GESTIÓN DE LA DOCUMENTACIÓN JURÍDICA Y EMPRESARIAL (ADMINISTRACIÓN DE EMPRESAS))

NIDAD
12
UNIDAD 10. PROTECCIÓN DE DATOS Y FIRMA ELECTRÓNICA
 
 
Unidad 10 Protección de datos y firma electrónica
 
 
0. ÍNDICE.
 
 
1. LEY ORGÁNICA DE PROTECCIÓN DE DATOS.
 
1.1. Derechos de los titulares de los datos.
1.2. Obligaciones de los responsables de los ficheros.
1.3. Documento de seguridad.
1.4. Niveles de seguridad.
 
2. FIRMA ELECTRÓNICA.
 
3. DNI ELECTRÓNICO.
 
4. CERTIFICADOS ELECTRÓNICOS.
 
4.1. De persona física.
4.2. De persona jurídica.
 
ACTIVIDADES FINALES.
  

GESTIÓN DE LA DOCUMENTACIÓN JURÍDICA Y EMPRESARIAL (ADMINISTRACIÓN DE EMPRESAS))

NIDAD
12
UNIDAD 10. PROTECCIÓN DE DATOS Y FIRMA ELECTRÓNICA
 
 
1. LEY ORGÁNICA DE PROTECCIÓN DE DATOS.
 
 
El artículo 18 de la Constitución garantiza el derecho al honor, a la intimidad personal y
familiar y a la propia imagen. Se trata de un derecho fundamental y, como tal, tiene que ser
regulado por una ley orgánica.
 
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal, garantiza y protege, en lo que concierne al tratamiento de los datos personales,
las libertades públicas y los derechos fundamentales de las personas físicas, y
especialmente de su honor e intimidad personal y familiar.
 
El ámbito de aplicación de la ley se extiende a los datos de carácter personal registrados
en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso
posterior de estos datos por los sectores público y privado.
 
Los datos personales comprenden cualquier información concerniente a persona física
identificada o identificable, de donde se requiere la concurrencia de un doble elemento:
por una parte la existencia de una información o dato y de otra, que dicho dato pueda
vincularse a una persona física identificada o identificable.
 
 
 
Ejemplo 1. ¿Es la dirección e-mail un dato de carácter personal?.
 
En el caso de las direcciones electrónicas la información está constituida por un conjunto
de signos que cuando permiten la vinculación directa o indirecta con una persona física la
convierte en un dato de carácter personal.
 
El tratamiento de datos personales (en este caso, la dirección del e-mail) requiere el
consentimiento de los titulares de los datos o bien la existencia de una Ley que lo ampare.
En consecuencia, la utilización de e-mail sin consentimiento podría ser vulneración de la
normativa sobre protección de datos y se podría denunciar ante la Agencia Estatal de
Protección de Datos.
 
 
 
 
 
Ejemplo 2. ¿La grabación de una voz es un dato de carácter personal?.
 
Las voces sólo podrán ser consideradas datos de carácter personal en caso de que las
mismas permitan la identificación de las personas que aparecen en dichas voces, no
encontrándose amparadas en la Ley Orgánica en caso contrario.
 
Por otro lado, y aun cuando nos hallemos ante un supuesto en que existan datos de car ácter
personal, será necesario que dichos datos se encuentren incorporados a un fichero.
  

GESTIÓN DE LA DOCUMENTACIÓN JURÍDICA Y EMPRESARIAL (ADMINISTRACIÓN DE EMPRESAS)

12

UNIDAD 10. PROTECCIÓN DE DATOS Y FIRMA ELECTRÓNICA

1.1. Derechos de los titulares de los datos

 
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
reconoce una serie de derechos a los ciudadanos (denominados coloquialmente derechos
“ARCO”):
 
Derecho de acceso.
Derecho de rectificación.
Derecho de cancelación.
Derecho de oposición.
 
