Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
1
Contenido
INTRODUCCIÓN ............................................................................................................................. 3
NORMATIVA BÁSICA ..................................................................................................................... 4
CONCEPTOS BÁSICOS .................................................................................................................... 5
Nociones básicas sobre el tratamiento de datos de carácter personal .................................... 8
FUNCIONES Y OBLIGACIONES ESPECÍFICAS DEL PERSONAL EN MATERIA DE PROTECCIÓN DE
DATOS.......................................................................................................................................... 10
Puestos de trabajo – Política de mesas limpias ...................................................................... 10
CONSECUENCIAS DEL INCUMPLIMIENTO ................................................................................... 19
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
2
INTRODUCCIÓN
A través del presente manual se quiere dar a conocer a los trabajadores de SERLORAC,S.L.
unos principios de actuación necesarios en relación con la normativa de Protección de Datos
de Carácter Personal.
Este manual trata los aspectos generales de la normativa vigente en materia de protección de
datos de carácter personal que se encuentran directamente relacionados con aquellos puestos
de trabajo que dentro de la estructura de la empresa pueden acceder de manera directa o
accesoria a datos de carácter personal debiendo por ello seguir y respetar una serie de pautas
y procedimientos.
A través de este Manual de Formación Básica de los Trabajadores se pretende transmitir una
serie de conocimientos básicos sobre Protección de Datos además de despertar el interés por
esta normativa de todos los trabajadores ya que respetar los preceptos incluidos en la
normativa es responsabilidad de todos los componentes de SERLORAC,S.L .
Por todo ello, DGE COMPLIANCE en Calidad de Servicio externo de soporte de SERLORAC,S.L.
en materia de protección de datos de carácter personal pretende aportar con la publicación
del presente manual la información necesaria acerca de las medidas a adoptar para favorecer
la consecución de los objetivos empresariales en materia de Protección de Datos.
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
3
NORMATIVA BÁSICA
No obstante, a partir del día 25 de mayo de 2018, entra en vigor el REGLAMENTO (UE)
2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento
general de protección de datos), que deroga el régimen jurídico vigente. Actualmente el
legislador español ha elaborado el Anteproyecto de Ley Orgánica de Protección de Datos que
se encuentra en fase de tramitación parlamentaria y se prevé su entrada en vigor también
para mayo de 2018.
Dicha normativa nos trae importantes novedades y cambios (nuevos derechos para las
personas afectadas, ampliación del deber de información por parte del responsable de
tratamiento de nuestros datos, sustitución del consentimiento tácito del afectado por
consentimiento libre e inequívoco, etc.).
Dado que la normativa es muy extensa y el objetivo del presente manual es facilitar al
trabajador la necesaria adaptación a la nueva política de Protección de Datos que está
adoptando SERLORAC,S.L. nos limitaremos a hacer referencia a aquellos aspectos concretos
de la normativa vigente que estén directamente relacionados con los trabajadores de
SERLORAC,S.L. que en el ámbito de sus funciones traten con datos de carácter personal.
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
4
CONCEPTOS BÁSICOS
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
5
Cesión o comunicación de datos: toda revelación de datos realizada a una persona o
entidad distinta del interesado. En algunos casos las cesiones de datos son necesarias
para la finalidad de creación del fichero. Ejemplo: ceder datos de empleados a la
Seguridad Social o a la Hacienda Pública.
Categorías especiales de datos: Datos que revelan origen étnico, racial, opiniones
políticas, convicciones religiosas o filosóficas, o la afiliación sindical, tratamiento de
datos genéticos, biométricos, datos de salud, de vida sexual u orientación sexual de
una persona física.
Datos relativos a la salud; datos relativos a la salud física o mental de una persona
física, incluida la prestación de servicios de atención sanitaria, que revelen estado de
salud.
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
6
Trasferencia internacional de datos: Tratamiento de datos personales de un
responsable o encargado en territorio de la UE, a responsables o encargados en
terceros países fuera de la UE.
