) a través del
perfil corporativo y para campañas concretas que tienen por finalidad, establecer un
nuevo canal de comunicación con los clientes, consumidores y usuarios, analizar sus
necesidades y preferencias, así como anunciar servicios, ofertas y promociones que
pueden resultar atractivas para los seguidores de su entidad en las Redes sociales.
Por este motivo, deberán establecerse determinadas normas de gestión y buen uso
de las cuentas corporativas en Redes Sociales que deberán aplicarse por parte del
área y responsables de la gestión, administración y monitorización de los contenidos
de perfiles o páginas corporativos de la entidad, y, por lo tanto, es el encargado de la
subida y actualización de publicaciones en las redes sociales actuando en su nombre.
IMPORTANTE Ud. como usuario no podrá acceder ni actuar en nombre de su entidad en ninguna
red social o similar. Asimismo, deberá abstenerse de realizar comentarios en nombre
de esta o en el suyo propio que pueda ocasionarle cualquier injerencia y/o daño
reputacional.
8.7 GESTIÓN, TRATAMIENTO Y CUSTODIA DE LA DOCUMENTACIÓN EN

SOPORTE PAPEL
Los riesgos a la protección de datos no solamente se encuentran en aquellos tratamientos
de la información confidencial por medios automatizados, sino que muchas veces la
documentación que contiene datos personales, como la impresión de documentos
recibidos por medios electrónicos, va a ser tratada y conservada en soporte papel.
63
Por ello, la información confidencial tratada a través de estos soportes deberá estar
sujeta a las medidas de seguridad que le son de aplicación, de las cuales destacamos
las siguientes:
1 Uso de documentación fuera del archivo: Durante el uso y tratamiento fuera de los
sistemas de archivo de documentación que contenga datos de carácter personal, la
persona que se encuentre a cargo de la misma deberá custodiarla e impedir en todo
momento que pueda ser accedida por persona no autorizada, ubicándola en lugares
de difícil acceso, o acceso restringido como armarios, cajones o espacios cerrados
con llave, de manera que a simple vista no pueda ser accedida por terceros. Es decir,
se deberá mantener una adecuada custodia de los datos una vez los obtenemos del
archivo general, como puede ser en el uso de expedientes de clientes o del personal
hasta que los mismos sean devueltos al archivo.
2 Identificación de documentos: Todo documento que contenga datos de carácter

personal deberá estar debidamente identificado y / o clasificado en expedientes o
según lo establecido en la normativa interna, permitiendo saber el tipo de información
que contiene, motivo por el cual no dispondremos de documentos sin identificar o
clasificar, que puedan contener datos personales protegibles por la LOPD GDD/
RGPD.
3 Custodia de la información en espacios bajo llave: Las mesas y despachos de los

trabajadores que contengan carpetas y / o documentos con información confidencial
deben ser provistos necesariamente de mecanismos de control que permitan su
recogida, almacenamiento y custodia una vez que Ud. abandone el puesto de trabajo
o termine su relación laboral. Es este sentido, Ud. está obligado a velar por que
las medidas implantadas, como sistemas de cerraduras con llave o sistemas de
identificación en cualquier formato.
4 Acceso restringido a las zonas de archivo: El acceso a la documentación se

reserva exclusivamente al personal autorizado, de manera que Ud. se ceñirá, en el
uso de documentación, a las instrucciones del Delegado / Responsable de Protección
(DPD / RPD) de Datos, y a los criterios de acceso definidos internamente.
5 Conservación de los datos: los documentos en papel deben estar colocados de

forma ordenada en lugares adecuados para su conservación, localización y acceso,
permitiendo de este modo, garantizar en todo momento el lugar donde se encuentran,
con la finalidad de cumplir los plazos establecidos para atender las solicitudes de los
derechos de los afectados.
RECUERDE
Una mala gestión de la documentación podría dificultar el ejercicio de los derechos
de los afectados que, a su vez, podría acarrear la imposición de multas a su empresa.
64
El responsable de los documentos que se encuentren en proceso de revisión,

