MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE

EN MATERIA DE PROTECCIÓN DE DATOS

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

1
Contenido
INTRODUCCIÓN ............................................................................................................................. 3
NORMATIVA BÁSICA ..................................................................................................................... 4
CONCEPTOS BÁSICOS .................................................................................................................... 5
Nociones básicas sobre el tratamiento de datos de carácter personal .................................... 8
FUNCIONES Y OBLIGACIONES ESPECÍFICAS DEL PERSONAL EN MATERIA DE PROTECCIÓN DE
DATOS.......................................................................................................................................... 10
Puestos de trabajo – Política de mesas limpias ...................................................................... 10
CONSECUENCIAS DEL INCUMPLIMIENTO ................................................................................... 19

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

2
INTRODUCCIÓN

A través del presente manual se quiere dar a conocer a los trabajadores de SERLORAC,S.L.
unos principios de actuación necesarios en relación con la normativa de Protección de Datos
de Carácter Personal.

Este manual trata los aspectos generales de la normativa vigente en materia de protección de
datos de carácter personal que se encuentran directamente relacionados con aquellos puestos
de trabajo que dentro de la estructura de la empresa pueden acceder de manera directa o
accesoria a datos de carácter personal debiendo por ello seguir y respetar una serie de pautas
y procedimientos.

A través de este Manual de Formación Básica de los Trabajadores se pretende transmitir una
serie de conocimientos básicos sobre Protección de Datos además de despertar el interés por
esta normativa de todos los trabajadores ya que respetar los preceptos incluidos en la
normativa es responsabilidad de todos los componentes de SERLORAC,S.L .

Por todo ello, DGE COMPLIANCE en Calidad de Servicio externo de soporte de SERLORAC,S.L.
en materia de protección de datos de carácter personal pretende aportar con la publicación
del presente manual la información necesaria acerca de las medidas a adoptar para favorecer
la consecución de los objetivos empresariales en materia de Protección de Datos.

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

3
NORMATIVA BÁSICA

El objetivo del presente capítulo es introducir al trabajador de SERLORAC,S.L en la normativa

básica que regula la Protección de Datos. En concreto, los dos principales preceptos por los
que actualmente se rige la materia son la Ley Orgánica 15/1999 de Protección de Datos de
Carácter Personal y el Real Decreto 1720/2007 por el que se aprueba el Reglamento de
Desarrollo de la LOPD.

No obstante, a partir del día 25 de mayo de 2018, entra en vigor el REGLAMENTO (UE)
2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento
general de protección de datos), que deroga el régimen jurídico vigente. Actualmente el
legislador español ha elaborado el Anteproyecto de Ley Orgánica de Protección de Datos que
se encuentra en fase de tramitación parlamentaria y se prevé su entrada en vigor también
para mayo de 2018.

Dicha normativa nos trae importantes novedades y cambios (nuevos derechos para las
personas afectadas, ampliación del deber de información por parte del responsable de
tratamiento de nuestros datos, sustitución del consentimiento tácito del afectado por
consentimiento libre e inequívoco, etc.).

Dado que la normativa es muy extensa y el objetivo del presente manual es facilitar al
trabajador la necesaria adaptación a la nueva política de Protección de Datos que está
adoptando SERLORAC,S.L. nos limitaremos a hacer referencia a aquellos aspectos concretos
de la normativa vigente que estén directamente relacionados con los trabajadores de
SERLORAC,S.L. que en el ámbito de sus funciones traten con datos de carácter personal.

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

4
CONCEPTOS BÁSICOS

Antes de entrar a analizar en concreto los aspectos antes mencionados, consideramos de

interés definir algunos conceptos básicos que irán apareciendo a lo largo del presente manual
y sobre los que se asienta toda la normativa. El nuevo Reglamento Europeo amplia el glosario
de términos preexistentes a tener en cuenta en la materia, entre los que se detallan los más
relevantes a tener en cuenta:

Datos de carácter personal: cualquier información numérica, alfabética, gráfica, fotográfica,

acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
Ejemplo: nombre y apellidos, teléfono, dirección, datos de actividades comerciales, datos
económicos o financieros, datos de salud, de solvencia patrimonial, etc…

 Afectado o interesado: persona física titular de los datos objeto de tratamiento.

Ejemplo: en un fichero de empleados de una empresa, los afectados serán todos los
trabajadores.

