Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Curso Usuario
PROTECCIÓN DE DATOS
USO SISTEMAS
INFORMACIÓN Y
DERECHOS DIGITALES
LOPD GDD
Ley Orgánica de Protección de Datos y
Garantía de Derechos Digitales
RGPD
Reglamento General de Protección de Datos
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
ÍNDICE
1.7 CONCLUSIONES
2.2 CONTENIDO
DEBER DE COMUNICACIÓN
2.3 CONCLUSIONES
3.3 CONCLUSIONES
2
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
4.6 CONCLUSIONES
5.4 CONCLUSIONES
3
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
COPYRIGHT
Este curso está destinado sólo y únicamente al alumno para el cual ha sido contratado.
Quedan rigurosamente prohibidas, sin la autorización previa y por escrito de los titulares del
“Copyright”, bajo las sanciones establecidas en las leyes, la reproducción total o parcial de este
curso, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya
sea electrónico, mecánico, por fotocopia, por registro u otros métodos.
4
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
MÓDULO 1
1 MARCO REGULARIO
DE PROTECCIÓN DE DATOS
1.1 INTRODUCCIÓN
En este primer tema introductorio se pretende que Ud. como usuario que accede a
datos de carácter personal e información confidencial, entienda y conozca los deberes,
responsabilidades y procedimientos a seguir en relación con dicha información.
De este modo, la información que trata una entidad puede tener diversa consideración,
por lo que, de manera general se puede clasificar en dos tipos:
5
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
LEX Art. 18.1 “Se garantiza el derecho al honor, a la intimidad personal y familiar y a
la propia imagen.”
LEX Art. 18.4 “La Ley limitará el uso de la informática para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y el pleno ejercicio de
sus derechos.
Por lo tanto, el derecho a la intimidad se configura de modo que el titular del mismo,
que deberá ser siempre una persona física, posee el denominado “derecho a la
autodeterminación informativa”. Es decir, el derecho que tiene toda persona a ejercer
el control sobre los datos que le conciernen.
6
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
El presente curso pretende mostrarle los pasos a seguir para que Ud. entienda y conozca
los deberes, responsabilidad y procedimientos que, en su condición de usuario, deberá
seguir para cumplir con el marco regulatorio en la materia, que garantizará el derecho
fundamental a la protección de datos.
R LEX Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de
2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE.
Asimismo, se deberán tener en cuenta las directrices que marque la Agencia Española
de Protección de Datos y las agencias de protección de datos autonómicas (Agencia
Vasca de Protección de datos y la Autoridad Catalana de Protección de Datos) a través
de sus Guías, Informes Jurídicos, Resoluciones, etc.
7
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Los tratamientos llevados a cabo por los órganos de la Administración General del
Estado en el marco de las actividades comprendidas en el ámbito de aplicación del
Capítulo II del Título V del Tratado de la Unión Europea.
Los tratamientos efectuados por parte de las autoridades competentes y sus agentes
con fines de prevención, investigación, detección o enjuiciamiento de infracciones
penales, o de ejecución de sanciones penales, incluida la de protección frente a
amenazas a la seguridad pública y su prevención, en los términos previstos por la
Directiva (UE) 2016/680, del Parlamento Europeo y del Consejo, de 27 de abril de
2016.
Por lo tanto, el RGPD así como la LOPD GDD que lo desarrolla, modifica algunos
aspectos del antiguo régimen de la LOPD y su Reglamento de Desarrollo al incorporar
estas nuevas obligaciones de diligencia y control que deben ser analizadas y aplicadas
por cada entidad teniendo en cuenta sus propias circunstancias, y en concreto, la
naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo que
representen dichos tratamientos para los Derechos y Libertades de las personas
físicas.
8
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
En términos prácticos, lo que requiere este principio es que las entidades realicen un
estudio en el que se deberá determinar de manera concreta la forma en que aplicarán
las medidas más adecuadas para el tratamiento de datos, asegurándose de que no
solo cumplen con el RGPD, sino que estarán en condiciones de demostrarlo ante los
interesados y ante las autoridades de control (AEPD o agencias autonómicas). Es decir,
este principio exige Diligencia y Control proactivo por parte de cualquier entidad con
respecto al tratamiento de los datos personales que lleven a cabo.
Este principio requiere que las medidas dirigidas a garantizar la efectiva protección de
datos personales se apliquen teniendo en cuenta la naturaleza, el ámbito, el contexto y
las finalidades del tratamiento, así como el riesgo para los Derechos y Libertades de las
personas.
De este modo, cualquier medida que se adopte en materia de protección de datos deberá
determinarse en función del riesgo previamente analizado.
1.7 CONCLUSIONES
Los datos personales son parte importantísima de la información con la que Ud.
trabaja y trata. Por lo tanto, Ud. debe velar por la seguridad y protección de los datos
que trata y asumir la responsabilidad que la normativa en materia de protección de
datos personales le otorga.
9
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
10
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
MÓDULO 2
2 PRINCIPALES MEDIDAS APLICABLES A LA
PROTECCIÓN DE DATOS
OBJETIVOS DEL MÓDULO
Saber identificar las principales medidas de aplicación a su empresa en materia
de protección de datos.
2.1 INTRODUCCIÓN
El presente módulo pretende exponer los siete ejes fundamentales que establece el
marco normativo actual para su implementación por las entidades que traten datos de
carácter personal.
2.2 CONTENIDO
Las medidas de protección de datos aplicables a las entidades que traten datos de
carácter personal pueden agruparse entorno a los siguientes siete ejes fundamentales:
7 POLÍTICA RDD
11
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Tal y como acaba de exponerse en el módulo 1, el marco regulatorio aplicable a los datos
de carácter personal requiere que las medidas dirigidas a garantizar su cumplimiento se
apliquen teniendo en cuenta la naturaleza, el ámbito, el contexto y las finalidades del
tratamiento, así como el riesgo para los Derechos y Libertades de las personas.
