Unidad 7.

Archivo, protección de datos y firma

electrónica
1. Archivo
El volumen de información y de documentos que entra y sale de las empresas aumenta
diariamente. Dejando a un lado su tamaño o actualidad, cada día se reciben, crean, tramitan,
procesan y dan salida grandes cantidades de documentos y proyectos.

Los datos y la información que contienen (ya sea en formato digital o físico) deben ser
guardados correctamente para poder recuperarlos con la mayor rapidez en el momento en que
sean necesarios. A esto es a lo que llamaremos «archivar».

Un archivo es el conjunto ordenado de documentos que una persona, una sociedad, una
institución o cualquier tipo de organización produce en el ejercicio de sus funciones o
actividades. El término también puede hacer referencia al espacio físico en el que se ubican
los documentos.

1.1.Utilidad del archivo

Archivar correctamente es importante porque va asociado a rapidez de búsqueda,
productividad, rendimiento, eficacia y competitividad. Las empresas dependen en gran
medida de la gestión de la información y los datos: organizar adecuadamente sus archivos les
puede reportar grandes beneficios y ventajas competitivas.

Para realizar esta labor con rapidez, es importante adquirir algunos conocimientos teóricos y
prácticos, ideas sencillas que puedan aplicarse rápidamente en la mayoría de nuestras
situaciones cotidianas. En consecuencia, debemos tener un sistema adecuado de selección,
ordenación y protección que, además, nos permita archivar los documentos en soporte
informático.

Un archivo ha de ser tan sencillo de manejar que cualquier persona que necesite la
información depositada en él la pueda encontrar de forma rápida y sencilla.

Esta máxima también es aplicable al archivo de documentos digitales. Es muy importante

establecer un conjunto de carpetas y subcarpetas adecuado y adaptado a las necesidades y usos de
la empresa.

A. Importancia de la información
No toda la información que se recibe en una empresa debe ser almacenada o guardada. Debemos ser
selectivos y capaces de pasar un primer filtro al recibir un correo electrónico, una carta, un
documento. Hay que saber distinguir lo que es útil de lo poco relevante, para evitar la acumulación de
documentación innecesaria que pueda dificultar nuestro trabajo más adelante. Existen instrumentos
que nos pueden ayudar a ello, como por ejemplo agendas, blocs de notas, tablones de anuncios, etc.
Para clasificar como útil un documento, hemos de seguir unas pautas. En la Figura 7.1
podemos observar un diagrama con una serie de preguntas clave, que nos ayudarán a valorar
la utilidad del documento y a decidir sobre él.

Fig. 7.1.Preguntas clave para decidir la utilidad de un documento.

1.2.Funciones y finalidades del archivo

El archivo debe funcionar como la memoria colectiva de una empresa. Su importancia es vital
para el buen funcionamiento de esta y debe cumplir al menos con las
siguientes funciones: almacenar, conservar y permitir recuperar rápidamente la información
correspondiente.

Para tener un sistema de archivo eficaz, deben existir además:

Unas normas que permitan a cualquier empleado hacer uso del archivo (lo que no quiere decir
que cualquier trabajador pueda acceder a él, sino únicamente las personas autorizadas).

Un índice en el que aparezca su contenido.

Un sistema de ordenación adecuado a las necesidades de la organización.

Unas instalaciones adecuadas para su buena conservación.

1.3.Clases y sistemas de ordenación de archivos

Para garantizar el buen funcionamiento de un archivo, hay que determinar la frecuencia de
uso del mismo según si la información que guarda se consulta asiduamente o no. Asimismo,
definir el sistema de clasificación de dicha información agilizará la consulta que se va a
realizar.

A. Clases de archivos
Existen diversos criterios para clasificar los archivos que podemos encontrar: el tipo de
documentos, las personas que tengan acceso, la importancia de la información, la procedencia
de los datos, etc. Aunque los más importantes son el de la frecuencia de uso y el lugar.
 En la Tabla 7.1 podemos ver las clases o tipos de archivos, según la frecuencia de uso.

Tipo Descripción Ejemplos

La carpeta Plantillas de
documentos que tenemos
en el escritorio del
Contienen la documentación más usada y que debe estar al alcance
Archivos ordenador o el cajón
del empleado o empleada prácticamente sin levantarse de su lugar de
activos archivador de nuestra
trabajo.
mesa de trabajo donde
guardamos las facturas
recientes.
La carpeta Documentos
finalizados que está en el
Archivos Contienen la información no activa que utilizamos de manera escritorio del ordenador o
semiactivos circunstancial y que debe estar próxima al archivo activo. el archivador de la
oficina de proyectos de
ejercicios anteriores.
El archivador donde se
guardan las facturas y los
Contienen aquella información que no se utiliza casi nunca, ya sea
Archivos recibos de los últimos
porque son acciones pasadas o porque simplemente se guardan por una
pasivos cinco ejercicios o la
cuestión legal o de valor histórico.
carpeta Memorias de
ejercicios pasados.

Tabla 7.1.Clases de archivos según la frecuencia de uso.

