MÓDULO 02

Gestión de la documentación
jurídica y empresarial
CFGS Técnico/a en Administración y Finanzas
CFGS Técnico/a en Asistencia a la Dirección
 UF 02
Contratación empresarial
Ampliación del contenido de la Ley
Orgánica de Protección de Datos
 Ley Orgánica de Protección de Datos de Carácter Personal

Las organizaciones tienen obligaciones con relación a

la protección de datos de carácter personal de sus
trabajadores, clientes, proveedores y otros agentes o
grupos de interés con los que mantiene algún tipo de
relación profesional.
 Ley Orgánica de Protección de Datos de Carácter Personal

Normativa Seguridad Electrónica:

● Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el
que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

● Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.

● Ley Orgánica 15/1999 de protección de datos de carácter personal y Real Decreto 1720/2007, que desarrolla la ley
orgánica → Prácticamente DEROGADA (toda, salvo unos pocos artículos)

● Ley 19/2013 de transparencia, acceso a la información pública y buen gobierno.

● Real Decreto 1671/2009, por el que se desarrolla la Ley 11/2007 de acceso electrónico de los ciudadanos a los servicios
públicos.

● Orden EHA/1307/2005, por la que se regula el empleo de medios electrónicos en los procedimientos de contratación

● Ley 25/2013 de impulso de la factura electrónica y creación del registro contable de facturas en el sector público.

● Real Decreto 806/2014, sobre organización e instrumentos operativos de las TIC en la Administración general del
Estado y sus organismos públicos.
 Ley Orgánica de Protección de Datos de Carácter Personal

De acuerdo con la legislación vigente, las empresas están obligadas a:

➢ Registrar los ficheros de datos en el Registro General de Protección de Datos

➢ Informar a los titulares y afectados de que sus datos figuran en dicho registro.

➢ Ofrecer la posibilidad de acceso, cancelación, rectificación y oposición a sus titulares en todo momento.

➢ No ceder dichos datos, salvo con el consentimiento expreso de su titular.

➢ Mantener la confidencialidad de los mismos y tomar las medidas suficientes para garantizar esa confidencialidad.
 Ley Orgánica de Protección de Datos de Carácter Personal

★ Registrar los ficheros de datos en el Registro General de Protección de Datos (Art 39.2. b, LOPD)

Artículo 39. El Registro General de Protección de Datos.

1. El Registro General de Protección de Datos es un órgano integrado en la Agencia de Protección de
Datos.
2. Serán objeto de inscripción en el Registro General de Protección de Datos:

a) Los ficheros de que sean titulares las Administraciones públicas.

b) Los ficheros de titularidad privada.
c) Las autorizaciones a que se refiere la presente Ley.
d) Los códigos tipo a que se refiere el artículo 32 de la presente Ley.
e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de
información, acceso, rectificación, cancelación y oposición.
 Ley Orgánica de Protección de Datos de Carácter Personal

★ Informar a los titulares y afectados de que sus datos figuran en dicho registro (Art 5 LOPD)

Artículo 5. Derecho de información en la recogida de datos.

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo
expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la

recogida de éstos y de los destinatarios de la información.
★ Ofrecer la posibilidad de acceso, cancelación, rectificación y oposición a sus titulares en todo momento
(Arts. 12-18 LOPD y Arts. 23-36 Reglamento de la LOPD) → Derechos ARCO
■ Acceso (Art. 13 LOPD)
■ Rectificación (Art. 14 LOPD)
■ Cancelación (Art. 15 LOPD)
■ Oposición (Art. 18 LOPD)
 Ley Orgánica de Protección de Datos de Carácter Personal
Derechos ARCO

Acceso → El interesado tendrá derecho a solicitar y obtener

gratuitamente información de sus datos de carácter personal
sometidos a tratamiento, el origen de dichos datos, así como las
comunicaciones realizadas o que se prevén hacer de los mismos.

Rectificación → El responsable del tratamiento tendrá la obligación

de hacer efectivo el derecho de rectificación o cancelación del
interesado en el plazo de diez días.