Antes de iniciar un tratamiento, deberá valorarse el riesgo que éste entraña para
la protección de datos.
Por lo tanto, del mismo modo que cada entidad deberá establecer el riesgo a la protección
de datos de los tratamientos que va a llevar a cabo, será también ésta la que deba
establecer todas aquellas medidas encaminadas a garantizar la adecuada protección de
datos, de conformidad con el Principio de Responsabilidad Proactiva.
12
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Por lo tanto, cuando su empresa actúe como Responsable del tratamiento, deberá realizar
una evaluación de sus Encargados con carácter previo a la formalización del contrato con
la finalidad de identificar a los encargados que disponen de los conocimientos, recursos
y medidas necesarias para poder demostrar y acreditar el cumplimiento del Reglamento
y en particular la aplicación de las medidas de seguridad. Asimismo, cuando su empresa
actúe como Encargado del tratamiento, deberá realizar la operación inversa, acreditando
que cumple con las medidas requeridas por dicha normativa. Este tema se analiza con
más profundidad en el módulo 7.
Siempre que se recaben datos de carácter personal, se deberá cumplir con el Deber de
información a los titulares de los datos personales (afectados), facilitándoles información
sobre la identidad de quién tratará sus datos personales, las finalidades del tratamiento,
la legitimación del mismo o la posibilidad de ejercitar sus derechos, además del resto
de información contenida en los artículos 13 y 14 del RGPD. Asimismo, los afectados
deberán conocer y poder ejercitar sus derechos modo sencillo y de fácil acceso.
Cuando se detecte una posible violación de seguridad, ésta deberá documentarse, así
como todos los efectos, medidas, plazos de notificación e instrucciones que permitan
acreditar el cumplimiento de esta medida.
De igual modo, se deben establecer mecanismos para que los afectados puedan ejercitar
su solicitud de derechos, así como proporcionar medios para que pueda darse traslado
a dichas solicitudes cuando éstas se lleven a cabo ante el Encargado del tratamiento o
cuando las mismas se presenten por medios electrónicos. Este tema está detallado en
el módulo 8.
13
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
2.3 CONCLUSIONES
Los seis ejes presentados constituyen las medidas que las entidades que tratan
datos de carácter personal deberán implementar para estar en condiciones de
cumplir con el marco regulatorio de protección de datos.
7 POLÍTICA RDD
14
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
MÓDULO 3
3 DATOS DE CARÁCTER
PERSONAL Y EMPRESARIAL
Diferenciar los datos de carácter personal de los datos mercantiles sujetos a pri-
vacidad, regulados por otras normativas.
3.1 INTRODUCCIÓN
Al objeto de presente curso y del mismo modo que se ha establecido con anterioridad, la
información que trata una entidad puede diferenciarse en dos grandes grupos:
Este curso tiene como objeto principal los datos de carácter personal, pero Ud. podrá
encontrar diferentes referencias a otro tipo de información de carácter comercial y/o
empresarial, también sujeta a requisitos de confidencialidad y seguridad. Por ello, resulta
vital que Ud. pueda diferenciar entre ambos tipos de información, ya que el tratamiento,
la normativa aplicable, así como las medidas que deban tomarse para garantizar su
protección deberán llevarse a cabo de modo distinto. A continuación se exponen las
principales diferencias.
15
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
“Toda información sobre una persona física identificada o identificable («el interesado»);
se considerará persona física identificable toda persona cuya identidad pueda
determinarse, directa o indirectamente, en particular mediante un identificador, como por
ejemplo un nombre, un número de identificación, datos de localización, un identificador
en línea o uno o varios elementos propios de la identidad física, fisiológica, genética,
psíquica, económica, cultural o social de dicha persona.”
Por tanto, los elementos que le permitirán identificar un dato personal serán:
1 TODA INFORMACIÓN
El RGPD no establece ninguna restricción sobre qué tipo de información podría ser
válida, siempre y cuando sea:
El dato personal objeto de protección son los datos de personas físicas. Quedan excluidos
los datos de personas jurídicas, como por ejemplo la razón social de una empresa.
16
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
3 IDENTIFICADA O IDENTIFICABLE
En este sentido, la definición establecida por el RGPD determina que “se considerará
persona física identificable toda persona cuya identidad pueda determinarse,
directa o indirectamente” y hace hincapié en la identificación de personas físicas “en
particular mediante un identificador, como por ejemplo un nombre, un número
de identificación, datos de localización, un identificador en línea o uno o varios
elementos propios de la identidad física, fisiológica, genética, psíquica, económica,
cultural o social de dicha persona.”
RECUERDE
Siempre que trate datos de carácter personal, referentes a una persona física, estará ante
un dato de carácter personal protegible por el RGPD LOPD GDD y su marco de desarrollo.
Una de las principales novedades introducidas por el marco normativo del RGPD es que
pasamos de una organización de los datos personales en categorías de datos según
la tipología de datos establecidas en el Real Decreto 1720/2007 de 21 de diciembre
que desarrolla la LOPD a una aplicación de medidas de seguridad que depende del
riesgo concreto a la protección de datos derivado del tratamiento de datos personales.
Asimismo, con la posterior entrada en vigor de la LOPD GDD se han regulado supuestos
de tratamiento de datos concretos y se han establecido nuevas indicaciones sobre la
configuración de los canales de denuncias internas. Además, la nueva normativa
española regula los llamados derechos digitales que también tienen implicaciones
para los empleados y que se pueden consultar en el módulo 8.