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
7
La Agencia Española de Protección de Datos
Puede encontrar más información sobre el papel y las funciones de la AEPD como sobre sus
derechos como persona interesada en materia de protección de datos de carácter personal
accediendo al ‘canal de ciudadano’ de la AEPD en su página web:
http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/index-ides-idphp.php
Así, deberá entenderse por "información": todas las categorías de datos, sea personales o no,
incluyendo registros, archivos y bases de datos, cualquiera que sea su formato (informático,
papel, etc.); y por "sistemas de información": los equipos de sistemas de información y las
redes de telecomunicaciones incluyendo el software registrado o usado; conjunto de ficheros,
archivos en carpetas de red, tratamientos, programas, soportes y en su caso, equipos
empleados para el tratamiento de datos de carácter personal, como por ejemplo, aplicativos
de gestión, los PC, los portátiles, IPads, móviles, pen drives, etc.
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
8
Los datos personales que se traten deberán ser siempre lícitos, pertinentes, adecuados, no
excesivos, exactos (debiendo actualizarse en caso necesario), y tratados de manera que
garanticen la seguridad, integridad y confidencialidad sobre los mismos.
Todos los empleados están sujetos al deber de secreto, confidencialidad y sigilo profesional
sobre toda la información corporativa y/o datos de carácter personal que conozcan y traten
derivado del ejercicio de sus funciones y tareas laborales; La seguridad deberá ser garantizada
por cada empleado.
La información y los datos son un activo estratégico de la empresa, por lo que todos los
empleados deberán cumplir las Políticas, Manuales y Procedimientos internos establecidos por
la empresa para salvaguardad la seguridad de la información y los datos personales pudiendo
ser objeto de sanciones disciplinarias por un uso inadecuado.
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
9
FUNCIONES Y OBLIGACIONES ESPECÍFICAS DEL PERSONAL EN
MATERIA DE PROTECCIÓN DE DATOS
Asimismo, debemos tener en cuenta que el puesto de trabajo es un punto clave desde el
punto de vista de la seguridad de la información. Por ello, es necesario que apliquemos un
conjunto de medidas de seguridad que nos garanticen que la información, tanto en soporte
papel como en formato electrónico, está correctamente protegida.
Para una mejor implantación de las medidas de seguridad requeridas por la normativa,
recomendamos que cada puesto de trabajo esté bajo la responsabilidad de una persona
autorizada por la empresa en sus registros de ‘Usuarios del Sistema’ con el fin de garantizar
que la información a la que se accede a través del puesto de trabajo que se encuentra bajo su
responsabilidad no pueda ser vista por personas no autorizadas. Para tal fin, es conveniente
que pantallas, impresoras y demás dispositivos que formen parte del puesto de trabajo estén
ubicados físicamente en lugares donde se pueda garantizar confidencialidad.
Sin embargo, muchos de nosotros trabajamos también, de manera parcial o total, en puestos
de trabajo ubicados en entornos industriales. Este tipo de entornos es susceptible de dañar la
información en soporte papel.
Para evitar esto, debemos tomar una serie de sencillas medidas preventivas:
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
10
Almacenar o guardar nuestra información en una ubicación adecuada. Evitar su
cercanía a sistemas de refrigeración, canalizaciones de agua o instalaciones que
puedan afectar al papel.
Emplear elementos adecuados para almacenar, archivar y custodiar el papel, como por
ejemplo armarios y cajoneras que dispongan de dispositivos de cierre, o cajas fuertes o
armarios ignífugos en caso necesario; Una vez finalizada la jornada, todos los
documentos quedarán archivados en los dispositivos de almacenamiento (armarios,
archivadores) cerrados con llave.
No se recomienda el uso del fax, en caso necesario se extremarán las medidas de
seguridad a la hora del envío de datos, asegurando que la dirección del destinatario es
la correcta.