En la Tabla 7.2 podemos ver las clases de archivos si tenemos en cuenta el lugar donde se
guardan los documentos y su grado de autonomía.

Tipo Descripción Ejemplos

El archivador de
clientes ubicado
en la oficina de
administración,
donde se
Toda la documentación empresarial está concentrada en un único lugar,
encuentra
Archivos en el que se guardará y gestionará toda la documentación producida. El
guardada toda la
centralizados fin de este tipo de archivos es economizar espacio, equipamientos y
documentación
empleados, y es muy útil en empresas pequeñas.
referente a la
clientela de la
empresa:
contratos, recibos,
etc.
Archivos La documentación empresarial se encuentra repartida por los distintos El archivador de
descentralizados departamentos que la puedan componer. Cada departamento guardará y nóminas del
gestionará todos aquellos documentos que genere. El fin de este tipo de departamento de
archivos es potenciar la independencia de los departamentos y, al reducir
 contabilidad.

Los archivos de
los proyectos de
un departamento
de la empresa.
el número de peticiones y desplazamientos, ahorrar tiempo.
Los archivos de
facturas o
presupuestos que
manejan
diariamente los
administrativos de
una empresa.

Tabla 7.2.Clases de archivos según su ubicación.

B. Sistemas de ordenación de archivos

Para que el archivo cumpla su función, debemos establecer un criterio de ordenación de los
documentos que incluiremos en él.

Ordenar documentos es juntarlos de acuerdo a una norma o un criterio conocido, que

permitirá localizarlos fácilmente en una búsqueda posterior.

Los archivos informatizados pueden utilizar los siguientes criterios:

Aplicaciones (procesadores de texto, hojas de cálculo, presentaciones, bases de datos,

ejecutables, etc.).

Tamaño del archivo.

Categoría.

Autores.

Los sistemas más frecuentes usados en el entorno empresarial para ordenar la documentación son:

Alfabético.

Numérico.

Alfanumérico.

Geográfico.

Cronológico.

Por materias, temas o asuntos.

Estos sistemas de ordenación son los más básicos para ordenar todos nuestros documentos, ya
sea en papel o archivos informáticos.

Ordenación alfabética

El sistema alfabético de ordenación consiste en colocar las palabras elegidas siguiendo el

orden que establece el alfabeto.

Cuando aquello que queremos ordenar está formado por más de una palabra, elegiremos una
palabra de referencia (la más oportuna) y aplicaremos el alfabeto para su ordenación. El
mismo procedimiento se seguirá para cada una de las letras que formen la palabra, de tal
manera que si dos palabras comienzan por la misma letra, será la segunda letra la que
determine el orden.

Ordenación numérica

La ordenación numérica consiste en archivar los documentos asignando un número

correlativo a cada uno de ellos.

Ese número puede ser una parte del mismo documento —como sería el número de factura,
recibo o cheque— o puede ser asignado por el gestor del archivo atendiendo a un criterio
inicial determinado por el responsable.

Los gestores del archivo determinarán inicialmente el sentido numérico, aunque por norma general
se hace de menor a mayor o al revés.

Por ejemplo, las facturas de aquello que se consume cada día —como los suministros— se
archivarán de forma correlativa siguiendo el orden en que llegan a la empresa.

Cuando seamos los encargados de numerar los documentos, deberemos seguir un orden y
asignar inicialmente un número a cada documento.

Ordenación alfanumérica

La ordenación alfanumérica consiste en archivar documentos, combinando letras y números.

Este sistema es muy útil en aquellas empresas en las que la información y la documentación
que se maneja combina cifras y letras, dificultando el uso de una de ellas de manera exclusiva.
Es muy eficaz e intuitivo, al tratarse de la combinación de los sistemas más comunes.

Aunque la mayoría de los archivos comienzan siendo alfabéticos, llega un momento en que el
gran volumen de documentación complica mucho mantener este criterio y se suele optar
finalmente por la ordenación alfanumérica porque combina distintas formas de ordenación.

1.4.Procedimiento y equipamiento de archivo

En función del equipamiento de que se disponga se establecerá el procedimiento para guardar y
clasificar la documentación.
A. Procedimiento de archivo
Es importante proceder del mismo modo con todos los documentos que se ingresan en el
archivo, para garantizar que toda la documentación sea guardada y ordenada siguiendo el
mismo criterio.

En la Figura 7.2 recogemos un procedimiento que puede seguirse para archivar documentación.

Fig. 7.2.Procedimiento para archivar información.

En cualquier caso, para realizar una buena labor de archivo, conviene seguir los diez consejos
que se resumen
en la Tabla 7.3.

Lo mejor será archivar los documentos en el mismo momento en el que

llegan a nuestras manos. De esta manera, evitaremos la acumulación de
1.º papeles y documentos en nuestro escritorio. Si nos es imposible archivar
en ese momento, será conveniente separar la documentación e identificarla
como tarea pendiente.

Lo mejor y más útil será colocar la documentación más reciente al

2.º principio del conjunto de documentos. El último documento recibido será
el primer documento visible.