modificación o tramitación, deberá custodiar los archivos e impedir en todo momento
acceso o información a personas no autorizadas.
6 Copias y duplicados de documentos: La generación de copias, fotocopias o

duplicados de documentos o soportes físicos que contengan datos personales,
deberá llevarse a cabo de forma diligente, realizando únicamente aquellas que
sean estrictamente imprescindibles y siguiendo las instrucciones del responsable
correspondiente.
Cuando las copias dejen de ser necesarias para el desarrollo de sus funciones,
Ud. debe destruirlas según el sistema previsto por la empresa, bien sea a través
de destructoras o bien por la contratación de terceras empresas de destrucción de
documentación.
Finalmente, cabe mencionar que los documentos (folios) que contengan datos
de carácter personal no podrán ser reutilizados, sino que siempre que ya no sea
necesaria su conservación.
7 Mecanismos de destrucción: En caso de destrucción de los soportes que contengan

datos personales, Ud. utilizará mecanismos que no permitan la posterior recuperación
de la información. Por ejemplo: destructoras de papel o contenedores de reciclaje.
8 Se prohíbe la extracción de documentación: Queda totalmente prohibida

la extracción, fuera de las instalaciones de la entidad, de documentos que
contengan datos personales. Si fuera necesario, póngase en contacto con el
DPD / RPD para obtener la correspondiente autorización.
9 Traslado de información a terceros: Como regla general, quedará prohibida la

extracción fuera de las instalaciones de su empresa de todos aquellos documentos
que contengan información confidencial. Por lo tanto, en el momento en el que Ud.
deba trasladar información a las dependencias de terceros, debe ponerse en contacto
inmediatamente con el DPD / RPD para la oportuna autorización.
La información en soporte papel debe tratarse de manera confidencial, haciendo

IMPORTANTE
inaccesible el contenido a terceros no autorizados. Los documentos que contengan
dicha información deberán guardarse bajo llave y serán destruidos una vez se haya
cumplido con la finalidad que originó su tratamiento o conservación.
65
8.8 CANAL DE COMUNICACIÓN DE PROTECCIÓN DE DATOS

Los canales de comunicación interna son mecanismos con los que cuenta la entidad
para comunicar cualquier incidencia o incumplimiento que se dé en el seno de la
entidad. Estos canales permiten la acreditación y registro de las comunicaciones que
se lleven a cabo a través del mismo. En concreto, en lo que se refiere a la protección de
datos de carácter personal, los canales de comunicación permitirán que sus empleados,
así como todas las personas que pertenezcan a la organización de su empresa notificar
las posibles violaciones de seguridad, así como dar traslado a los derechos de los
afectados.
¡! ¿Qué debe saber Ud. sobre los canales de comunicación?
Los canales de comunicación son el instrumento principal mediante el cual Ud. deberá
comunicar a su entidad cualquier posible incumplimiento o incidecia en materia de
protección de datos, así como cualquier violación de seguridad de la que Ud. tenga
conocimiento, ya sea cuando lleve a cabo cualquier tratamiento de datos personales,
o cuando tenga conocimiento de que se produzca o se haya podido producir cualquier
violación de seguridad por un tercero.
Los canales de comunicación también pueden utilizarse para dar traslado al

DPD / RPD del ejercicio de los derechos de los afectados cuando Ud. los haya recibido
directamente por el afectado o un tercero.
¡! ¿Qué es una violación de seguridad?
El artículo 4.12) RGPD define las violaciones de seguridad como “cualquier incidente
que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma o la comunicación o acceso no
autorizado a dichos datos.”
Las violaciones de seguridad pueden producir daños a las personas físicas como son la
pérdida de control de sus datos personales, restricción de sus derechos, usurpación de
la identidad, vulneración de su privacidad, daño reputacional, etc. de modo que es muy
importe que Ud. comunique cuanto antes al DPO / RPD cualquier incidencia que pueda
constituir una violación de seguridad para la protección de datos.
¿Qué garantías tienen los canales de comunicación frente a otros mecanismos de