Cancelación → La cancelación dará lugar al bloqueo de los datos,

conservándose únicamente a disposición de las Administraciones
públicas, Jueces y Tribunales, para la atención de las posibles
responsabilidades nacidas del tratamiento, durante el plazo de
prescripción de éstas.

Oposición → El derecho de oposición es el derecho del afectado a

que no se lleve a cabo el tratamiento de sus datos de carácter
personal o se cese en el mismo.
 Ley Orgánica de Protección de Datos de Carácter Personal

Otros Derechos Digitales Derecho al olvido

Trabajadores: Es la manifestación del derecho de supresión aplicado a
los buscadores de internet y hace referencia al derecho
- D. a la desconexión digital. a impedir la difusión de información personal a través
- D. a la intimidad en el uso de cámaras o sistemas de geolocalización. de internet cuando su publicación no cumple los
requisitos de adecuación y pertinencia previstos en la
Menores de edad: normativa.

En concreto, incluye el derecho a limitar la difusión

- Consentimiento para tratar sus datos. universal e indiscriminada de datos personales en los
- Derecho a la educación digital. buscadores generales cuando la información es
obsoleta o ya no tiene relevancia ni interés público,
Derechos en Internet: aunque la publicación original sea legítima (en el caso
de boletines oficiales o informaciones amparadas por las
- Olvido. libertades de expresión o de información).
- Neutralidad de internet. La información no desaparece de internet. Sólo afecta a
- Seguridad digital. los resultados obtenidos en las búsquedas hechas
- Testamento digital. mediante el nombre de la persona y no implica que la
- Libertad de expresión y veracidad informativa. página deba ser suprimida de los índices del buscador
- D. al honor y a la propia imagen. ni de la fuente original. Las fuentes permanecen
inalteradas y el resultado se seguirá mostrando cuando
- Propiedad intelectual. la búsqueda se realice por cualquier otra palabra o
término distinta al nombre del afectado.
 Ley Orgánica de Protección de Datos de Carácter Personal

★ No ceder dichos datos, salvo con el consentimiento expreso de su titular (Art 7.2 LOPD)

Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los
datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los
ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y
asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica,
religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión
de dichos datos precisará siempre el previo consentimiento del afectado.

★ Mantener la confidencialidad de los mismos y tomar las medidas suficientes para garantizarla → Como por ejemplo
denunciar irregularidades ante las autoridades competentes.
 Ley Orgánica de Protección de Datos de Carácter Personal
INCUMPLIMIENTO

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de

27 de abril de 2016, relativo a la protección de las personas físicas en
lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos (en adelante Reg. UE) que regula las
sanciones en sus Arts. 77 y ss.

Especialmente importante es el Art. 84.1 Reg. UE que habla de que

los Estados pueden adoptar también sanciones (además de las
sanciones administrativas allí recogidas), por lo que también
tendremos que tener presente lo dispuesto en la LO 3/2018, donde
en su Art. 76 (infracciones) vuelve a mandar al Reg. UE (al Art. 83)

Lo importante para nosotros es que comprendamos que su

incumplimiento da lugar a una infracción que puede ser sancionada Normativa: LOPD - REG. UE
con hasta 20.000.000 € o, tratándose de una empresa, de una cuantía
equivalente al 4 % como máximo del volumen de negocio total anual
global del ejercicio financiero anterior
 Ley Orgánica de Protección de Datos de Carácter Personal

“Luxemburgo multa con 746 millones a Amazon por infringir las normas de protección de datos de la UE

La Comisión Nacional de Protección de Datos de Luxemburgo (CNPD) ha impuesto una sanción de 746 millones de
euros a Amazon Europe Core al considerar que el tratamiento de datos personales por parte de la multinacional no
cumplía con la normativa sobre protección de datos de la Unión Europea.