Es preferible ordenar la correspondencia recibida por asuntos (el correo

3.º electrónico también) y luego cada asunto por fecha, excepto el correo de
clientes particulares, que ordenaremos por apellidos.

Deberemos saber cuánto tiempo se han de conservar determinados

4.º
documentos.

5.º Intentaremos no acumular demasiados temas en una misma carpeta.

Utilizaremos, siempre que podamos, la agenda (u otro instrumento) para

recordar los límites de tiempo que tenemos para posibles actuaciones
6.º relacionadas con los documentos, y también es aconsejable anotar este
plazo en el mismo documento con lápiz. Anotaremos también la fecha en
la que recibimos el documento, en el propio documento o en una agenda.

7.º Aquellos documentos más largos o de mayor tamaño deben doblarse,

 dejando visible el inicio del documento para facilitar su identificación.

Cuando un documento suponga una reacción en forma de otro documento,

8.º adjuntaremos también una copia del documento original al que nos
referimos, en nuestra respuesta.

Utilizaremos un registro de entradas y salidas de documentación, para

9.º
llevar un control de la localización de los documentos archivados.

Deberemos tener los papeles correctamente alineados y, si fuera necesario,

10.º agruparlos; lo mejor será graparlos para evitar la pérdida de
documentación.

B. Equipamiento de archivo
El equipamiento de archivo está compuesto por todos los dispositivos físicos (ordenadores,
armarios, etc.) que permiten tener almacenada y ordenada la información. La elección de los
equipamientos de archivo es importante y debe responder a aspectos como:

El espacio del que se dispone.

La frecuencia de uso de los documentos.

El volumen de material archivado.

La forma de uso.

Existen dos sistemas para mantener la información archivada:

Archivo convencional o manual: archivadores, carpetas, armarios, etc.

Archivo informático: equipos informáticos y sistemas operativos y de gestión de la información.

Ambos archivos plantean ventajas e inconvenientes, pero debe ser la empresa la que
determine el más conveniente. Aunque los sistemas informáticos han avanzado mucho, la
mayor parte de las empresas prefieren combinar los dos.

1.5. Funcionamiento del archivo: conservación,

actualización y seguridad
Es muy importante para el correcto funcionamiento de un archivo que haya una persona encargada
de él, más aún desde la entrada en vigor de la Ley Orgánica de Protección de Datos y garantía de
los derechos digitales (LOPD-GDD). Entre sus funciones encontraremos las siguientes:

Saber dónde se encuentran los documentos y cómo funciona el sistema de archivo.

Decidir y aplicar las normas de uso y clasificación.

Responsabilizarse de la custodia y conservación adecuada de los documentos.

Determinar el protocolo a seguir para la salida de documentos, ya sea para su cesión o eliminación.

A. Conservación del archivo

Seguir un protocolo y establecer responsabilidades permitirá a la empresa aplicar de manera
más rápida y eficiente la LOPD-GDD.

Ya sabemos que los documentos se conservan y la empresa no los elimina debido a su valor,
ya sea legal, informativo o de organización. Pero ¿cuánto tiempo se deben conservar? Lo
primero es advertir una máxima: los documentos se conservarán durante el tiempo necesario
para sus finalidades. Por ello, no deberemos tener más documentos que los indispensables ni
custodiarlos más tiempo del necesario.

Ante esta duda temporal, muchas organizaciones optan por conservar los documentos hasta el
momento en que vencen los plazos de prescripción de las obligaciones que tienen asociados, y
otras optan por aplicar el Código de Comercio, que señala que los documentos deberán
conservarse durante seis años. A modo orientativo, y como ayuda práctica, proponemos en la
Tabla 7.4 cierta información al respecto.

Documentos Plazos

Materia laboral (no pagar a tiempo o retrasarse en el pago de

3 años
obligaciones laborales)

Seguridad Social (infracciones) 4 años

Materia fiscal (deudas tributarias) 4 años

Prevención de riesgos laborales 5 años

Temas contables y mercantiles 6 años

Materia fiscal de comprobaciones de cuotas y deducciones 10 años
Hacienda pública y Seguridad Social 10 años

Tabla 7.4.Plazos de conservación de la documentación.

Pero si tan importante es saber cuánto tiempo debemos conservar los documentos archivados
en las empresas, no lo es menos saber cómo debemos proceder para su correcta conservación.

Para ello, habrá que seguir una serie de pautas para la correcta conservación física de los
documentos, teniendo en cuenta aspectos como la temperatura, la humedad, la limpieza o la
ubicación de los espacios en los cuales van a permanecer los documentos, archivos o equipos
informáticos. Estos aspectos deben garantizar la conservación de la documentación y evitar
que se deteriore.

B. Actualización del archivo

Hoy en día, es necesario establecer unas pautas que las empresas y organizaciones deben
seguir para mantener el contenido de sus archivos actualizado. No hay que mantener
únicamente la documentación legalmente exigida para ahorrar espacio y tiempo en la
búsqueda, sino que también es muy importante tener el archivo al día.