17
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
b Opiniones políticas.
d Afiliación sindical.
e Datos genéticos.
h Datos relativos a la vida sexual o a las orientaciones sexuales de una persona física.
Sin embargo, estos datos podrán ser tratados cuando el interesado preste su
consentimiento expreso o cuando el tratamiento sea necesario para cumplir con
una de las obligaciones que que establece el mismo artículo 9, y que detallamos en el
siguiente módulo, como excepción a dicha prohibición.
3.3 CONCLUSIONES
Del conjunto de la información que Ud. trata en su día a día, diferenciamos entre
información empresarial/comercial y datos personales que identifican a personas.
Ambas categorías son protegibles por las leyes, estableciendo obligaciones que
en caso de incumplirlas derivarán en importantes responsabilidades.
18
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
MÓDULO 4
4 EL TRATAMIENTO DE DATOS PERSONALES
OBJETIVOS DEL MÓDULO
Conocer de qué modo deberá tratar los datos personales en cada fase del trata-
miento, de conformidad con los principios de protección de datos.
4.1 INTRODUCCIÓN
Cómo tratar estos datos de manera adecuada, ayudándose siempre del soporte
del RPD / DPD.
Recuerde que el tratamiento de datos personales deberá determinarse por el RPD / DPD
o el responsable de área correspondiente.
Si tiene dudas sobre cómo llevar a cabo cualquier tratamiento de datos personales,
póngase en contacto con el RPD / DPD de su entidad.
19
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
El tratamiento de datos personales deberá llevarse a cabo de manera que respete los
derechos y libertades fundamentales de las personas. Por ello, antes de llevar a cabo
cualquier tratamiento de datos personales, Ud. deberá:
Verificar que el tratamiento de datos que Ud. va a llevar a cabo se encuentra dentro
de los supuestos de licitud que establece el RGPD LOPD GDD.
Los datos de carácter personal solamente podrán ser tratados en los siguientes
supuestos de licitud del tratamiento (art.6 RGPD):
20
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
SUPUESTOS EJEMPLO
Cuando el interesado marca la casilla “He
El interesado haya prestado su consentimiento leído y aceptado la política de privacidad”
para el tratamiento de sus datos personales, ya antes de enviar un formulario con sus datos
sea para uno o para varios fines específicos. personales expresa su consentimiento al
tratamiento de los mismos.
21
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
2 El tratamiento:
Sea necesario para proteger intereses vitales del interesado o de otra persona
física.
22
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Cada entidad ajusta los procedimientos de recogida a sus necesidades, pero algunos de
los más habituales son los siguientes:
Los principios de protección de datos deberán cumplirse en todas las fases del tratamiento,
pero en concreto, deberán tenerse en especial consideración en las siguientes fases:
1 Recogida de datos
Solamente deberán tratarse los datos legitimados por los supuestos del
RGPD, teniendo en cuenta, asimismo, las reglas de licitud del tratamiento para las
categorías especiales de datos. Es decir, solamente podrán tratarse los datos de
carácter personal especificados en el RGPD y legitimados de conformidad con el
epígrafe 4.3 del presente módulo (principio de licitud).
Se debe informar al interesado, en todo caso, sobre quién recogerá sus datos, la
finalidad del tratamiento y la posibilidad de acceder a sus datos en todo momento.
Esta información deberá ser accesible para el afectado en todo momento y se
deberá utilizar un lenguaje claro y sencillo en toda comunicación con el mismo,
de modo que cualquier persona pueda entender la información que se le está
ofreciendo (principios de lealtad y transparencia).
23
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Los datos solamente serán recogidos con fines determinados, explícitos y legítimos,
y no serán tratados ulteriormente de manera incompatible con esas finalidades.
Por lo tanto, todo dato personal tratado debe obedecer a un fin concreto
lícitamente establecido y comunicado así al interesado en el momento de su
recogida (principio de limitación de la finalidad).
En cualquiera de las fases del tratamiento, se deberá garantizar que los datos
de carácter personal que trate durante el desempeño de su actividad laboral
cuenten con una seguridad adecuada al riesgo derivado de dicho tratamiento.
Concretamente, protegiéndolo contra el tratamiento no autorizado ilícito y contra
su pérdida, destrucción o daño accidental. Ud. deberá cumplir con los protocolos y
medidas de protección de datos que le sean aplicables, así como con los deberes
de secreto profesional, que se mantendrá aun cuando hubiese dejado de prestar
sus servicios en su empresa (principios de integridad y confidencialidad).
Los datos personales que Ud. trate en el desempeño de sus funciones deben
ser exactos y actualizados en todo momento, de modo que cuando identifique
la inexactitud de los mismos proceda a su rectificación o supresión sin dilación
(principio de exactitud).
Toda entidad que trata datos personales ha de asegurarse que sus bases
de datos se encuentren actualizadas y que respondan con veracidad de la
situación real del titular de los datos, estableciendo sistemas periódicos por los
que se asegure la puesta al día de los datos de los que dispone.
24
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
4 Conservación
No. Solamente podrán conservarse los datos durante el tiempo necesario para la
consecución de los fines que originaron su tratamiento. Una vez se haya cumplido
con la finalidad determinada, los datos personales serán conservados por el mínimo
tiempo posible, teniendo siempre en cuenta los límites de conservación que establecen
las legislaciones sectoriales o específicas (principio de limitación del plazo de
conservación).
EJEMPLO
Conservación de la documentación durante el periodo mínimo de 10 años, de
conformidad con la normativa de prevención de blanqueo de capitales.
4.6 CONCLUSIONES
Deberá asegurarse de que el tratamiento de datos personales que lleva a cabo se
encuentra en uno de los supuestos que lo legitiman, especialmente si se refiere a
categorías especiales de datos personales.