La agencia luxemburguesa ha llevado a cabo esta investigación contra Amazon debido a que el cuartel general en
Europa de la multinacional se encuentra en el Gran Ducado. Las leyes europeas de protección de datos contemplan la
posibilidad de multar hasta con el 4% de los ingresos anuales a las compañías que vulneren las normas.”

Leer más:
https://www.europapress.es/economia/noticia-luxemburgo-multa-746-millones-amazon-infringir-normas-proteccion-dat
os-ue-20210730145728.html (c) 2022 Europa Press. Está expresamente prohibida la redistribución y la redifusión de
este contenido sin su previo y expreso consentimiento.

Amazon ha recurrido la multa.

 Ley Orgánica de Protección de Datos de Carácter Personal

Las personas de las que se disponen dichos datos también gozan de los siguientes derechos, que son
principalmente esos Derechos ARCO de los que hemos hablado

➔ Es necesario el consentimiento del afectado (salvo que la ley disponga otra cosa) para cualquier tratamiento
de datos de carácter personal.

➔ Consulta gratuita en el Registro General de Protección de Datos.

➔ Acceso a los propios datos.

➔ Rectificación y cancelación de los datos de carácter personal, especialmente

cuando el tratamiento es contrario a la ley o los datos son inexactos.

➔ Derecho a indemnización de los daños derivados de un uso indebido de sus

propios datos.
 Ley Orgánica de Protección de Datos de Carácter Personal

Hablemos del REGLAMENTO UE, de cómo afecta a nuestra empresa y de cómo esta normativa nos aporta beneficios
positivos ya que nos da mayor seguridad. Lo haremos a través de una serie de preguntas y respuestas:

1- ¿Todas las empresas tienen que registrarse en el registro de actividades de tratamiento?

No, sólo aquellas que:

● tengan más de 250 trabajadores,

● traten datos sensibles,
● traten datos relativos a infracciones y condenas penales.

2- ¿En caso de hacerse, cuál es el contenido que debe tener el registro de actividades de tratamiento?

● Datos de contacto del responsable, encargado, sus representantes ● Destinatarios de las cesiones de esos datos
y del Delegado de Protección de Datos, en su caso.
● Si van a realizarse transferencias internacionales
● Finalidades de ese tratamiento
● Plazos de conservación de los datos
● Tipos de interesados y de datos personales
● Medidas técnicas y organizativas que se van a implantar.
 Ley Orgánica de Protección de Datos de Carácter Personal

3- ¿Quién tiene que hacer ese registro de tratamiento?

Tanto el responsable como el encargado del tratamiento de los datos.

4- ¿Qué información obligatoria debemos facilitar a los interesados cuando queramos recabar sus datos
personales?
● Identidad del responsable
● Fines del tratamiento
● Destinatarios de los datos
● Consecuencias de no facilitar la información
● Derechos de los interesados: ARCO
● Base jurídica del tratamiento
● Plazo de conservación de los datos
● Identidad del DPO, en caso de que exista
● Si van a realizarse transferencias internacionales
 Ley Orgánica de Protección de Datos de Carácter Personal

5- ¿Cómo se tiene que prestar el consentimiento?

La manifestación del consentimiento tiene que darse de forma expresa e inequívoca, a través de una
declaración o un acto afirmativo claro.

6- ¿Cómo se regulan las relaciones con terceros?

Con cualquier tercero al que cedamos datos personales para la prestación de algún servicio es necesario
firmar un contrato para regular el tratamiento de los datos. En el contrato se especificarán las
instrucciones del responsable del tratamiento al encargado en relación con:

● Medidas de seguridad a aplicar

● Si va a realizarse o no subcontratación
● Cláusula de confidencialidad
● Obligación de notificar los incidentes de seguridad
● Destino de los datos una vez finalizada la prestación del servicio
 Ley Orgánica de Protección de Datos de Carácter Personal

7- ¿Debo hacer un análisis de riesgos?