Esta actualización hace referencia, además, a:

Datos empresariales: contactos, empresas proveedoras, clientela…

Información administrativa pública: organismos públicos, instituciones, responsables…

Legislación aplicable a cada entorno empresarial: leyes, reglamentos, directivas…

Para mantener legislativamente al día la empresa, será imprescindible:

Establecer fuentes y bases de datos fiables (BOE, diarios oficiales de las comunidades
autónomas y portales de noticias jurídicas de reconocida reputación).

Aplicar un protocolo de actualización y verificación, estableciendo fechas para la revisión y

actualización.

Inscribirse y darse de alta en los distintos servicios de alerta creados por las
administraciones públicas.

Transmitir y promocionar entre el personal empleado la necesidad de mantener una actitud

activa y de consulta.

C. Seguridad del archivo

Junto al cuidado de las condiciones puramente ambientales del archivo, conviene llamar la
atención también acerca de la forma y condición en las que se accede a los datos, sobre todo si
se trata de archivos tradicionales con documentos en formato papel, puesto que su mal uso
llevará implícito un deterioro importante de dichos documentos.

Las empresas manejan multitud de material documental, con datos de gran importancia
(nombres de clientes, empresas, proveedores, números de cuentas bancarias, direcciones,
documentación jurídica, contratos, datos personales, etc.) que no puede circular sin control.
Por este motivo, es necesario un seguimiento continuo sobre estos documentos y, para
conseguirlo, se han desarrollado diversas normas, recogidas en la LOPD-GDD.

La constante evolución de la sociedad de la información, junto con los cambios tecnológicos

que lleva consigo, ha dado lugar a una legislación específica que estudiaremos a continuación.

Pero, además de lo recogido en la LOPD-GDD y el desarrollo de distintos protocolos y

normas internas en cada empresa, una sencilla y acertada medida para el control del acceso y
del uso de los archivos es el manejo de fichas de control de acceso de los documentos. De esta
forma, se sabe en cualquier momento quién, cuándo, dónde y para qué se ha hecho uso del
correspondiente documento.

D. Protección y conservación del medio ambiente

Si queremos, como ciudadanos, disfrutar de la naturaleza y el medio ambiente, deberemos ser
responsables no solo en nuestros actos personales, sino también en los profesionales.

Con la intención de hacer cumplir la máxima de que el medioambiente es de todos, surgió la

necesidad de legislar el comportamiento empresarial en esta materia. Con esta finalidad se
publicó la Ley 26/2007, de 23 de octubre, de Responsabilidad Medioambiental.

Esta ley hace referencia a:

La responsabilidad que tienen las empresas en sus acciones en materia de medio ambiente.

La obligación de tomar las medidas necesarias en materia de prevención y evitación de

daños en el medio ambiente.

La garantía de cumplir con la reparación de los daños ocasionados por las empresas.

Así pues, las empresas deberán, entre otras muchas acciones:

Alertar de manera inmediata de posibles daños ocasionados al entorno natural.

Desarrollar y elaborar medidas preventivas, evitativas y reparadoras de daños medioambientales.

Restituir el daño ocasionado a la naturaleza.

Poseer una garantía financiera suficiente para respaldar posibles daños medioambientales si
se trabaja con sustancias especialmente peligrosas.

Cada vez es más común ver en los planes de responsabilidad social corporativa (RSC) de las
empresas espacios destacados para sus políticas medioambientales y de cuidado de la naturaleza. Y
es que los ciudadanos cada día estamos más sensibilizados con el cuidado del entorno.

2.La protección de la información

Nuestro estilo de vida, que va más allá de nuestra apariencia o actividad física, se encuentra
reflejado en la huella digital. Nuestra presencia en el entorno on-line (redes sociales, comercio
 web, administraciones públicas digitales, etc.) genera cada vez más interés por parte de las
empresas.

Esta información se emplea para confeccionar campañas publicitarias, promociones y, por

supuesto, para fabricar y vender productos. Es por ello por lo que todos nuestros datos,
incluidos su uso y custodia, deben estar perfectamente controlados.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de

los derechos digitales (LOPD-GDD) es el texto legal que tiene por objeto velar por la
protección de los datos personales, incluidos los entornos digitales.

Ahora veremos los conceptos teóricos más importantes de esta ley y, más adelante, nos
centraremos en su aplicación práctica.

2.1.La LOPD-GDD y su razón de ser

El respeto a nuestra intimidad y el cuidado de nuestros datos personales son principios presentes
en nuestra Constitución, pero no fue hasta 1999 cuando se legisló por primera vez este ámbito
de forma unificada. Una de las novedades más importantes de la actual Ley Orgánica de
Protección de Datos y garantía de los derechos digitales, de 2018, es que otorga el derecho de
acceso, rectificación o supresión a los familiares y herederos de los fallecidos.

La LOPD-GDD tiene por objetivos:

Adaptar el ordenamiento jurídico español al reglamento europeo relativo a la protección de

los datos personales.

Garantizar los derechos digitales de la ciudadanía conforme al mandamiento establecido en

la Constitución española.

El ámbito de aplicación de esta normativa hace referencia a todo aquel tratamiento de datos
manual, automatizado o mixto que exista, salvo las excepciones que la ley contempla.