 Fichero: todo conjunto organizado de datos de carácter personal, que permita el

acceso a los datos con arreglo a criterios determinados sin importar su forma o
modalidad de creación, almacenamiento, organización y acceso.

 Fichero no automatizado: conjunto de datos de carácter personal organizado de

forma no automática y estructurada según criterios que permitan su acceso sin
esfuerzos desproporcionados.

 Persona identificable: persona cuya identidad pueda determinarse mediante cualquier

información referida a su identidad. Una persona física no se considerará identificable
si dicha identificación supone esfuerzos desproporcionados.

 Tratamiento de datos: operaciones y procedimientos técnicos de carácter

automatizado o no, que permitan la recogida, grabación, conservación, elaboración,
modificación, bloqueo y cancelación de datos. Ejemplo: recoger datos de empleados
para confeccionar sus contratos y sus nóminas.

 Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública

o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del
tratamiento. Suele ser la empresa, profesional o ente titular de los ficheros.

 Corresponsable del tratamiento; persona física o jurídica, de naturaleza pública o

privada, u órgano administrativo, que realmente realice el tratamiento de los datos, es
por ejemplo la empresa matriz que presta servicios críticos a las empresas de su
corporación, como el back up, gestión de usuarios; mantenimiento de las aplicaciones
del grupo dónde se alojan los datos, etc.

 Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o

cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales
por cuenta del responsable del tratamiento. Ejemplo: la gestoría que confecciona las
nóminas de los empleados.

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

5
  Cesión o comunicación de datos: toda revelación de datos realizada a una persona o
entidad distinta del interesado. En algunos casos las cesiones de datos son necesarias
para la finalidad de creación del fichero. Ejemplo: ceder datos de empleados a la
Seguridad Social o a la Hacienda Pública.

 Registro de operaciones de tratamiento; registro de tratamientos bajo

responsabilidad de la empresa que sustituye al actual Documento de Seguridad y
tienen obligación de tener el mismo aquellas empresas de más 250 empleados, las que
traten categorías especiales de datos; empresas que realicen tratamientos con riesgo
para los interesados y tratamientos que comporten infracciones penales o
administrativas.

 Categorías especiales de datos: Datos que revelan origen étnico, racial, opiniones
políticas, convicciones religiosas o filosóficas, o la afiliación sindical, tratamiento de
datos genéticos, biométricos, datos de salud, de vida sexual u orientación sexual de
una persona física.

 Delegado de Protección de datos: Es el puesto dentro de la empresa encargado de

asesorar y coordinar el cumplimiento en materia de protección de datos personales.
Dichas funciones puede prestarlas también un externo.

 Elaboración de perfiles: tratamiento automatizado de datos personales consistente en

evaluar determinados aspectos de una persona física, para analizar o predecir el
rendimiento profesional, situación económica, salud, preferencias personales,
comportamiento, ubicación, fiabilidad, etc.

 Seudonimización: tratamiento de datos personales que ya no puedan atribuirse a un

interesado, sin utilizar información adicional que figure por separado y esté sujeta
medidas técnicas, que garanticen la que no puedan atribuirse a alguien.

 Violación de seguridad; Toda violación de seguridad que ocasiones destrucción,

pérdida, acceso indebido o alteración accidental o ilícita de datos personales,
transmitidos, conservados o tratados.

 Datos genéticos; datos personales relativos a características genéticas heredadas o

adquiridas de una persona física que proporcionen una información única sobre la
fisiología/salud de dicha persona.

 Datos relativos a la salud; datos relativos a la salud física o mental de una persona
física, incluida la prestación de servicios de atención sanitaria, que revelen estado de
salud.

 Normas corporativas vinculantes; Políticas de protección de datos personales

asumidas por el responsable o encargado de tratamiento, establecido en la UE para
realizar transferencias o conjunto de transferencias de datos personales a otro
responsable o encargado en uno más países terceros, dentro del mismo grupo
empresarial.

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

6
  Trasferencia internacional de datos: Tratamiento de datos personales de un
responsable o encargado en territorio de la UE, a responsables o encargados en
terceros países fuera de la UE.

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

7
La Agencia Española de Protección de Datos

La AEPD es la autoridad de control independiente que vela por el cumplimiento de la

normativa sobre protección de datos y garantiza y tutela el derecho fundamental a la
protección de datos personales. La Agencia INFORMA y AYUDA al ciudadano a ejercitar sus
derechos y a las entidades públicas y privadas a cumplir las obligaciones que establece la Ley.