¡! comunicación?
Las principales ventajas que tienen los canales de comunicación frente a otro tipo de
mecanismos de comunicación son, en primer lugar, que los canales permitirán el registro
de las comunicaciones realizadas a través del mismo, con el fin de poder acreditar , por
un lado, la diligencia por parte del usuario comunicando al Responsable de Protección de
66
Datos (DPO / RPD) todas aquellas incidencias o violaciones de seguridad que puedan
afectar a los datos de carácter personal, y por otro, la diligencia de la empresa en el
trámite y resolución de la misma, teniendo para ello un canal adecuado mediante el cual
pueda garantizarse la recepción de todas las comunicaciones.
Asimismo, los canales deberán contar con las medidas de seguridad adecuadas que
permitan a los empleados acceder a los mismos de manera inequívoca en un entorno
cerrado, a diferencia, por ejemplo, del establecimiento de un correo electrónico como
mecanismo de comunicación.
En consecuencia, cuando Ud. detecte una posible violación de seguridad, conocimiento

o indicio de incumplimiento de la normativa en materia de Protección de Datos y siempre
que no se cumplan los principios y deberes del presente curso o normas internas de la
entidad en materia de Protección de Datos, debe comunicarlo al RPD / DPD mediante
los canales de comunicación habilitados en su empresa para tal efecto.
Éstos permitirán el registro de las comunicaciones que se realicen a través de ellos. Su

empresa deberá comunicarle la existencia del correspondiente canal de comunicación.
8.9 GARANTÍA DE LOS DERECHOS DIGITALES
Con la entrada en vigor de la LOPD GDD se han introducido en el ordenamiento

IMPORTANTE jurídico español los denominados Derechos Digitales, que regulan derechos y
responsabilidades predicables al entorno de Internet. Algunos de estos derechos son
directamente aplicables en el ámbito corporativo de las empresas, es por este motivo
que a continuación queremos informarle del contenido, alcance y límites de dichos
derechos que Ud. ostenta por el hecho de ser un trabajador de esta Entidad:
1 Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral. Los

trabajadores tendrán derecho a la protección de su intimidad en el uso de los dispositivos
digitales puestos a su disposición por la Entidad. La Entidad podrá acceder a los
contenidos derivados del uso de medios digitales facilitados a los trabajadores a los
solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias
y de garantizar la integridad de dichos dispositivos.
La Entidad, en los puntos previos del presente Módulo, ha dejado establecidos

los criterios de utilización de los dispositivos digitales respetando en todo caso los
estándares mínimos de protección de su intimidad, incluido el acceso al contenido de
dispositivos digitales respecto de los que se hayan admitido su uso con fines privados.
67
2 Derecho a la desconexión digital en el ámbito laboral. Los trabajadores tendrán

derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal
o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y
vacaciones, así como de su intimidad personal y familiar.
Las modalidades de ejercicio de este derecho atenderán a la naturaleza y objeto de

la relación laboral, pudiendo la Entidad requerir de alguna actuación por motivos de
necesidad y / o por las características y funciones correspondientes al puesto de
trabajo del trabajador en cuestión.
3 Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de

grabación de sonidos en el lugar de trabajo. La Entidad podrá tratar las imágenes
obtenidas a través de sistemas de cámaras o videocámaras para el ejercicio de
las funciones de control de los trabajadores o los empleados públicos previstas,
respectivamente, en el artículo 20.3 del Estatuto de los Trabajadores y en la legislación
de función pública, siempre que estas funciones se ejerzan dentro de su marco legal y
con los límites inherentes al mismo.
En caso de existir riesgos relevantes para la seguridad de las instalaciones, bienes y

personas, la Entidad también puede precisar la utilización de sistemas similares a los
referidos en los apartados anteriores para la grabación de sonidos en el lugar de trabajo.
4 Derecho a la intimidad ante la utilización de sistemas de geolocalización en el