Toda información sobre una persona física, cuya identidad pueda determinarse,
Datos personales directa o indirectamente como, por ejemplo, un nombre, un número de
identificación…
Cualquier operación o conjunto de operaciones realizadas sobre datos personales o
Tratamiento conjuntos de datos, ya sea por procedimientos automatizados o no. Por ejemplo, el
registro, organización, difusión, adaptación o utilización de datos.
Limitación
La marcada para evitar su tratamiento en el futuro.
del tratamiento
Consentimiento Toda manifestación de voluntad libre, específica, informada e inequívoca por la que
del interesado el interesado acepta el tratamiento de los datos personales que le conciernen.
Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o
Responsable junto con otros, determine los fines y medios del tratamiento de los datos personales.
Por ejemplo, una empresa de comercio on-line.
 Persona física o jurídica, autoridad pública, servicio u otro organismo que trate los
Encargado datos personales por cuenta del responsable del tratamiento. Por ejemplo, un
transportista de un pedido de la compañía responsable del ejemplo anterior.
Persona física propietaria de los datos personales sometidos a tratamiento a los que
Interesado
se hace mención.
Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios
Fichero determinados, ya sea centralizado, descentralizado o repartido de forma funcional o
geográfica.
Autoridad independiente establecida por un Estado, por ejemplo, la Agencia
Autoridad de control
Española de Protección de Datos (AEPD).
Persona física o jurídica, autoridad pública, servicio u otro organismo al que se
Destinatario
comuniquen datos de carácter personal, se trate o no de un tercero.
Persona física o jurídica, autoridad pública, servicio u otro organismo distinto del
Tercero interesado, del responsable, del encargado y de las personas autorizadas para tratar
los datos personales.

Tabla 7.5.Definiciones de los conceptos principales de la LOPD-GDD.

Principios de la LOPD-GDD

En la Tabla 7.6 podemos ver los principios sobre los que se desarrolla la LOPD-GDD.

Debe haber una justificación, suficientemente motivada, para poder llevar a cabo el
Licitud tratamiento. También ha de existir la posibilidad de explicar la norma según la cual se
van a recoger y utilizar los datos personales.
Lealtad El tratamiento de los datos debe respetar los intereses del interesado.
No ocultar información al interesado en relación con el tratamiento de sus datos
Transparencia
personales, comunicando debidamente los fines del tratamiento y archivo de estos.
Los datos deben recogerse con unos fines determinados y legítimos. En el caso de que
Limitación
exista más de una finalidad, tienen que ser compatibles entre sí y han de ser
de la finalidad
debidamente informadas y expuestas al interesado.
Cualquier tratamiento de datos debe contener los datos que sean adecuados, pertinentes
Minimización
y limitados a lo necesario en relación con los fines para los que fueron tratados. No
de los datos
podrán recogerse más datos de los necesarios.
Los datos personales que sean tratados deben ser exactos en el momento en que se
Exactitud tomen y actualizados durante la duración del tratamiento. No pueden ser orientativos o
aproximados.
Es necesario establecer un plazo concreto para el tratamiento de los datos personales, y
Limitación del plazo de
se debe informar del mismo a los interesados en el momento de su recopilación y antes
conservación
de que vayan a ser utilizados.
 La integridad del tratamiento hace referencia a que los responsables o encargados de
Integridad
dicho tratamiento deberán conocer la manera de garantizar la seguridad de este.
Conservación de la privacidad de los datos. La seguridad de esta debe quedar
Confidencialidad documentada, además de la posibilidad de quedar sobreentendida por el secreto
profesional. La confidencialidad de los datos no cesa con la finalización del tratamiento.

Tabla 7.6.Principios de la LOPD-GDD.

A. Derechos de los interesados

En la Tabla 7.7 aparecen resumidos los derechos reconocidos a los interesados (conocidos
como ARSO+).

Posibilidad de acceder a los datos personales y conocer los fines de su tratamiento, los
Acceso destinatarios y el plazo previsto de conservación. Previamente se debe haber recibido la
confirmación de que existe una autorización por parte del interesado.
Los interesados tienen el derecho a corregir y rectificar los datos personales. Es,
Rectificación además, una obligación de los responsables y encargados de acuerdo con el principio de
exactitud.
Anteriormente este derecho era conocido como el «derecho de cancelación». Se trata de
la posibilidad de eliminar totalmente los datos por parte del interesado, haciendo
desaparecer cualquier posibilidad de identificarle por parte del responsable.
Supresión
Podemos incluir aquí el derecho al olvido en búsquedas de Internet y en servicios de
redes sociales y similares.
Posibilidad de que el interesado no desee que sus datos se sigan tratando para
determinadas actividades, sin que ello suponga que quiere ejercer su derecho de
Oposición supresión. Por ejemplo, no nos negamos a estar en un listado de clientes, pero no
queremos que esa información se utilice para recibir promociones y sí para otros
tratamientos.
El tratamiento de los datos tiene límites, que pueden ser los marcados por la finalidad de
Limitación del tratamiento
este o por el tiempo en que pueden ser conservados.
Los interesados tienen derecho a exigir que se les entreguen sus datos personales en un
Portabilidad formato estructurado y de uso común, o a que le sean facilitados a otro encargado o
responsable.