Asimismo, la AEPD TUTELA al ciudadano en el ejercicio de los derechos de acceso,

rectificación, cancelación y oposición cuando no han sido adecuadamente atendidos.
Y GARANTIZA el derecho a la protección de datos investigando y sancionando aquellas
actuaciones que puedan ser contrarias a la ley.

Puede encontrar más información sobre el papel y las funciones de la AEPD como sobre sus
derechos como persona interesada en materia de protección de datos de carácter personal
accediendo al ‘canal de ciudadano’ de la AEPD en su página web:
http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/index-ides-idphp.php

Nociones básicas sobre el tratamiento de datos de carácter personal

En todas las organizaciones el acceso a la información y a los sistemas de información se

controla y restringe entre los empleados desde el punto de vista estricto de "necesidad de
negocio", por lo que los empleados únicamente accederán a la información que necesiten para
el desarrollo de su trabajo, debiendo existir para ello un control de accesos de los usuarios a
los distintos sistemas de información de la empresa;

Así, deberá entenderse por "información": todas las categorías de datos, sea personales o no,
incluyendo registros, archivos y bases de datos, cualquiera que sea su formato (informático,
papel, etc.); y por "sistemas de información": los equipos de sistemas de información y las
redes de telecomunicaciones incluyendo el software registrado o usado; conjunto de ficheros,
archivos en carpetas de red, tratamientos, programas, soportes y en su caso, equipos
empleados para el tratamiento de datos de carácter personal, como por ejemplo, aplicativos
de gestión, los PC, los portátiles, IPads, móviles, pen drives, etc.

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

8
Los datos personales que se traten deberán ser siempre lícitos, pertinentes, adecuados, no
excesivos, exactos (debiendo actualizarse en caso necesario), y tratados de manera que
garanticen la seguridad, integridad y confidencialidad sobre los mismos.

Todos los empleados están sujetos al deber de secreto, confidencialidad y sigilo profesional
sobre toda la información corporativa y/o datos de carácter personal que conozcan y traten
derivado del ejercicio de sus funciones y tareas laborales; La seguridad deberá ser garantizada
por cada empleado.

La información y los datos son un activo estratégico de la empresa, por lo que todos los
empleados deberán cumplir las Políticas, Manuales y Procedimientos internos establecidos por
la empresa para salvaguardad la seguridad de la información y los datos personales pudiendo
ser objeto de sanciones disciplinarias por un uso inadecuado.

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

9
FUNCIONES Y OBLIGACIONES ESPECÍFICAS DEL PERSONAL EN
MATERIA DE PROTECCIÓN DE DATOS

Puestos de trabajo – Política de mesas limpias

El puesto de trabajo es el lugar en el que realizamos el trabajo diario. Como parte de las tareas
cotidianas, cualquier usuario requiere acceder a diversos sistemas y manipular diferentes tipos
de información. Como consecuencia directa, Entendemos por puesto de trabajo todo tipo de
dispositivo por el que se pueda acceder a ficheros con datos de carácter personal.

Asimismo, debemos tener en cuenta que el puesto de trabajo es un punto clave desde el
punto de vista de la seguridad de la información. Por ello, es necesario que apliquemos un
conjunto de medidas de seguridad que nos garanticen que la información, tanto en soporte
papel como en formato electrónico, está correctamente protegida.

Para una mejor implantación de las medidas de seguridad requeridas por la normativa,
recomendamos que cada puesto de trabajo esté bajo la responsabilidad de una persona
autorizada por la empresa en sus registros de ‘Usuarios del Sistema’ con el fin de garantizar
que la información a la que se accede a través del puesto de trabajo que se encuentra bajo su
responsabilidad no pueda ser vista por personas no autorizadas. Para tal fin, es conveniente
que pantallas, impresoras y demás dispositivos que formen parte del puesto de trabajo estén
ubicados físicamente en lugares donde se pueda garantizar confidencialidad.

Cuando el responsable de un puesto de trabajo se ausente deberá dejarlo en un estado que

impida visualizar datos de carácter personal. Esto se puede realizar a través de un protector de
pantalla que requiera contraseña para su desactivación.