25
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
MÓDULO 5
5 PRINCIPIO DE INFORMACIÓN Y
CONSENTIMIENTO DE LOS AFECTADOS
5.1 INTRODUCCIÓN
Cada vez que se recaben datos de carácter personal, se deberá informar a los afectados
de la información sobre el destino de sus datos, así como de los derechos que le asisten,
permitiendo así que éstos puedan disponer de sus derechos y tener la información sobre
el destino de los mismos.
Cada vez que se recaben datos de carácter personal, se deberá informar a los afectados
de la información sobre el destino de sus datos, así como de los derechos que le asisten,
permitiendo así que éstos puedan disponer de sus derechos y tener la información sobre
el destino de los mismos. En este sentido, el Responsable tendrá distintos deberes
de información dependiendo de si ha obtenido directamente los datos de los propios
afectados (artículo 13 RGPD) o si los datos del afectado han sido facilitados por un
tercero distinto (artículo 14 RGPD).
26
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Quiere decir que el titular de los datos conoce cuál va a ser el uso que le vamos a dar a
los datos, así como quién es el Responsable del tratamiento y dónde puede ejercer sus
derechos.
Directamente del titular: proceso en el cual es el propio titular de los datos el que
toma conciencia que “entrega” sus datos a alguien.
EJEMPLO
Cuando se están obteniendo datos de un potencial trabajador para un proceso
de selección o datos de clientes por medio de un albarán o pedido.
RECUERDE La razón del deber de información previa tiene su origen en el fundamento del derecho
a la protección de datos personales (autodeterminación informativa), por el cual el titular
de los datos tiene derecho a saber quién va a realizar el tratamiento de sus datos, para
qué van a ser utilizados, y cómo puede decidir acerca del uso de los mismos, ejercitando
sus derechos.
27
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
c Los fines del tratamiento a los que se destinan los datos personales y la base
jurídica del tratamiento.
28
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Destinatarios o categorías de
“Destinatarios” Previsión o no de Cesiones destinatarios
(de cesiones o Decisiones de adecuación, garantías,
Previsión de Transferencias, o
transferencias) normas corporativas vinculantes o
no, a terceros países
situaciones específicas aplicables
Información por capas, Guía para el cumplimiento del deber de información. AEPD. 2017. pag.5
d La elaboración de perfiles, si los datos obtenidos del interesado fueran tratados para
dicha finalidad así como la información al interesado sobre su derecho a oponerse a
la adopción de decisiones individuales automatizadas.
29
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
RESPONSABLE ENTIDAD
DERECHOS Acceder, rectificar y suprimir, así como otros derechos, como se explica
en la información adicional
Ejemplo de información básica en un medio electrónico, Guía para el cumplimiento del deber de
información. AEPD. 2017. pag.7
Los datos personales podrán ser tratados por un tercero distinto al que el afectado
proporcionó sus datos cuando:
30
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
PREGUNTA
¿Puedo dar a un tercero o conocido unilateralmente mi base de datos de clientes
para que les envíe publicidad?
Aunque los datos de carácter personal no se hayan obtenido del interesado, antes de
llevar a cabo el tratamiento de datos personales, Ud. o la persona que vaya a tratar
los datos personales también deberá facilitar al interesado la información por
capas incluyendo la información que establecen los artículos 14 RGPD y 11.3 LOPD
GDD.
Aunque los datos de carácter personal no se hayan obtenido del interesado, antes de
llevar a cabo el tratamiento de datos personales, Ud. o la persona que vaya a tratar
los datos personales también deberá facilitar al interesado la información por
Actualizado capas incluyendo la información que establecen los artículos 14 RGPD y 11.3 LOPD
LOPD GDD GDD. Entre la información anterior que se debe facilitar destaca:
5.4 EL CONSENTIMIENTO
DEFINICIÓN Se entenderá como consentimiento cualquier manifestación de voluntad libre,
específica, informada e inequívoca del interesado por la que éste acepta el tratamiento
de sus datos personales, ya sea mediante una declaración o una clara acción afirmativa
(art. 6 LOPD GDD).
31
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
El Responsable del tratamiento será quien tenga la carga de la prueba para verificar
que el menor tiene la capacidad suficiente para prestar su consentimiento cuando sea
necesario, o que existe autorización de los titulares de la patria potestad o tutela del menor.
En primer lugar, Ud. debe garantizar que, para la realización de actividades comerciales
y publicitarias, al igual que para el resto de las finalidades de tratamientos de datos
personales, se deberá cumplir con todas las exigencias del RGPD y LOPD GDD en los
términos establecidos en el presente curso. Por ello, le recomendamos que Ud. como
usuario, siempre que deba realizar este tipo de actividades, solicite la autorización del
DPO/RPD, para que controle y verifique que se cumple con la normativa vigente.
32
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Cada día es más frecuente la utilización del correo electrónico por los Departamentos de
Marketing o Comercial para lanzar campañas de carácter publicitario. Muchos de estos
correos pueden tener la consideración de SPAM o correo basura dado que son acciones
comerciales que el destinatario no ha autorizado expresamente.
RECUERDE Ud. debe tener en cuenta las siguientes reglas siempre y cuando no disponga del
consentimiento del titular de la dirección de correo electrónico, o por expresa indicación
y autorización del RPD.
MUY
IMPORTANTE Previamente al envío de comunicaciones comerciales, asegúrese de que dispone
del consentimiento expreso del destinatario, (tanto personas físicas como jurídicas
(empresas), será necesario el consentimiento del destinatario de forma expresa.
EXCEPCIÓN No será necesario el consentimiento previo y expreso cuando exista una relación
contractual previa con el destinatario y el contenido de las comunicaciones
comerciales vaya referido al objeto principal del contrato y no a otro distinto.