Tabla 7.7.Derechos de los interesados (ARSO+).

B. Medidas de seguridad en el tratamiento de los datos de carácter

personal
La información se ha convertido en un activo más de la empresa y, como tal, debe entenderse su
protección y seguridad. Al principio, esta información circulaba en papel, pero cada vez es más
frecuente recogerla en otros soportes. No obstante, en cualquiera de ellos deben cumplirse las
premisas de seguridad.

Básicamente manejamos dos tipos de medidas de seguridad:

Medidas organizativas: encaminadas a determinar los procedimientos y formas de actuación

que permitan controlar los datos de terceras personas, reduciendo así los riesgos de un mal
uso (sensibilizar, formar y concienciar al personal de la organización).

Medidas técnicas: dirigidas a las herramientas e instrumentos destinados a evitar la

modificación, pérdida o robo de los datos existentes y a aportar soluciones de control,
prevención y reacción efectivas.

Entre otras muchas medidas técnicas y organizativas, encontramos:

Realizar la seudonimización y cifrado de datos personales de forma rápida.

Poder garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente en los

sistemas y servicios de tratamiento (sistemas de accesos seguros, con políticas de protección y
mecanismos fiables).

Capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida

en caso de incidente físico o técnico (medidas de alerta eficaces).

Procesos de verificación, evaluación y valoración que ayuden a garantizar la seguridad del

tratamiento.

Revisar y actualizar las medidas conforme a sus necesidades.

Reducir al máximo el tratamiento de los datos personales, así como disminuir su volumen.

Dar transparencia al tratamiento de los datos, permitiendo a los interesados supervisarlo.

Unirse a códigos de conducta y mecanismos de certificación legalmente establecidos.

C. Garantía de los derechos digitales

La garantía de los derechos digitales ha adquirido tal importancia que ha pasado a formar parte del
mismo nombre de la ley (Ley Orgánica de Protección de Datos y garantía de los derechos
digitales) y ocupar un título específico (título X).

Internet es ya una realidad totalmente presente en el día a día de las personas y las sociedades.
Prácticamente nuestra vida diaria gira en torno a la red o pasa por ella, desde los aspectos personales,
pasando por los económicos o profesionales, hasta las relaciones con las administraciones públicas.
Por este motivo, está más que justificada la existencia de este apartado en la ley.

El objetivo de la LOPD-GDD en este ámbito es el de «fomentar políticas que hagan efectivos

los derechos de la ciudadanía en Internet promoviendo la igualdad de los ciudadanos y de los
grupos en los que se integran, y poder ejercer los derechos fundamentales en la realidad
digital».
 Los derechos digitales expresados en la ley son, entre otros:

Derecho de acceso universal a Internet.

Derecho a la seguridad digital.

Derecho a la educación digital.

Derecho a la rectificación en Internet.

Derecho a la actualización de informaciones en medios de comunicación digitales.

Derecho al olvido en Internet, redes sociales y servicios equivalentes.

Derecho al testamento digital.

Además, la citada ley hace mención a derechos especialmente dirigidos a grupos de la

población como son los menores (derecho a la protección de los menores en Internet) o al
ámbito del trabajo (derecho a la desconexión digital en el ámbito laboral).

3. La Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos (AEPD) es una autoridad administrativa
independiente de ámbito estatal con personalidad jurídica, que actúa con plena independencia
de los poderes públicos en el ejercicio de sus funciones.

La AEPD constituye la autoridad de control que el Reglamento General de Protección de Datos

(RGPD) determina que deben establecer los estados miembros a efectos de supervisar su
aplicación, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas
en lo que respecta al tratamiento de sus datos personales.

3.1.Funciones y poderes
Las funciones de la AEPD van encaminadas a un mismo fin: velar por una correcta aplicación de la
normativa vigente, dirigida a proteger los derechos de los ciudadanos en materia de sus datos
personales.

En relación con las Controlar la aplicación del Reglamento General de Protección de Datos y el resto de la normativa
normas y su de protección de datos, así como proceder a que se aplique.
correcta aplicación
Cooperar, en particular, compartiendo información con otras autoridades de control y prestar
asistencia mutua.
Llevar a cabo investigaciones sobre la aplicación de la normativa vigente.
Elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la
protección de datos.
 Fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y
marcas de protección de datos.
Llevar a cabo, si procede, una revisión periódica de las certificaciones expedidas.
Elaborar y publicar los criterios para la acreditación de organismos de supervisión de los códigos
de conducta.
Efectuar la acreditación de organismos de supervisión de los códigos de conducta y de organismos
de certificación.
Llevar registros internos de las infracciones del presente reglamento y de las medidas adoptadas.
Previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus
derechos y, en su caso, cooperar a tal fin con las autoridades de control.
En relación con los
interesados Tratar las reclamaciones presentadas por un interesado o por un organismo, organización o
asociación, e investigar, en la medida oportuna, el motivo de la reclamación e informar al
reclamante sobre el curso y el resultado de la investigación en un plazo razonable.
Promover la sensibilización de los responsables y encargados del tratamiento acerca de las
obligaciones que les incumben.
Promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y
derechos en relación con el tratamiento. Especialmente las relacionadas con menores y niños.
Hacer un seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la
protección de datos personales, en particular, el desarrollo de las tecnologías de la información y
En relación con la la comunicación y las prácticas comerciales.
sociedad Asesorar, con arreglo al derecho de los estados miembros, al Parlamento nacional, al Gobierno y a
otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la
protección de los derechos y libertades de las personas físicas con respecto al tratamiento.
Ofrecer asesoramiento sobre las operaciones de tratamiento.