Cuando se trabaja con impresoras es importante asegurarse que en la bandeja de salida no

queden documentos impresos que contengan datos de carácter personal. Si las impresoras son
recursos compartidos con otros usuarios que no están autorizados a acceder a datos de
carácter personal, la persona que realiza la impresión deberá retirar los documentos que
contienen este tipo de datos según vayan saliendo de la impresora.

Habitualmente, cuando pensamos en un puesto de trabajo estándar, nos viene a la cabeza un

puesto de trabajo en una oficina, con una mesa de trabajo, cajoneras, etc.

Sin embargo, muchos de nosotros trabajamos también, de manera parcial o total, en puestos
de trabajo ubicados en entornos industriales. Este tipo de entornos es susceptible de dañar la
información en soporte papel.

Para evitar esto, debemos tomar una serie de sencillas medidas preventivas:

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

10
  Almacenar o guardar nuestra información en una ubicación adecuada. Evitar su
cercanía a sistemas de refrigeración, canalizaciones de agua o instalaciones que
puedan afectar al papel.

 Emplear elementos adecuados para almacenar, archivar y custodiar el papel, como por
ejemplo armarios y cajoneras que dispongan de dispositivos de cierre, o cajas fuertes o
armarios ignífugos en caso necesario; Una vez finalizada la jornada, todos los
documentos quedarán archivados en los dispositivos de almacenamiento (armarios,
archivadores) cerrados con llave.
 No se recomienda el uso del fax, en caso necesario se extremarán las medidas de
seguridad a la hora del envío de datos, asegurando que la dirección del destinatario es
la correcta.

 Destruir la documentación de manera segura. Dependiendo del volumen de papel,

podemos utilizar destructoras de papel convencionales, o contenedores habilitados a
tal efecto, y en defecto de los mismos,subcontratar la retirada y destrucción a un
proveedor. En este último caso no debemos olvidar firmar el acuerdo de
confidencialidad.

 Queda prohibida la salida de documentos con datos de carácter personal al exterior,

tanto vía e-mail, como en soporte papel, salvo autorización expresa del responsable del
Centro de Trabajo o fichero/tratamiento.

Recuerda que para aplicar correctamente una política apropiada de ‘mesas limpias’ se
requiere:

 El puesto de trabajo esté limpio y ordenado: se adoptarán medidas de seguridad

durante el transcurso de la jornada laboral, tales como, criterios de orden y archivo en
cuanto al tratamiento de la documentación diaria.

 La documentación que no estemos utilizando en un momento determinado debe estar

guardada correctamente, especialmente cuando dejamos nuestro puesto de trabajo y
al finalizar la jornada.

 No haya usuarios ni contraseñas apuntadas en post-it o similares.

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

11
 Contraseñas personales

Las contraseñas son unas de las claves para la correcta implantación de las medidas de
seguridad en los datos. Se pueden considerar como llaves de acceso al sistema de información
que contiene ficheros con datos de carácter personal; es por esto que deberán ser
confidenciales y personales siendo cada usuario autorizado el responsable de su buen uso. Si
en algún momento la confidencialidad se viera comprometida el usuario deberá comunicarlo,
mediante la notificación de una incidencia, al responsable de ficheros para que se proceda a la
asignación de una nueva contraseña.

En líneas generales para que unas contraseñas se consideren robustas y seguras deben tener
una LONGITUD MÍNIMA DE OCHO CARACTERES que combine letras mayúsculas, minúsculas,
números y caracteres especiales (símbolos).

NUNCA UTILICES COMO CONTRASEÑAS PALABRAS SENCILLAS en cualquier idioma que se

puedan encontrar fácilmente en el diccionario.

NO ELIJAS CONTRASEÑAS QUE HAGAN REFERENCIA a tu nombre, tu mascota, lugares

significativos, fechas de nacimiento o de otros eventos especiales, etc.

EVITA CONTRASEÑAS formadas únicamente a partir DE LA CONCATENACIÓN DE VARIOS

ELEMENTOS. Por ejemplo: “Marco1978” (nombre + fecha de nacimiento). NO USES ninguna de
LAS SIGUIENTES CONTRASEÑAS, ni similares: 123456, 123456789, qwerty, 12345678, 111111,
1234567890, 1234567, password, 123123, 987654321.