En el asunto del mail o de forma visible debe indicar que el mail se trata de
“PUBLICIDAD” o “PUBLI”, para que el destinatario pueda ver de forma rápida su
contenido y elegir leerlo o no.
33
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Asegúrese de que antes de realizar ningún envío masivo por correo electrónico
Ud. dispone del consentimiento previo y expreso o que dicho consentimiento se
encuentre recogido dentro de las excepciones previstas por la LSSI.
5.4.4 COOKIES
34
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
c Quién las instala (bien sea el propietario del portal o terceras personas o empresas).
Con carácter previo al estudio por parte de su Entidad de introducir este tipo de
mecanismos de publicidad comportamental (de acuerdo con la naturaleza de su
actividad, el modelo de negocio que desarrollan y el alcance de su responsabilidad),
deberá determinar qué tipo de cookies es más adecuada para su negocio. Esta
revisión debe tener como objetivo identificar las cookies que se están instalando o
utilizando, analizando si son cookies propias o de terceros, de sesión o permanentes
y, concretando su función para poder decidir si las mismas se encuentran o no en el
ámbito de aplicación del artículo 22.2.
5.5 CONCLUSIONES
Debe prestar atención al origen de las bases de datos que les pueda proporcionar un
tercero y comunicar su posible tratamiento al Responsable/Delegado de protección
de datos, para que le autorice y le comunique los requisitos a cumplir para su uso.
35
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
36
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
MÓDULO 6
6 DERECHOS DE LOS AFECTADOS
6.1 INTRODUCCIÓN
Todo titular de datos de carácter personal tiene derecho a ejercitar sus derechos ante el
Responsable del tratamiento y a obtener una respuesta del mismo.
Por ello, es muy importante que, como sujeto susceptible de recibir solicitudes de
ejercicios de derechos, Ud. sepa identificarlos, así como conocer los plazos en los que se
deberá dar traslado a los afectados, con el fin de que pueda notificar dichas solicitudes
al Responsable de Protección de Datos mediante los canales habilitados a tal efecto.
Cuando hablamos del afectado o interesado nos referimos a toda persona física
titular de los datos personales que son objeto del tratamiento. Es decir, aquellos datos
que se refieren a una persona y que le identifican o pueden hacerle identificable.
Por este motivo, cualquier persona titular de los datos personales (afectado/interesado),
además del derecho a ser informado del tratamiento de sus datos, tiene derecho a
dirigirse al Responsable del tratamiento (persona física o jurídica) para saber si éste
trata sus datos y solicitar el acceso, rectificación, supresión, limitación de su tratamiento
o solicitud de la portabilidad de los mismos.
RECUERDE Uno de los aspectos con los que se debe informar al interesado en el proceso de recogida
de datos son los derechos de los que dispone y que puede ejercitar ante el Responsable
del tratamiento (ver módulo 5).
37
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
A continuación se realizará una descripción general de los derechos de los que dispone
el afectado en relación a sus datos de carácter personal. Recuerde que si recibe una
solicitud de derechos por parte de cualquier afectado deberá ponerse en contacto con
el DPO/RPD.
El interesado tendrá derecho a recibir una copia de sus datos personales que están
siendo objeto de tratamiento. Asimismo, el derecho de acceso se entenderá otorgado
si se ofrece al interesado un sistema de acceso remoto, directo y seguro a los datos
personales que garantice, de modo permanente, el acceso a su totalidad.
Todo interesado tendrá derecho a que, sin dilación indebida, el Responsable del
tratamiento:
b Se completen los datos personales que sean incompletos, inclusive mediante una
declaración adicional y teniendo en cuenta, asimismo, los fines del tratamiento.
38
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Derecho al Olvido
El Derecho al Olvido consiste en el derecho que tienen los afectados a que sus datos
sean suprimidos en un contexto de servicios en línea o internet. De este modo, deberá
contemplarse la posibilidad de que los afectados puedan dirigirse directamente a los
motores de búsqueda en internet para que quiten de su página de resultados aquellas
informaciones en las que consten los datos personales del solicitante.
Que se conserven sus datos personales cuando el tratamiento de datos sea ilícito
y el interesado se oponga a la suspensión de sus datos solicitando la limitación de
su uso o cuando el Responsable ya no necesite los datos personales para los fines
del tratamiento pero el interesado sí que los necesita para la formulación, ejercicio
o defensa de reclamaciones.
El interesado tendrá derecho a recibir los datos personales que le incumban, que haya
facilitado a un Responsable del Tratamiento, en un formato estructurado, de uso común y
lectura mecánica, y a transmitirlos a otro Responsable del Tratamiento sin que lo impida
el Responsable al que se los hubiera facilitado.
El Responsable del Tratamiento dejará de tratar los datos personales, salvo que acredite
motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los
derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa
de reclamaciones, entre otros.
39
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
En los casos de las letras a) y c), el Responsable del tratamiento deberá adoptar medidas
adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del
interesado.
Es un derecho personalísimo por lo que debe ejercerlo la propia persona o los padres
o tutores legales en caso de ejercitarlo un menor. Si lo hiciera una persona en nombre
de otra (por ejemplo, un familiar o conocido) debería hacerlo con o autorización expresa
que lo permitiesen.
40
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
El encargado del tratamiento podrá atender, por cuenta del Responsable, las
solicitudes de ejercicio de derechos cuando así se estipule en el contrato de
Encargado del tratamiento.