Alentar la elaboración de códigos de conducta y dictaminar y aprobar los códigos de conducta que
den suficientes garantías.

Fig. 7.8.Funciones de la AEPD.

Además de las funciones expuestas, la AEPD goza de poderes suficientes para investigar si se
cumplen correctamente las normas, corregir aquellas acciones inadecuadas y autorizar la consulta
de determinados datos; también es un órgano consultivo en materia de protección de datos.

3.2. Derechos y deberes de la ciudadanía y las empresas

Los ciudadanos y ciudadanas tenemos unos derechos en materia de protección de datos que
debemos conocer y hacer valer. En la Tabla 7.9 se exponen algunos de estos derechos.
 Antes de interponer una reclamación sobre derechos, debemos
dirigirnos primero a su responsable. Si no nos responden en el
plazo establecido o si se considera que la respuesta no ha sido
Protege tus adecuada, se puede interponer una reclamación en la AEPD.
derechos Si se tienen pruebas o indicios de un incumplimiento o infracción
de la normativa de protección de datos que afecte al tratamiento
Acceso, de nuestros datos personales, podemos presentar una reclamación
rectificación, ante la Agencia aportando dichos documentos.
limitación,
oposición, Cuando la AEPD no sea competente para investigar una
supresión denuncia, intentará orientar sobre el órgano al que dirigirse.
—«derecho al
Si se nos ha incluido en un tratamiento de datos, para que la
olvido»—,
AEPD pueda intervenir, se deben ejercer primero los derechos de
portabilidad.
acceso, rectificación o supresión ante el responsable del citado
tratamiento, para obtener así pruebas de nuestra inclusión o
acreditar que no se ha procedido a rectificar o suprimir nuestros
datos.

Tabla 7.9.Recomendaciones de la AEPD para proteger los derechos de los ciudadanos

(Fuente: AEPD).

Pero la AEPD, además de velar por nuestros derechos como ciudadanos, también nos puede ser
útil como posibles responsables o encargados de los datos, ya sea asesorando u orientándonos en
nuestro trabajo.

Si vamos a tratar datos personales en el desarrollo de una

actividad profesional o empresarial, y el riesgo del
tratamiento de estos datos es bajo, la AEPD nos ofrece la
posibilidad de utilizar la herramienta FACILITA_RGPD
que nos ayudará a adecuar la legislación vigente. Es una
herramienta de ayuda que no garantiza el pleno
Asesoramiento cumplimiento del RGPD.

Asesora y orienta en la La AEPD publica guías específicas además de

correcta implantación de documentos sobre los aspectos más importantes
la LOPD-GDD y en un relacionados con la protección de los datos personales y
adecuado tratamiento de su correcto tratamiento.
los datos personales a los Es importante saber que si vamos a realizar una
que tienes acceso. transferencia internacional de datos a un país que no
ofrece un nivel adecuado de protección podemos pedir
orientación a la AEPD.
La AEPD puede guiar en la elaboración y la
implantación de unos necesarios códigos de conducta en
el ámbito de la protección de datos.

Tabla 7.10.Funciones de la AEPD (Fuente: AEPD).

 3.3.Herramientas y recursos disponibles en la AEPD
La AEPD atiende tanto a ciudadanos como a empresas. A la ciudadanía la enseña y ayuda a ejercer
sus derechos en relación con sus datos personales, y a las empresas las orienta en la correcta
aplicación de la LOPD-GDD y el adecuado tratamiento de los datos personales de las personas
físicas. La AEPD resuelve también las dudas en cuanto al uso de datos personales por parte de
terceras personas.

La ciudadanía y las organizaciones, si perciben o sufren el incumplimiento de la ley, deben

realizar la labor de denuncia.

Como ciudadanos y ciudadanas interesados, para ejercer los derechos sobre nuestros datos
(acceso, rectificación, supresión, oposición, limitación y portabilidad) y el derecho de
denuncia, disponemos de un canal de comunicación con la AEPD.

3.4.Papel sancionador de la AEPD

La actual LOPD-GDD ha incrementado los instrumentos para llegar a soluciones
consensuadas y amistosas en casos de incumplimiento de las medidas de seguridad o de los
acuerdos establecidos en el tratamiento de los datos personales y en los derechos de los
interesados.