NUNCA UTILICES LAS MISMAS CONTRASEÑAS para servicios diferentes. Al recuperar una
contraseña a través del correo electrónico, asegúrate de que LA CONTRASEÑA DE ACCESO AL
CORREO SEA SEGURA y diferente a la que facilitaste en la cuenta en cuestión. Si el servicio lo
permite en su configuración, utiliza un correo alternativo al utilizado en el proceso de registro
para la recuperación de la contraseña.

Al recuperar una contraseña a través de pregunta secreta, COMPRUEBA QUE LAS RESPUESTAS
no estén basadas en información verídica y sean fáciles de recordar.

Intenta NO ALMACENAR INFORMACIÓN FINANCIERA EN CUENTAS DE USUARIO que no estén

correctamente configuradas en materia de seguridad (contraseña segura, doble verificación).

NO OLVIDES CERRAR LA SESIÓN AL FINALIZAR LA COMPRA; evitarás que terceros accedan a

ella.

ESTABLECE UN BLOQUEO DE PANTALLA del dispositivo con el menor tiempo de espera posible
para restringir el acceso a las funcionalidades del dispositivo, incluyendo las apps.

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

12
INTENTA CONFIGURAR TU DISPOSITIVO para que solicite introducir un código PIN antes de
descargar cualquier aplicación, tanto si es de pago como si no. Con esta acción evitarás que un
tercero instale o utilice aplicaciones sin tu consentimiento.

Incidencias

Se considera incidencia cualquier evento que se pueda producir de forma esporádica y que
pueda suponer un peligro para la seguridad de los ficheros que contienen datos de carácter
personal. La normativa exige que se mantenga un registro de incidencias actualizado en todo
momento.

Los usuarios que tengan conocimiento de una incidencia o de una violación/brecha de

seguridad de cualquier tratamiento de datos propio derivada de la intervención de un
proveedor con acceso a datos personales de la empresa, deberán comunicarla de inmediato,
en el mismo momento en que se tenga constancia de la misma al Delegado de Protección de
Datos de la empresa o a la persona indicada en los Manuales y procesos internos. Si se conoce
una incidencia y no se notifica al responsable, se puede considerar como falta contra la
seguridad de ficheros y nuestra empresa puede ser objeto de sanción económica por parte del
supervisor.

Gestión de soportes

Entendemos por soporte informático cualquier medio de grabación o recuperación de datos

que se usen para realizar copias o cualquier otro proceso intermedio en la gestión de ficheros
(disquetes, CD-ROM, unidades Zip, pendrive...)

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

13
Los soportes reutilizables que contengan datos de ficheros de nivel medio de seguridad
deberán ser borrados completamente antes de su reutilización para que no sea posible
recuperar las copias de datos de carácter personal que en ellos se almacenaban.

Así mismo todos los soportes que contengan datos de carácter personal se tienen que
almacenar en lugares accesibles solo a personas autorizadas.

Cuando se vaya a realizar una salida de soportes que contengan datos de carácter personal de
nivel medio se deberá pedir autorización previa al responsable del tratamiento.

La distribución de soportes en el caso de ficheros con datos de categorías especiales (datos de

salud, infracciones administrativas, penales, etc.) se deberá realizar con un sistema de
encriptación para garantizar que la información no sea inteligible o manipulada durante el
transporte y existir un registro de los mismos y del personal autorizado a usarlos.

Movimiento de datos a través de redes de

telecomunicaciones

A fin de controlar las entradas y salidas de datos de carácter personal mediante correo
electrónico se recomienda que dichos movimientos se realicen desde cuentas de correo
controladas por usuarios autorizados por el responsable del fichero.

En el caso de ficheros que contengan datos de nivel alto que deban ser enviados por correo
electrónico o por sistemas de transferencia de ficheros por redes públicas o no protegidas será
necesario encriptar dichos datos para que solo puedan ser leídos por el destinatario: por
ejemplo, si se va a enviar un correo electrónico con fichero adjunto Excel/word que contiene
datos con esta especial categoría, se comunicará previamente al destinatario del correo una
clave de acceso al fichero, que en ningún caso será facilitada en el mismo correo de envío del
fichero.

Se debe evitar el uso del WHATSAPP para el envío de datos y o documentación de la empresa.