El ejercicio de los mismos es personalísimo, y debe, por tanto, ser ejercido directamente
por los interesados ante cada uno de los responsables/titulares de los ficheros
automatizados, salvo en el caso de menores de edad o incapacitados o salvo representación
por poder expreso y por escrito del titular de los datos y fotocopia de los dos DNI.
 
En el resto de los casos, el ciudadano deberá dirigirse directamente al responsable del
fichero en donde se encuentren sus datos personales, utilizando cualquier medio que
permita acreditar el envío y la recogida de su solicitud (fax, burofax, correo ordinario,
certificado o no, e-mail....), para el ejercicio de sus derechos, acompañando copia de su
D.N.I.
 
Además de los derechos “ARCO”, los ciudadanos tienen un derecho de información, es
decir, los interesados a los que se soliciten datos personales deberán ser previamente
informados de modo expreso, preciso e inequívoco, entre otras cosas: a) de la existencia de
un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de
éstos y de los destinatarios de la información; b) de la posibilidad de ejercitar los
derechos de acceso, rectificación, cancelación y oposición; c) de la identidad y dirección del
responsable del tratamiento o, en su caso, de su representante; etc.
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Esquema 12.1. Derechos de los titulares de los datos

 
  

GESTIÓN DE LA DOCUMENTACIÓN JURÍDICA Y EMPRESARIAL (ADMINISTRACIÓN DE EMPRESAS)

12

UNIDAD 10. PROTECCIÓN DE DATOS Y FIRMA ELECTRÓNICA

 
 
- DERECHO DE ACCESO-.
 
El interesado tendrá derecho a solicitar y obtener información de sus datos de carácter
personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones
realizadas o que se prevén hacer de los mismos.
 
Es gratuito y sólo puede ejercitarse a intervalos no inferiores a 12 meses, salvo que exista
un interés legítimo al efecto.
 
- DERECHO DE RECTIFICACIÓN Y CANCELACIÓN-.
 
Serán rectificados o cancelados los datos de carácter personal cuyo tratamiento no se
ajuste a lo dispuesto en la ley, cuando tales datos resulten inexactos o incompletos.
 
La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición
de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles
responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas.
Cumplido el citado plazo deberá procederse a la supresión.
 
- DERECHO DE OPOSICIÓN-.
 
En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento
de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste
podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a
una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del
tratamiento los datos relativos al afectado.
 
1.2. Obligaciones de los responsables de los ficheros.
 
Todo responsable de ficheros debe dar cumplimiento a los principios de la protección de
datos recogidos en el Título II de la Ley Orgánica 15/1999 de Protección de Datos de
Carácter Personal (LOPD)
 
- Calidad de los datos: los datos sólo se podrán recoger y tratar, cuando sean
adecuados, pertinentes y no excesivos, no pudiendo ser usados para finalidades
incompatibles con aquellas para las que hubieran sido recabados. Asimismo,
serán exactos y puestos al día, debiendo ser cancelados cuando hayan dejado de
ser necesarios.
 
- Deber de información.
 
- Consentimiento y comunicación de datos: el tratamiento de datos personales
requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga
otra cosa. Asimismo, y con carácter general, los datos sólo podrán ser
comunicados a un tercero para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente y del cesionario con el
 
   
 
  

GESTIÓN DE LA DOCUMENTACIÓN JURÍDICA Y EMPRESARIAL (ADMINISTRACIÓN DE EMPRESAS)

12

UNIDAD 10. PROTECCIÓN DE DATOS Y FIRMA ELECTRÓNICA

consentimiento del interesado.  

 
- Deber de secreto: el responsable del fichero y quienes intervengan en el
tratamiento de los datos personales están obligados al secreto profesional
respecto de los mismos, obligación que subsistirá aun después de finalizar sus
relaciones con el titular o responsable del fichero.
 