41
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
De conformidad con el artículo 23 RGPD, los derechos de los afectados podrán verse
limitados cuando así lo establezca el Derecho de la Unión o el de Estados miembros,
y, siempre y cuando tal limitación respete esencialmente los derechos y libertades
fundamentales de las personas, especialmente, en las siguientes situaciones: cuando
sea necesario para salvaguardar la seguridad del Estado, la defensa, la seguridad
pública, el tratamiento derivado de las investigaciones, acciones, procedimientos o
ejecuciones de sanciones penales, el interés general, los procedimientos judiciales, las
normas deontológicas, la protección del interesado y los derechos y libertades de otros
o la ejecución de demandas civiles.
6.5 CONCLUSIONES
Si Ud. recibe una solicitud de ejercicio de derechos por parte de cualquier afectado
deberá ponerlo en conocimiento del RPD/DPD inmediatamente. El medio más
adecuado para comunicar dichas circunstancias es a través de los Canales de
comunicación de de Protección de Datos de la Entidad.
42
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
MÓDULO 7
7 ACCESO A DATOS PERSONALES POR CUENTA
DE TERCEROS OBJETIVOS DEL MÓDULO
Conocer bajo qué reglas deben actuar los Responsables y Encargados del
tratamiento.
7.1 INTRODUCCIÓN
Por lo tanto, en el presente módulo se establecen los roles, características y reglas que
se establecen entre responsable y encargado con la finalidad de que Ud. sepa identificar
cuándo suceden estos tratamientos y acudir al DPO/RPD para que lleve a cabo las
acciones correspondientes.
43
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
De ese modo, para poder cumplir con este deber de diligencia, cuando su empresa
actúe como Responsable del tratamiento deberá:
2 Una vez que el Responsable haya identificado a sus encargados del tratamiento,
deberá exigir a dichos encargados que acrediten que ofrecen las garantías
suficientes con respecto a la implementación y mantenimiento de las medidas
técnicas y organizativas apropiadas, de acuerdo con lo establecido en el RGPD.
44
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
En concreto, la entidad que ostente el rol de Encargado del tratamiento de sus clientes
(asesor laboral, fiscal, entidades que impartan formación, entidades gestoras de
instituciones de inversión colectiva y cualquier otra entidad prestadora de servicios que
implican el tratamiento de datos personales por cuenta de terceros), debe demostrar al
Responsable que está en condiciones de poder cumplir con el marco normativo
de protección de datos que le es de aplicación.
45
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Una vez determinados los riesgos y establecidas todas las medidas de diligencia y control
entre Responsable y Encargado, éstos deberán suscribir un contrato por escrito de
encargado del tratamiento conforme a los artículos 28.3 RGPD y 33 de la LOPD GDD.
Después de que el Responsable determine los riesgos, elija al Encargado que acredite
el cumplimiento de sus obligaciones y se celebre el correspondiente contrato, las
obligaciones entre responsable y encargado no acaban aquí, sino que además de
los requisitos de acreditación formal, deberán establecerse mecanismos de control,
seguimiento y coordinación que garanticen el mantenimiento de las obligaciones de las
partes.
RECUERDE Para el establecimiento estos mecanismos del control y seguimiento con los encargados
del tratamiento se deberá tener muy en cuenta el riesgo que representen para la
privacidad de las personas físicas los tratamientos externalizados con los encargados.
B MECANISMOS DE COORDINACIÓN
46
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Por lo tanto, para cumplir con ambas obligaciones, recomendamos establecer un canal
de comunicación, así como un Protocolo de coordinación entre Responsables y
Encargados del tratamiento que delimite las funciones y responsabilidad de las partes.
En este sentido, para que el Encargado del tratamiento pueda recurrir a otro encargado,
deberá mediar autorización previa (por escrito, específica o general) del Responsable.
Una de las formas más comunes para autorizar que el Encargado recurra a otros es
establecerlo así en el contrato de tratamiento de datos personales que éste formalice
con el Responsable.
En este supuesto, “la empresa, s.a.” será el responsable del tratamiento, “milencuestas”,
s.c.p. el encargado del tratamiento y “tucallcenter, s.l.” el subencargado del tratamiento
en cuanto al tratamiento de datos personales derivado de las encuestas telefónicas.
47
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
CONCEPTO
La corresponsabilidad del tratamiento tiene lugar cuando dos o más responsables
determinan conjuntamente los objetivos o los medios del tratamiento.
7.4 CONCLUSIONES
Recuerde que como norma general, Ud. NUNCA debe proporcionar o comunicar
datos personales a terceras personas que lo soliciten.
Verifique, junto con el DPO / RPD que el tercero que trata datos correspondientes a
su área de actuación cumple con todas las obligaciones referentes a los encargados
del tratamiento.
48
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
MÓDULO 8
8 MEDIDAS DE SEGURIDAD, CONFIDENCIALIDAD Y
RESPONSABILIDAD DERECHOS DIGITALES
Ser capaz de identificar las obligaciones Ud. deberá cumplir para la correcta apli-
cación y mantenimiento de las medidas de seguridad que corresponde aplicar a
los datos de carácter personal y empresarial.
8.1 INTRODUCCIÓN
El presente módulo tiene como objetivo el establecimiento de las medidas técnicas y
organizativas que Ud. deberá seguir en el tratamiento o acceso a datos, tanto personales
como cualquier otro dato, información, imagen o documento, a los que accederá en el
desempeño de su actividad laboral, prestando especial atención a aquellas medidas de
seguridad y confidencialidad que deben adoptarse respecto al uso de los sistemas de
información. Por todo ello, este módulo se instrumenta como el marco general de las
Políticas, procedimientos y/o normativas internas complementarias para el tratamiento
de datos, acceso a la información y determinación de responsabilidades de Derechos
Digitales.
49
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Si tiene dudas sobre cómo aplicar las medidas concretas que se exponen a continuación
o de cómo éstas afectan al tratamiento de datos que realiza en su puesto de trabajo,
diríjase al RPD / DPD.