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

14
 Gestión Documental
Se considera fichero no automatizado aquel conjunto de datos de carácter personal
organizado de forma no automatizada que se encuentre estructurado con criterios específicos
y a los que se pueda acceder sin esfuerzo desproporcionado. Ejemplos de este tipo de sistema
de información son las fichas para gestionar inscripciones o carnets, archivos de curriculum
vitae en carpetas, etc…

La documentación no mecanizada requiere igualmente la aplicación de normas y

procedimientos de seguridad. Incluso se hace necesario establecer pautas y criterios claros y
estrictos ya que el manejo de este tipo de ficheros hoy en día sigue siendo muy común dentro
de las organizaciones.

El personal que maneje habitualmente estos ficheros y aquellos que puedan acceder de
manera esporádica a archivos y soportes debe cumplir con las siguientes normas de seguridad.

El archivo de oficina de cada departamento se debe generar con criterios de separación y

diferenciación según la utilidad de cada documento de manera que no se mezclen expedientes
generados para distintas funciones. De hecho, los expedientes se deben conservan físicamente
diferenciados y separados.

El responsable de cada departamento o unidad administrativa elaborará un cuadro de

clasificación de fondos donde se incluyen todas las series documentales que se generen en
dicho departamento. Este cuadro será la base para transferir el archivo de oficina al general de
la empresa. Las series documentales incluidas en este cuadro se ordenarán siguiendo un
criterio que permita recuperar de forma sencilla la información contenida. A modo de ejemplo,
las nóminas de empleados se ordenarán cronológicamente y los curriculum vitae
alfabéticamente o por puesto a desempeñar.

Cada unidad y departamento de deberá disponer de archivadores, armarios y cajoneras con

llave. Como regla general, los dispositivos de almacenamiento permanecerán bajo llave, siendo
responsable de su custodia el trabajador que genera y archiva dicha documentación. En los
casos en que deban acceder a una misma documentación varias personas del mismo
departamento se solicitarán la llave al responsable y se devolverá lo antes posible.

Cuando la documentación se encuentre fuera de los dispositivos de almacenamiento, el

responsable de su custodia se encargará de impedir accesos por personas no autorizadas.

Además, no está permitido extraer documentos aislados de una serie documental para general
otras series o expedientes. En caso de ser necesario, se fotocopiará dicha documentación y se
destruirá una vez haya cumplido sus fines.

Cada departamento o unidad es responsable de la documentación que genera hasta su

transferencia al archivo general. Por tanto es necesario evitar acumulaciones de documentos

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

15
incluyéndolos en sus correspondientes expedientes o serie documental en cuanto sea posible
para de este modo evitar pérdidas o accesos no autorizados.

En caso de manejar documentación no mecanizada con datos personales considerados de

especial categoría, los armarios y archivadores se aislarán en áreas con acceso protegido con
puertas y llaves o dispositivo equivalente que permanecerán cerradas cuando no sea necesario
el acceso. En cualquier caso solo podrá acceder a este tipo de documentación el personal
autorizado en el Documento de Seguridad.

No podrán fotocopiarse o reproducir documentos con datos personales de especial categoría

sin la autorización previa del personal designado en el Documento de Seguridad. Una vez
desechadas las copias se deberá proceder a su destrucción inmediata.

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

16
 Derechos en materia de Protección de datos
Derechos en materia de protección de datos personales son los mecanismos de defensa que
tienen los ciudadanos para salvaguardar la protección de sus datos de carácter personal.
Dentro del entorno de SERLORAC,S.L. estos derechos pueden estar ejercitados por cualquier
persona física cumplimentando las plantillas que figuran en nuestro procedimiento de ejercicio
de derechos de los interesados en materia de protección de datos. También pueden ejercer
tales derechos, a través del buzón de serlorac@gmail.com o enviándolo por escrito al
Delegado de Protección de datos de la empresa en caso que lo hubiera a la persona que la
Entidad haya comunicado a tal efecto.

 Derecho de acceso:

- Facilitar una copia de los datos personales sometidos a tratamiento al interesado

- Facilitar información del tratamiento.

 Derecho de rectificación de los datos:

- Confirmar la rectificación de los datos o posibilitar el acceso a formularios electrónicos para

ello al interesado.

-Comunicar el derecho a los DESTINATARIOS/CESIONARIOS

 Derecho de supresión de los datos (derecho al olvido):

-Supresión o seudonimización efectiva de los datos del interesado.