Todas las empresas deberán realizar un análisis de riesgos tanto informáticos como de seguridad lógica e implantar las
soluciones para evitar, bloquear o neutralizar esos ataques. Estos análisis deben ser periódicos y siempre que se produzcan
modificaciones tecnológicas en la empresa. Estas revisiones se basan en:

● Identificar amenazas
● Evaluar los riesgos
● Tratar los riesgos

8- ¿Qué es y qué hace el Delegado de Protección de Datos?

Será el encargado de supervisar en la empresa el cumplimiento de la normativa de Protección de Datos y de comunicarse

con la AEPD. No todas las empresas necesitan un DPO. Sólo será obligatorio en los siguientes casos:
● Si se trata de Entidades u organismos públicos
● Cuando el tratamiento consista en realizar un seguimiento regular y sistemático del interesado a gran escala
● Empresas que realicen tratamientos a gran escala de categorías especiales de datos

Las empresas no incluidas en esa clasificación pueden también nombrar un DPO si lo desean.
 Ley Orgánica de Protección de Datos de Carácter Personal

9- ¿Debo notificar los incidentes de seguridad?

El responsable del tratamiento tiene la obligación de comunicar la brecha de seguridad a la autoridad de control
competente y a los afectados. Se deben notificar las incidencias de seguridad que impliquen una violación de datos
personales sin demora injustificada y en un plazo máximo de 72 horas después de que haya tenido constancia de ella. Por
tanto, no sólo las Administraciones son responsables del trato de los datos de los ciudadanos. El contenido de esa
comunicación debe contener:

● Número de afectados y tipo de datos

● Circunstancias en las que se ha producido
● Posibles consecuencias de esa violación
● Medidas adoptadas para reducir los posibles efectos

10 ¿Puede el empresario instalar cámaras de videovigilancia para controlar a los trabajadores?

Sí es posible instalar esas cámaras pero sólo cuando exista una relación de proporcionalidad entre la finalidad perseguida y
el modo en que se traten las imágenes y no haya otra medida más idónea. Asimismo, se deberá informar personalmente a
los trabajadores, o en su caso, a través de la representación sindical, por cualquier medio que garantice la recepción de la
información.
 Ley Orgánica de Protección de Datos de Carácter Personal

11- ¿Y las sanciones en caso de su incumplimiento?

1. Sanciones graves
De 10 millones de euros como máximo o, en caso de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total
anual global del ejercicio financiero anterior, eligiendo la de mayor cuantía, en el caso de las siguiente infracciones:

○ Las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43
○ Las obligaciones de las autoridades de certificación según los artículos 42 y 43 (certificación y organismo de certificación).
○ Las obligaciones del organismo de control (supervisión de códigos de conducta aprobados).
2. Sanciones muy graves
De 20 millones de euros como máximo o, si es una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual
global del ejercicio financiero anterior, eligiendo la de mayor cuantía, cuando no se respeten las siguientes normas:

○ Los principios básicos para el tratamiento, incluidos los requisitos para el consentimiento (principios relativos al tratamiento, licitud del
mismo, condiciones para el consentimiento, y el tratamiento en las categorías especiales de datos personales).
○ Los derechos de los afectados (transparencia y modalidades, información y acceso a datos personales, derecho de rectificación y
supresión, derecho de oposición y decisiones individuales automatizadas).
○ Las transferencias de datos personales a un destinatario situado en un tercer país o una organización internacional (principio general de
transferencias, transferencias basadas en una decisión de adaptación, transferencias utilizando garantías adecuadas, normas corporativas
obligatorias, transferencias o comunicaciones no autorizadas por el derecho de la unión, y las excepciones para situaciones específicas).
 Ley Orgánica de Protección de Datos de Carácter Personal

13- ¿Sigue siendo obligatoria la inscripción de ficheros en la Agencia Española de Protección de Datos?

Ya no es obligatorio notificar los ficheros a la Agencia Española de Protección de Datos

para su inscripción en el Registro General de Protección de Datos.

La obligación de notificar ficheros se sustituye a partir del 25 de mayo de 2018 por

elaborar un registro de actividades de tratamiento que deberá contener la información
señalada en el artículo 30 del Reglamento.
Dudas