- Seguridad: el responsable del fichero y, en su caso, el encargado del
tratamiento, deberán adoptar las medidas de índole técnica y organizativa que
garanticen la seguridad de los datos de carácter personal y eviten su alteración,
pérdida, y su tratamiento o acceso no autorizado.
 
 
 
Otras obligaciones de los responsables de los ficheros son:
 
- Atender los derechos de acceso, rectificación, cancelación y oposición
 
- Notificar todo fichero de datos de carácter personal a la Agencia Española de
Protección de Datos para su inscripción en el Registro General de Protección de
Datos
 
- Colaborar con la Agencia Española de Protección de Datos
 
 
 

 
Esquema 12.2. Obligaciones de los responsables de los ficheros
 
Están obligados a notificar la creación, modificación o supresión de ficheros para su
inscripción en el RGPD, aquellas personas físicas o jurídicas, de naturaleza pública o
privada, u órgano administrativo, que procedan a la creación de ficheros que contengan
datos de carácter personal. La inscripción es gratuita y debe mantenerse actualizada en
todo momento.
 
El plazo de notificación es de:
Treinta días desde la publicación de su norma o acuerdo de creación en el Diario Oficial
correspondiente (Si los ficheros son de titularidad pública)
 
   
 
  

GESTIÓN DE LA DOCUMENTACIÓN JURÍDICA Y EMPRESARIAL (ADMINISTRACIÓN DE EMPRESAS)

12

UNIDAD 10. PROTECCIÓN DE DATOS Y FIRMA ELECTRÓNICA

 
 
Con carácter previo a su creación (si los ficheros son de titularidad privada).
 
1.3. Documento de seguridad.
 
El documento de seguridad es un documento que debe ser elaborado por el responsable del
fichero o tratamiento, y en el que se recogerán las medidas de índole técnica y organizativa
acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el
personal con acceso a los sistemas de información.
 
Se trata de un documento interno de la organización y dinámico, es decir, que debe reflejar
con veracidad la situación real de los ficheros y de los sistemas de información de la
empresa en cada momento, no siendo necesario presentarlo ante la AEPD.
 
Si el encargado del tratamiento presta sus servicios en el local del responsable, deberá
hacerse constar esta circunstancia en el documento de seguridad de dicho responsable,
comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad.
 
Si el encargado del tratamiento presta sus servicios en su propio local, deberá identificar
en su documento de seguridad, el fichero o tratamiento y el responsable del mismo,
incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.
 
 
 
1.4. Niveles de seguridad.
 
Existen tres niveles de seguridad: básico, medio y alto.
 
- BÁSICO-.
 
Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las
medidas de seguridad calificadas de nivel básico.
 
- MEDIO-.
 
Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de
nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:  
Los relativos a la comisión de infracciones administrativas o penales.
 
Aquellos de los que sean responsables Administraciones tributarias y se
relacionen con el ejercicio de sus potestades tributarias.
 
Aquéllos de los que sean responsables las entidades financieras para finalidades
relacionadas con la prestación de servicios financieros.
 
Aquéllos de los que sean responsables las Entidades Gestoras y Servicios
Comunes de la Seguridad Social y se relacionen con el ejercicio de sus
competencias.
   
 
 
  

GESTIÓN DE LA DOCUMENTACIÓN JURÍDICA Y EMPRESARIAL (ADMINISTRACIÓN DE EMPRESAS)

12

UNIDAD 10. PROTECCIÓN DE DATOS Y FIRMA ELECTRÓNICA

 
 
Aquéllos de los que sean responsables las mutuas de accidentes de trabajo y
enfermedades profesionales de la Seguridad Social.
 
Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan
una definición de las características o de la personalidad de los ciudadanos y
que permitan evaluar determinados aspectos de la personalidad o del
comportamiento de los mismos.
 
- ALTO-.
 
Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los
siguientes ficheros o tratamientos de datos de carácter personal:
 
Los que se refieran a datos de ideología, afiliación sindical, religión, creencias,
origen racial, salud o vida sexual.
 