Recuerda que para aplicar correctamente una política apropiada de ‘mesas limpias’ se
requiere:
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
11
Contraseñas personales
Las contraseñas son unas de las claves para la correcta implantación de las medidas de
seguridad en los datos. Se pueden considerar como llaves de acceso al sistema de información
que contiene ficheros con datos de carácter personal; es por esto que deberán ser
confidenciales y personales siendo cada usuario autorizado el responsable de su buen uso. Si
en algún momento la confidencialidad se viera comprometida el usuario deberá comunicarlo,
mediante la notificación de una incidencia, al responsable de ficheros para que se proceda a la
asignación de una nueva contraseña.
En líneas generales para que unas contraseñas se consideren robustas y seguras deben tener
una LONGITUD MÍNIMA DE OCHO CARACTERES que combine letras mayúsculas, minúsculas,
números y caracteres especiales (símbolos).
NUNCA UTILICES LAS MISMAS CONTRASEÑAS para servicios diferentes. Al recuperar una
contraseña a través del correo electrónico, asegúrate de que LA CONTRASEÑA DE ACCESO AL
CORREO SEA SEGURA y diferente a la que facilitaste en la cuenta en cuestión. Si el servicio lo
permite en su configuración, utiliza un correo alternativo al utilizado en el proceso de registro
para la recuperación de la contraseña.
Al recuperar una contraseña a través de pregunta secreta, COMPRUEBA QUE LAS RESPUESTAS
no estén basadas en información verídica y sean fáciles de recordar.
ESTABLECE UN BLOQUEO DE PANTALLA del dispositivo con el menor tiempo de espera posible
para restringir el acceso a las funcionalidades del dispositivo, incluyendo las apps.
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
12
INTENTA CONFIGURAR TU DISPOSITIVO para que solicite introducir un código PIN antes de
descargar cualquier aplicación, tanto si es de pago como si no. Con esta acción evitarás que un
tercero instale o utilice aplicaciones sin tu consentimiento.
Incidencias
Se considera incidencia cualquier evento que se pueda producir de forma esporádica y que
pueda suponer un peligro para la seguridad de los ficheros que contienen datos de carácter
personal. La normativa exige que se mantenga un registro de incidencias actualizado en todo
momento.
Gestión de soportes
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
13
Los soportes reutilizables que contengan datos de ficheros de nivel medio de seguridad
deberán ser borrados completamente antes de su reutilización para que no sea posible
recuperar las copias de datos de carácter personal que en ellos se almacenaban.
Así mismo todos los soportes que contengan datos de carácter personal se tienen que
almacenar en lugares accesibles solo a personas autorizadas.
Cuando se vaya a realizar una salida de soportes que contengan datos de carácter personal de
nivel medio se deberá pedir autorización previa al responsable del tratamiento.
A fin de controlar las entradas y salidas de datos de carácter personal mediante correo
electrónico se recomienda que dichos movimientos se realicen desde cuentas de correo
controladas por usuarios autorizados por el responsable del fichero.
En el caso de ficheros que contengan datos de nivel alto que deban ser enviados por correo
electrónico o por sistemas de transferencia de ficheros por redes públicas o no protegidas será
necesario encriptar dichos datos para que solo puedan ser leídos por el destinatario: por
ejemplo, si se va a enviar un correo electrónico con fichero adjunto Excel/word que contiene
datos con esta especial categoría, se comunicará previamente al destinatario del correo una
clave de acceso al fichero, que en ningún caso será facilitada en el mismo correo de envío del
fichero.
Se debe evitar el uso del WHATSAPP para el envío de datos y o documentación de la empresa.
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
14
Gestión Documental
Se considera fichero no automatizado aquel conjunto de datos de carácter personal
organizado de forma no automatizada que se encuentre estructurado con criterios específicos
y a los que se pueda acceder sin esfuerzo desproporcionado. Ejemplos de este tipo de sistema
de información son las fichas para gestionar inscripciones o carnets, archivos de curriculum
vitae en carpetas, etc…
El personal que maneje habitualmente estos ficheros y aquellos que puedan acceder de
manera esporádica a archivos y soportes debe cumplir con las siguientes normas de seguridad.
Además, no está permitido extraer documentos aislados de una serie documental para general
otras series o expedientes. En caso de ser necesario, se fotocopiará dicha documentación y se
destruirá una vez haya cumplido sus fines.