ámbito laboral. La Entidad podrá tratar los datos obtenidos a través de sistemas de
geolocalización para el ejercicio de las funciones de control de los trabajadores o los
empleados públicos previstas, respectivamente, en el artículo 20.3 del Estatuto de los
Trabajadores y en la legislación de función pública, siempre que estas funciones se
ejerzan dentro de su marco legal y con los límites inherentes al mismo.
Igualmente, los trabajadores podrán ejercer sus derechos de acceso, rectificación,

supresión y limitación de este tratamiento, en los términos previstos en el RGPD y su
normativa de desarrollo.
5 Derechos digitales en la negociación colectiva. Los convenios colectivos podrán

establecer garantías adicionales de los derechos y libertades relacionados con el
tratamiento de los datos personales de los trabajadores y la salvaguarda de derechos
digitales en el ámbito laboral.
RECUERDE Adicionalmente, la Entidad puede implementar una Política de Responsabilidades y

Derechos Digitales interna o cualquier otra política en relación con el contenido, alcance
y límites de estos derechos que deberá complementarse con lo indicado en este módulo.
Atendiendo a lo anteriormente expuesto, la Entidad ha habilitado un Canal de Protección

ATENCIÓN de Datos a través del cual el trabajador podrá notificar de forma inmediata a la Entidad
de cualquier hecho que vulnere o perjudique alguno de los derechos señalados en este
apartado.
68
8.10 RÉGIMEN DISCIPLINARIO

El incumplimiento de los protocolos, procedimientos y/o normativa interna de su entidad
en relación a las medidas de seguridad y confidencialidad implementadas internamente
por la misma o derivadas del mal uso de los sistemas, dispositivos e información
confidencial a la que usted tendrá acceso en el desempeño de su relación laboral, es
considerado, con carácter general, incumplimiento grave de los deberes y obligaciones
laborales / contractuales, y, por tanto, sujeto al régimen disciplinario.
Queremos destacar que dicho incumplimiento puede generar responsabilidades

personales de caracter civil y penal; por todo ello, es necesario la participación y
RECUERDE
compromiso activo en el cumplimiento de la normativa, los protocolos internos de la
Entidad y, en particular, cumplir con el deber de comunicar en el canal de Protección
de Datos de la Entidad lo contemplado en este programa y en los comunicados y
protocolos internos de la entidad.
8.11 CONCLUSIONES
En el desempeño de su actividad laboral, Ud. accederá y/o tratará tanto datos personales
como cualquier otro dato, información, imagen o documento, motivo por el cual Ud.
deberá:
Cumplir con las medidas de seguridad establecidas en el presente curso como marco
general de las Políticas, procedimientos y/o normativas internas sobre el tratamiento
de datos, acceso a la información y determinación de responsabilidades de Derechos
Digitales.
Adicionalmente, deberá cumplir con las Políticas, procedimientos y/o normativas

internas complementarias establecidas por la Entidad.
¡! Cuando tenga indicios o conocimientos de un incumplimiento o incidencia que

contravenga lo dispuesto en el presente curso, las Políticas, procedimientos y/o
normativas internas de la Entidad, o el posible incumplimiento de la normativa de
Protección de Datos y de garantía de Derechos Digitales, Ud. deberá notificarlo a
través de los canales de comunicación internos habilitados a tal efecto.
Si tiene dudas sobre la aplicación de lo establecido en el presente curso, así como

cualquier Política, procedimiento y/o normativa interna de la Entidad, póngase en
contacto con el Delegado / Responsable de protección de datos.
69

Curso Usuario RGPD - Video

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Curso Usuario RGPD - Video

Cargado por

Copyright:

Formatos disponibles

Programa de formación

MÓDULO 1 – MARCO REGULARIO DE PROTECCIÓN DE DATOS

1.2 LA INFORMACIÓN: UN VALOR A PROTEGER

1.3 FINALIDAD Y OBJETO DEL DERECHO A LA PROTECCIÓN DE DATOS DE

1.4 LEGISLACIÓN APLICABLE A LA PROTECCIÓN DE DATOS DE CARÁCTER

1.5 ÁMBITO DE APLICACIÓN

1.6 ELEMENTOS CLAVE DEL MARCO REGULATORIO

MÓDULO 2 – PRINCIPALES MEDIDAS APLICABLES A LA PROTECCIÓN DE DATOS

ENFOQUE BASADO EN EL RIESGO

MEDIDAS DE DILIGENCIA Y CONTROL PROACTIVO

DESIGNACIÓN DEL DELEGADO/RESPONSABLE DE PROTECCIÓN DE DATOS

ENCARGADOS DEL TRATAMIENTO

DERECHOS DE LOS AFECTADOS

MÓDULO 3 – DATOS DE CARÁCTER PERSONAL Y EMPRESARIAL

3.2 QUÉ SE ENTIENDE POR DATO DE CARÁCTER PERSONAL Y DATO EMPRESARIAL.

LA INFORMACIÓN EMPRESARIAL COMO OBJETO DE PROTECCIÓN

LOS DATOS PERSONALES COMO OBJETO DE PROTECCIÓN

TIPOS DE DATOS DE CARÁCTER PERSONAL

CATEGORÍAS ESPECIALES DE DATOS PERSONALES

MÓDULO 4 – EL TRATAMIENTO DE DATOS PERSONALES

MÓDULO 5 – PRINCIPIO DE INFORMACIÓN Y CONSENTIMIENTO DE LOS AFECTADOS

MÓDULO 6 – DERECHOS DE LOS AFECTADOS

LIMITACIONES A LOS DERECHOS DE LOS AFECTADOS

MÓDULO 7 – ACCESO A DATOS PERSONALES POR CUENTA DE TERCEROS

MÓDULO 8 – MEDIDAS DE SEGURIDAD Y CONFIDENCIALIDAD A SEGUIR Y DERECHOS

OBJETIVOS DEL MÓDULO

Tomar conciencia del valor de la información, en especial de aquella que contie-

El presente módulo tiene como objetivo el establecimiento del marco general de

1.2 LA INFORMACIÓN: UN VALOR A PROTEGER

La información de cualquier entidad privada o pública es actualmente el centro neurálgico

1 Información que contenga datos de carácter personal: Información que trate la

2 Información relativa a los secretos y privacidad empresarial: Estrategias,

Los datos de carácter personal tratados en el seno de la empresa son un tipo de

1.3 FINALIDAD Y OBJETO DEL DERECHO A LA PROTECCIÓN DE DATOS

De igual modo, tanto el artículo 9.1 de la Carta de Derechos Fundamentales de

En consecuencia, el derecho a la protección de datos se configura como un derecho

Debido a su condición de derecho fundamental, resulta de vital importancia que el

1.4 LEGISLACIÓN APLICABLE A LA PROTECCIÓN DE

La legislación básica aplicable al marco regulatorio de protección de datos es la siguiente:

P LEX Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía

LEX Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de

1.5 ÁMBITO DE APLICACIÓN

¡! Ámbito de aplicación material: cualquier tratamiento total o parcialmente

Ámbito de aplicación territorial: Responsables y Encargados del tratamiento

ciudadanos europeos, lo que supone una garantía adicional para la privacidad de

Quedan excluidos de este marco de aplicación:

Los tratamientos efectuados por una persona física en el ejercicio de actividades

Los tratamientos a los que no sea directamente aplicable el Reglamento UE

1.6 ELEMENTOS CLAVE DEL MARCO REGULATORIO

El marco regulatorio de protección de datos se alinea y homogeniza con los actuales

La aplicación de medidas del RGPD y la LOPD GDD se basan en los siguientes

A Principio de responsabilidad proactiva

El RGPD y la LOPD GDD se refieren a este principio como la necesidad de que la

B Enfoque basado en el riesgo

Las principales normas aplicables al tratamiento de datos de carácter personal son

El marco regulatorio de protección de datos de carácter personal le afecta a Ud.

Las disposiciones del RGPD se aplican tanto a Responsables y Encargados

Los elementos clave que establece el RGPD y su normativa de desarrollo son el

Conocer el esquema de cumplimiento normativo en protección de datos.

La explicación de estas medidas se realizará de una manera general, de modo que en el

Si tiene dudas sobre la aplicación o implicaciones de medidas que se excedan de

1 RIESGO PROTECCIÓN DE DATOS

2 DCS DILIGENCIA, CONTROL Y SEGURIDAD