Los que contengan o se refieran a datos recabados para fines policiales sin
consentimiento de las personas afectadas.
 
Aquéllos que contengan datos derivados de actos de violencia de género.
 
 
 
Ejemplo 3. ¿Qué nivel de seguridad debe adoptarse en los ficheros que contengan
datos de menores?.
 
La condición de la minoría de edad no es relevante para la aplicación de un determinado
nivel de seguridad. Todo depende del tipo de fichero o tratamiento de datos de carácter
personal.
 
 
 
2. FIRMA ELECTRÓNICA.
 
Se considera documento electrónico la información de cualquier naturaleza en forma
electrónica, archivada en un soporte electrónico según un formato determinado y
susceptible de identificación y tratamiento diferenciado
 
La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a
otros o asociados con ellos, que pueden ser utilizados como medio de identificación del
firmante.
Existen dos tipos de firma electrónica:
 
AVANZADA: permite identificar al firmante y detectar cualquier cambio ulterior
de los datos firmados, que está vinculada al firmante de manera única y a los datos
a que se refiere y que ha sido creada por medios que el firmante puede mantener
bajo su exclusivo control.
 
 
 
 
  

GESTIÓN DE LA DOCUMENTACIÓN JURÍDICA Y EMPRESARIAL (ADMINISTRACIÓN DE EMPRESAS)

12

UNIDAD 10. PROTECCIÓN DE DATOS Y FIRMA ELECTRÓNICA

RECONOCIDA: firma electrónica avanzada basada en un certificado reconocido y

generada mediante un dispositivo seguro de creación de firma (tendrá respecto de
los datos consignados en forma electrónica el mismo valor que la firma manuscrita
en relación con los consignados en papel).
 
Para firmar un documento es necesario disponer de un certificado digital o de un DNI
electrónico, pues contienen unas claves criptográficas, que son los elementos necesarios
para firmar.
 
Los certificados electrónicos tienen el objetivo de identificar inequívocamente a su
poseedor y son emitidos por Proveedores de Servicios de Certificación.
 
El proceso básico que se sigue para la firma electrónica es el siguiente:
 
El usuario dispone de un documento electrónico (una hoja de cálculo, un pdf, una
imagen, incluso un formulario en una página web) y de un certificado que le
pertenece y le identifica.
 
La aplicación o dispositivo digital utilizados para la firma realiza un resumen del
documento. El resumen de un documento de gran tamaño puede llegar a ser tan solo
de unas líneas. Este resumen es único y cualquier modificación del documento
implica también una modificación del resumen.
 
La aplicación utiliza la clave contenida en el certificado para codificar el resumen.
 
La aplicación crea otro documento electrónico que contiene ese resumen codificado.
Este nuevo documento es la firma electrónica.
 
El resultado de todo este proceso es un documento electrónico obtenido a partir del
documento original y de las claves del firmante. La firma electrónica, por tanto, es el
archivo o documento electrónico resultante, el único válido a efectos legales y el que se
debe conservar.
 
3. DNI ELECTRÓNICO.
 
El DNI electrónico es un documento emitido por la Dirección General de la Policía
(Ministerio de Interior). Además de acreditar físicamente la identidad personal de su
titular permite:
 
Acreditar electrónicamente y de forma inequívoca su identidad.
 
Firmar digitalmente documentos electrónicos, otorgándoles una validez jurídica
equivalente a la que les proporciona la firma manuscrita.
El DNIe incorpora un pequeño circuito integrado (chip), que contiene los mismos datos que
aparecen impresos en la tarjeta (datos personales, fotografía, firma digitalizada y huella
dactilar digilitalizada) junto con:
   

 
 
  

GESTIÓN DE LA DOCUMENTACIÓN JURÍDICA Y EMPRESARIAL (ADMINISTRACIÓN DE EMPRESAS)

12

UNIDAD 10. PROTECCIÓN DE DATOS Y FIRMA ELECTRÓNICA

Certificado de Autenticación: garantiza electrónicamente la identidad del

ciudadano al realizar una transacción telemática.
 