Además, tenga en cuenta que este curso se debe complementar con las políticas que
la Entidad tenga establecidas y que pueden ser, a modo enunciativo y no limitativo, las
políticas relacionadas con los sistemas de información o aquellas relacionadas con los
derechos digitales, entre otras.
IMPORTANTE Como empleado que va a tener acceso a información personal y empresarial (información
confidencial), Ud. deberá adoptar las medidas técnicas y organizativas implementadas
por su entidad con el objetivo de garantizar la correcta protección de datos de carácter
personal, así como el resto de información confidencial.
Para ello, deberá seguir todas las políticas, procedimientos y normas internas de
seguridad implementadas por su entidad y que tengan como objeto la protección de la
información confidencial.
Asimismo, también deberá seguir el resto de políticas concretas que internamente pudiera
haber implantado su entidad, como la Política de uso de Dispositivos Personales con
fines laborales o la Política Bring Your Own Device (BYOD).
No obstante, en caso de que la entidad en la que trabaja no cuente con una Política
de Sistemas concreta, deberá seguir todos los procedimientos que internamente
se establezcan para el uso de la información confidencial, y, en todo caso, deberán
seguirse las medidas técnicas y organizativas que se exponen a continuación.
50
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Por ello, antes de acceder o llevar a cabo cualquier tratamiento de datos, debe tener
conocimiento y cumplir preceptivamente con las siguientes medidas:
51
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
En este sentido, cuando un gran número de personas utilizan espacios comunes, tal
sistema de trabajo debe comportar necesariamente algunas medidas de seguridad
que han de ser cumplidas a los efectos de preservar la protección de datos, como, por
ejemplo:
52
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Notificar las responsabilidades que debe asumir el destinatario una vez recibida
la información.
Por todo ello, este módulo se instrumenta como el marco general de las Políticas,
procedimientos y/o normativas internas complementarias que tienen como objetivo
principal garantizar el correcto uso, así como preservar la seguridad de los sistemas de
información, datos personales y responsabilidades de Derechos Digitales.
53
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Las principales medidas que deberá cumplir como usuario que accede a datos
confidenciales en su empresa (o aquella empresa a la que acceda por motivo de su
relación laboral) son las siguientes:
1 Control de acceso: Como usuario del sistema, Ud. debe velar por que el acceso a los
servidores, aplicaciones y/o bases de datos que contengan información confidencial
(datos empresariales y personales) se realice de forma segura y restringida,
accediendo solamente a aquellos datos confidenciales que sean estrictamente
necesarios para el desempeño de su actividad laboral.
Para cumplir con esta finalidad, se protegerán los accesos a los sistemas mediante
identificación (usuario) y clave de acceso (contraseña) con el fin de imposibilitar su
consulta a terceros no autorizados.
54
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Ud., como usuario del sistema, tiene asignado un nombre de usuario y una contraseña
que le identifica como usuario autorizado en el sistema de información. Dicho acceso,
además de ser confidencial, deberá seguir las políticas internas de asignación y
autenticación que determinen la identificación de los usuarios.
IMPORTANTE
Cada usuario es responsable de la confidencialidad, custodia y salvaguarda de sus
propias claves de identificación de los sistemas.
55
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Recuperación de datos
En caso de que Ud. tenga una incidencia en referencia a los datos almacenados
en los sistemas de información (alteración, destrucción o perdida) debe dirigirse
al RPD/DPD a través de los canales de comunicación habilitados, a fin de que los
datos sean recuperados correctamente.
Su uso debe ser exclusivamente profesional, y, por lo tanto, debe evitarse incorporar y
compartir en estos dispositivos información de carácter privado o personal que quede
fuera del ámbito laboral o profesional.
56
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
RECUERDE Estos dispositivos son propiedad de la empresa, de modo que la misma tiene la
facultad de monitorizarlos, así como de acceder y borrar la información contenida en
los mismos.
En determinados casos, y siempre que su entidad le autorice para tal fin, podrá utilizar
IMPORTANTE sus dispositivos personales (teléfonos móviles, tablets, etc.) con fines laborales. Es decir,
es posible que, mediante su propio dispositivo personal, Ud. pueda acceder a recursos
corporativos (correo electrónico, bases de datos, etc.) y, en consecuencia, tenga acceso
a información confidencial de su empresa. El acceso podrá llevarse a cabo mediante la
propia red de la empresa o accediendo a través de acceso remoto.
Los dispositivos son propiedad del empleado, pero los recursos (correo electrónico,
bases de datos, servidores, etc.) así como la información confidencial a la que pueda
acceder mediante los mismos, es propiedad de la empresa.
57
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Ud., como usuario dado de alta en su empresa, tendrá asignado un correo electrónico
que puede ser de uso “personal” asignado específicamente a Ud. o un correo
electrónico “genérico” compartido con otros trabajadores (por ejemplo, info@xxxxx.com,
admin@xxxxx.com).
Por lo tanto, pese a que el correo electrónico esté protegido por nombre de usuario y
contraseña personal y sea usado exclusivamente por Ud., deberá tener en cuenta las
normas que su empresa establece para su uso, y en todo caso:
58
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
59
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Conservar los mensajes de modo íntegro y seguro, por ejemplo, para el caso de
que la empresa lo necesite como prueba.
60
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
7 Virus: Todos los usuarios supervisarán que los ficheros descargados desde correos
electrónicos con origen distinto a la empresa sean analizados con el programa de
detección de virus de la empresa. Cualquier problema o incidencia relacionada con
este aspecto deberá ser comunicada de inmediato al RPD / DPD a través de los
canales habilitados a tal efecto.
A los efectos del presente curso, se considerará internet aquel acceso que realice el
empleado a la red alámbrica o inalámbrica que la empresa pone a disposición de sus
trabajadores, e incluso el uso y empleo de las direcciones IP en las que radicase tal acceso.