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
15
incluyéndolos en sus correspondientes expedientes o serie documental en cuanto sea posible
para de este modo evitar pérdidas o accesos no autorizados.
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
16
Derechos en materia de Protección de datos
Derechos en materia de protección de datos personales son los mecanismos de defensa que
tienen los ciudadanos para salvaguardar la protección de sus datos de carácter personal.
Dentro del entorno de SERLORAC,S.L. estos derechos pueden estar ejercitados por cualquier
persona física cumplimentando las plantillas que figuran en nuestro procedimiento de ejercicio
de derechos de los interesados en materia de protección de datos. También pueden ejercer
tales derechos, a través del buzón de serlorac@gmail.com o enviándolo por escrito al
Delegado de Protección de datos de la empresa en caso que lo hubiera a la persona que la
Entidad haya comunicado a tal efecto.
Derecho de acceso:
-A petición del interesado transmitir los datos a otro Responsable del tratamiento.
-A petición del interesado se deben marcar los datos con el fin de limitar temporalmente su
tratamiento.
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
17
Derecho de oposición al tratamiento:
- A petición del interesado se deben adoptar medidas de seguridad en los datos con el fin de
no realizar ningún tratamiento posterior, o específico solicitado por el interesado.
-Informar si la decisión que pueda ser tomada puede producir efectos jurídicos que afecten al
INTERESADO.
-Posibilitar el derecho a obtener la intervención humana por parte del Responsable del
tratamiento y a que el INTERESADO exprese su punto de vista e impugne la decisión tomada
(en tratamientos autorizados mediante un consentimiento explícito o un contrato).
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
18
CONSECUENCIAS DEL INCUMPLIMIENTO
Artículo 58.1 del Estatuto de los Trabajadores: Los trabajadores podrán ser sancionados por la
empresa por incumplimientos laborales de acuerdo con la graduación de faltas y sanciones
que se establezcan en las disposiciones legales o en el convenio colectivo que sea aplicable.
Artículo 197.1: se podrán imponer penas de prisión y multa a quien utilice en perjuicio de
tercero datos reservados de carácter personal o familiar que se hallen registrados en ficheros o
cualquier archivo o registro público o privado.
Artículo 199.1: quien revele secretos ajenos de los que tenga conocimiento por razón de su
oficio o sus relaciones laborales será castigado con pena de prisión y multa.
Este título hace referencia a las infracciones en las que puede incurrir la empresa por
incumplimiento de los deberes descritos en la norma. Algunos de estos deberes en la práctica
se trasladan a los trabajadores que habitualmente manejan los datos dentro de la
organización.
Artículo 74: Se considerará infracción leve por ejemplo* la exigencia de un canon al afectado
en el ejercicio de los derechos en materia de protección de datos cuando no proceda, la no
tramitación/atención correcta de una derecho en materia de protección de datos; la no
comunicación o la notificación incompleta o defectuosa, no documentada de una violación de
seguridad;
Artículo 73: Será infracción grave el tratamiento de datos de menores de edad sin recabar
consentimiento cuando tenga capacidad para ello o del titular de la patria potestad o tutela; la
falta de adopción de medidas técnicas y organizativas apropiadas para garantizar un nivel de
seguridad adecuado al riesgo del tratamiento; el quebrantamiento de las medidas técnicas.
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
19
salvapantallas con contraseña, crear y sacar fuera de los locales soportes magnéticos con datos
personales sin autorización…
Artículo 72: Se considerará infracción muy grave la vulneración del deber de confidencialidad
establecido en el art. 5 de esta Ley Orgánica.“
*Debido a las consecuencias profesionales que pueden derivarse del incumplimiento del deber
de secreto, podría ser considerado como falta grave o muy grave para el trabajador.
*El trabajador no debe nunca pasar datos personales de clientes, proveedores, comerciales,
trabajadores… a empresas que no estén autorizadas. En caso de duda, consultar siempre con
el Departamento Jurídico para confirmar que la cesión es legítima.
MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS
20