Certificado de Firma Electrónica reconocida: permite la firma de trámites o
documentos, sustituyendo a la firma manuscrita.
 
Los requisitos técnicos necesarios para poder utilizar el DNIe son disponer de un
ordenador personal y de un lector de tarjetas inteligentes.
 
4. CERTIFICADOS ELECTRÓNICOS.
 
Los certificados electrónicos son documentos electrónicos expedidos por una Autoridad de
Certificación y que identifican a una persona (física o jurídica) con un par de claves (una
pública y otra privada).
 
Los certificados electrónicos:
 
• Tienen como misión validar y certificar que una firma electrónica se corresponde
con una persona o entidad concreta.
 
• Contienen la información necesaria para firmar electrónicamente e identificar a su
propietario con sus datos: nombre, NIF, algoritmo y claves de firma, fecha de
expiración y organismo que lo expide.
 
• La Autoridad de Certificación da fe de que la firma electrónica se corresponde con
un usuario concreto. Esa es la razón por la que los certificados están firmados, a su
vez, por la Autoridad de Certificación.
 
Una de estas Autoridades de Certificación, es la Fábrica Nacional de Moneda y Timbre –
Real Casa de la Moneda. En función del destinatario, emite los siguientes certificados:
 
• Personas físicas.
• Personas jurídicas.
• Entidades sin personalidad jurídica.
• Administraciones Públicas.
 
4.1. Certificado electrónico de persona física.
 
El certificado electrónico de identidad de Persona Física también conocido como
Certificado de Usuario (FNMT Clase 2CA), es la certificación electrónica expedida por la
FNMT-RCM que vincula a su suscriptor unos datos de verificación de firma y confirma su
identidad.

 
 

 
 
  

GESTIÓN DE LA DOCUMENTACIÓN JURÍDICA Y EMPRESARIAL (ADMINISTRACIÓN DE EMPRESAS)

12

UNIDAD 10. PROTECCIÓN DE DATOS Y FIRMA ELECTRÓNICA

Permite realizar trámites de forma segura con Entidades públicas o Privadas a través
de Internet como por ejemplo:
• Presentación de Recursos y reclamaciones
• Cumplimentación de los datos del censo de población y viviendas.
• Presentación y liquidación de impuestos
• Consulta e inscripción en el padrón municipal
• Consulta de multas de circulación
• Domiciliación bancaria de tributos municipales (IBI, IVTM, IAE...)
• Consulta y trámites para solicitud de subvenciones
• Consulta de asignación de colegios electorales
• Actuaciones comunicadas
• Firma electrónica de documentos oficiales y expedición de copias compulsadas.
 
Existen 3 formas distintas de Obtener un Certificado Electrónico FNMT:
 
• Como archivo descargable en el ordenador.
• Como archivo descargable en el dispositivo Android.
• Utilizando el DNIe.
 
4.2. Certificado electrónico de persona jurídica.
 
El uso del certificado electrónico de identidad de Persona Jurídica requiere la firma de un
contrato entre la empresa y la FNMT-RCM.
 
Actualmente la FNMT-RCM expide Certificados Electrónicos de Persona Jurídica
reconocidos en el Ámbito Tributario. Este certificado vincula a su suscriptor (sujeto pasivo
tributario), unos datos de verificación de firma y confirma su identidad.
 
Sirve para:
 
• Simplificación y automatización de la gestión documental.
• Eliminación del papel.
• Reducción de errores al eliminar procedimientos manuales.
• Impulsa el comercio electrónico.
• Aumento de la productividad y competitividad de la empresa.
 
Existen 3 formas distintas de Obtener un Certificado Electrónico FNMT:
 
• Como archivo descargable en el ordenador.
• Directamente en una Tarjeta Criptográfica.
• Como archivo descargable en el dispositivo Android.