-Comunicar el derecho a los DESTINATARIOS/CESIONARIOS

 Derecho a la portabilidad de los datos (en tratamientos AUTOMATIZADOS):

-A petición del interesado transmitir los datos a otro Responsable del tratamiento.

-Transmitir los datos al mismo INTERESADO en formato estructurado de uso común.

 Derecho a la limitación del tratamiento:

-A petición del interesado se deben marcar los datos con el fin de limitar temporalmente su
tratamiento.

-Comunicar el derecho a los DESTINATARIOS/CESIONARIOS

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

17
  Derecho de oposición al tratamiento:

- A petición del interesado se deben adoptar medidas de seguridad en los datos con el fin de
no realizar ningún tratamiento posterior, o específico solicitado por el interesado.

 Derecho a no ser objeto de una elaboración de PERFILES basada en un

tratamiento AUTOMATIZADO:

-Informar si la decisión que pueda ser tomada puede producir efectos jurídicos que afecten al
INTERESADO.

-Posibilitar el derecho a obtener la intervención humana por parte del Responsable del
tratamiento y a que el INTERESADO exprese su punto de vista e impugne la decisión tomada
(en tratamientos autorizados mediante un consentimiento explícito o un contrato).

Cualquier empleado en cuanto tenga constancia del ejercicio de un derecho en materia de

protección de datos personales lo notificará al Delegado de Protección de Datos para la
correcta tramitación del mismo y cumplimiento de plazos legales por parte de la empresa.

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

18
CONSECUENCIAS DEL INCUMPLIMIENTO

Artículo 58.1 del Estatuto de los Trabajadores: Los trabajadores podrán ser sancionados por la
empresa por incumplimientos laborales de acuerdo con la graduación de faltas y sanciones
que se establezcan en las disposiciones legales o en el convenio colectivo que sea aplicable.

Capítulo I Código Penal

Artículo 197.1: se podrán imponer penas de prisión y multa a quien utilice en perjuicio de
tercero datos reservados de carácter personal o familiar que se hallen registrados en ficheros o
cualquier archivo o registro público o privado.

Artículo 199.1: quien revele secretos ajenos de los que tenga conocimiento por razón de su
oficio o sus relaciones laborales será castigado con pena de prisión y multa.

Título IX Régimen sancionador anteproyecto del LOPD y Capítulo X del Reglamento UE

2016/679

Este título hace referencia a las infracciones en las que puede incurrir la empresa por
incumplimiento de los deberes descritos en la norma. Algunos de estos deberes en la práctica
se trasladan a los trabajadores que habitualmente manejan los datos dentro de la
organización.

Artículo 74: Se considerará infracción leve por ejemplo* la exigencia de un canon al afectado
en el ejercicio de los derechos en materia de protección de datos cuando no proceda, la no
tramitación/atención correcta de una derecho en materia de protección de datos; la no
comunicación o la notificación incompleta o defectuosa, no documentada de una violación de
seguridad;

Artículo 73: Será infracción grave el tratamiento de datos de menores de edad sin recabar
consentimiento cuando tenga capacidad para ello o del titular de la patria potestad o tutela; la
falta de adopción de medidas técnicas y organizativas apropiadas para garantizar un nivel de
seguridad adecuado al riesgo del tratamiento; el quebrantamiento de las medidas técnicas.

*Las medidas de seguridad que influyen directamente en el trabajador hacen referencia al

mantenimiento de sus claves de acceso, acceder a datos que no le sean necesarios para su
trabajo, dejar documentación sin custodiar, ausentarse de su puesto de trabajo y no activar el

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

19
salvapantallas con contraseña, crear y sacar fuera de los locales soportes magnéticos con datos
personales sin autorización…

Artículo 72: Se considerará infracción muy grave la vulneración del deber de confidencialidad
establecido en el art. 5 de esta Ley Orgánica.“

*Debido a las consecuencias profesionales que pueden derivarse del incumplimiento del deber
de secreto, podría ser considerado como falta grave o muy grave para el trabajador.

*El trabajador no debe nunca pasar datos personales de clientes, proveedores, comerciales,
trabajadores… a empresas que no estén autorizadas. En caso de duda, consultar siempre con
el Departamento Jurídico para confirmar que la cesión es legítima.

MANUAL DE FORMACIÓN BÁSICA PARA LOS TRABAJADORES DE SERLORAC,S.L. EN MATERIA DE PROTECCIÓN DE DATOS

20