El uso de internet queda limitado a fines estrictamente laborales y relacionado con las
funciones desempeñadas en su empresa. Sin embargo, muchas empresas permiten
un uso personal de internet siempre que sea razonable y no afecte al desarrollo de su
actividad laboral.
61
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
1 Virus: para proteger a los sistemas de su empresa de los virus con los que Ud. pueda
ser infectado navegando en internet, deberá:
Configurar de manera adecuada el software del navegador con las opciones más
restrictivas de seguridad en Internet.
LEER
ATENTAMENTE 3 Accesos prohibidos: Mediante los sistemas de su empresa o accediendo a la
red propiedad de ésta, no es aceptado el acceso a las siguientes aplicaciones o
páginas web:
RECUERDE
Descargarse programas o aplicaciones sin la autorización del RPD / DPD.
Cualquier uso profesional y personal tanto de la página web de la empresa como del
correo electrónico tiene que ser remitida al delegado o responsable de protección de
datos, en especial cuando implique un uso comercial y masivo de datos personales.
62
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Ud. como usuario, en su entorno de trabajo podrá hacer uso de las redes sociales en dos
supuestos bien diferenciados:
Por este motivo, deberán establecerse determinadas normas de gestión y buen uso
de las cuentas corporativas en Redes Sociales que deberán aplicarse por parte del
área y responsables de la gestión, administración y monitorización de los contenidos
de perfiles o páginas corporativos de la entidad, y, por lo tanto, es el encargado de la
subida y actualización de publicaciones en las redes sociales actuando en su nombre.
IMPORTANTE Ud. como usuario no podrá acceder ni actuar en nombre de su entidad en ninguna
red social o similar. Asimismo, deberá abstenerse de realizar comentarios en nombre
de esta o en el suyo propio que pueda ocasionarle cualquier injerencia y/o daño
reputacional.
63
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Por ello, la información confidencial tratada a través de estos soportes deberá estar
sujeta a las medidas de seguridad que le son de aplicación, de las cuales destacamos
las siguientes:
1 Uso de documentación fuera del archivo: Durante el uso y tratamiento fuera de los
sistemas de archivo de documentación que contenga datos de carácter personal, la
persona que se encuentre a cargo de la misma deberá custodiarla e impedir en todo
momento que pueda ser accedida por persona no autorizada, ubicándola en lugares
de difícil acceso, o acceso restringido como armarios, cajones o espacios cerrados
con llave, de manera que a simple vista no pueda ser accedida por terceros. Es decir,
se deberá mantener una adecuada custodia de los datos una vez los obtenemos del
archivo general, como puede ser en el uso de expedientes de clientes o del personal
hasta que los mismos sean devueltos al archivo.
64
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Cuando las copias dejen de ser necesarias para el desarrollo de sus funciones,
Ud. debe destruirlas según el sistema previsto por la empresa, bien sea a través
de destructoras o bien por la contratación de terceras empresas de destrucción de
documentación.
Finalmente, cabe mencionar que los documentos (folios) que contengan datos
de carácter personal no podrán ser reutilizados, sino que siempre que ya no sea
necesaria su conservación.
65
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Los canales de comunicación son el instrumento principal mediante el cual Ud. deberá
comunicar a su entidad cualquier posible incumplimiento o incidecia en materia de
protección de datos, así como cualquier violación de seguridad de la que Ud. tenga
conocimiento, ya sea cuando lleve a cabo cualquier tratamiento de datos personales,
o cuando tenga conocimiento de que se produzca o se haya podido producir cualquier
violación de seguridad por un tercero.
El artículo 4.12) RGPD define las violaciones de seguridad como “cualquier incidente
que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma o la comunicación o acceso no
autorizado a dichos datos.”
Las violaciones de seguridad pueden producir daños a las personas físicas como son la
pérdida de control de sus datos personales, restricción de sus derechos, usurpación de
la identidad, vulneración de su privacidad, daño reputacional, etc. de modo que es muy
importe que Ud. comunique cuanto antes al DPO / RPD cualquier incidencia que pueda
constituir una violación de seguridad para la protección de datos.
Las principales ventajas que tienen los canales de comunicación frente a otro tipo de
mecanismos de comunicación son, en primer lugar, que los canales permitirán el registro
de las comunicaciones realizadas a través del mismo, con el fin de poder acreditar , por
un lado, la diligencia por parte del usuario comunicando al Responsable de Protección de
66
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
Datos (DPO / RPD) todas aquellas incidencias o violaciones de seguridad que puedan
afectar a los datos de carácter personal, y por otro, la diligencia de la empresa en el
trámite y resolución de la misma, teniendo para ello un canal adecuado mediante el cual
pueda garantizarse la recepción de todas las comunicaciones.
Asimismo, los canales deberán contar con las medidas de seguridad adecuadas que
permitan a los empleados acceder a los mismos de manera inequívoca en un entorno
cerrado, a diferencia, por ejemplo, del establecimiento de un correo electrónico como
mecanismo de comunicación.
67
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
68
C U R S O U S U A R I O P R OT E C C I Ó N D E D ATO S U S O S I S T E M A S I N F O R M A C I Ó N Y D E R E C H O S D I G I TA L E S
8.11 CONCLUSIONES
En el desempeño de su actividad laboral, Ud. accederá y/o tratará tanto datos personales
como cualquier otro dato, información, imagen o documento, motivo por el cual Ud.
deberá:
Cumplir con las medidas de seguridad establecidas en el presente curso como marco
general de las Políticas, procedimientos y/o normativas internas sobre el tratamiento
de datos, acceso a la información y determinación de responsabilidades de Derechos
Digitales.
69