Cuando no sea posible llegar a una solución acordada entre las partes (interesado y responsable),
entonces se puede recurrir a la AEPD para que tome parte en el conflicto. Para ello, antes
deberemos haber intentado ejercer nuestros derechos directamente ante la entidad responsable.

La AEPD tiene múltiples funciones, como ya hemos visto con anterioridad. De todas ellas, en
este apartado nos referiremos a su papel sancionador.

Los responsables de los ficheros y los encargados de tratar sus datos estarán sujetos al régimen
sancionador de esta entidad. En la Tabla 7.11 podemos ver los distintos tipos de infracciones y
sanciones, según establecen la LOPD-GDD y el RGPD. No obstante, las multas se impondrán en
función de cada caso individual con arreglo a lo determinado en la legislación vigente.

Las sanciones que impone la LOPD-GDD se ordenan atendiendo a la naturaleza de los

derechos personales a los que afecta, al volumen de los tratamientos, a los beneficios que se
hayan podido obtener, a la intencionalidad, a la reincidencia, a los daños y perjuicios causados
a los interesados y a cualquier otra circunstancia que se considere relevante.

Infracción Sanción Ejemplo

Leve Desde amonestaciones y apercibimientos
sin sanción económica hasta sanciones de
diez millones de euros.
Incumplir el principio de transparencia de la
información.
No atender a los derechos de los interesados
(ARSO+).

No informar al afectado cuando lo haya


Multas administrativas de diez millones
de euros como máximo, o cuantías
Grave
equivalentes al 2 % del volumen de
negocio total anual.
Multas administrativas de veinte millones
de euros como máximo, o cuantías
Muy grave
equivalentes al 4 % del volumen de
negocio total anual.
Tabla 7.11.Tipos de infracciones y sanciones.
4 .Adaptación de la empresa a la LOPD-GDD
Una correcta adecuación a la LOPD-GDD requiere, para obtener resultados, un estudio
pormenorizado de la entidad, los tipos de tratamientos que se realizan, los sistemas informáticos y
los sistemas de gestión documental, además de un programa formativo para los empleados de la
entidad.
A. Principio de proactividad
La adaptación o implantación de la LOPD-GDD en la empresa debe responder, por lo menos,
a las siguientes preguntas:
solicitado.
Incumplimiento por parte del encargado de sus
obligaciones.
Tratamiento de datos de un menor recabados
sin consentimiento.
No realizar los esfuerzos necesarios para verificar
la validez del consentimiento.
Falta de adopción de medidas técnicas y
organizativas necesarias para la efectiva
protección de datos.
Incumplimiento de nombrar responsable o
encargado de tratamiento de datos, cuando la
norma así lo requiera.
Tratamiento de datos personales para una
finalidad diferente a la pactada o se incumplan
los principios que permitan su tratamiento.
Omisión del deber de correcta información al
afectado.
Exigencia de un pago para poder acceder a los
datos propios almacenados.
Transferencia internacional de información sin
garantías.
La reincidencia en cualquiera de las
infracciones recogidas para los niveles de
infracción anteriores.
Estas preguntas se formularán en una primera fase de estudio de la organización, y de sus
respuestas podremos establecer las pautas que deberá seguir nuestro trabajo.

4.1.Elaboración de un plan de adaptación de la LOPD-

GDD
Para aplicar correctamente la LOPD-GDD en el ámbito de la empresa es importante elaborar un
plan. En este apartado veremos los pasos principales a seguir.

A. Estudio de la empresa
Al principio se deben detallar todos los datos de los que se hace uso: datos del personal, de los
proveedores, de los acreedores, accionistas y, finalmente, de la clientela y terceras personas.
Además, se diferenciará, de entre toda la información disponible, aquella que afecta a los datos
personales de las personas y que se van a tratar.

Una correcta aplicación de la LOPD-GDD irá dirigida a verificar que este tratamiento se realiza de
un modo adecuado.

Una de las formas más eficaces y sencillas de cumplir con los principios de la ley es mediante el
consentimiento para el tratamiento por parte del interesado. Es decir, tras informar al interesado de todo
lo referente al tratamiento de sus datos personales, se pedirá que nos otorgue su consentimiento explícito.

B. Redacción de los textos legales

Realizada la primera fase, es el momento de lanzarse con los textos legales que debemos
elaborar para:

Informar a los interesados del uso y tratamiento que se hace de sus datos personales.

Recabar los consentimientos expresos.

De este modo, distinguiremos dos tipos de textos: los textos públicos o generales y los textos
privados o específicos.

Públicos o generales Privados o específicos

Carteles informativos del tratamiento de los Modelos de documentos para los
datos. consentimientos expresos.
 Carteles informativos sobre el uso de cámaras
de vigilancia.
Documentos laborales.
Formularios.

Coletillas de facturas y correos.

Tabla 7.12.Tipos de textos legales.

C. Documentar el plan de adaptación

Elaboraremos un documento, en formato formulario o tabla, que nos permitirá realizar el seguimiento al
proceso de adaptación a la LOPD-GDD. Se trata de un archivo informativo que ha de servir como guion
de la correcta adaptación de nuestra empresa a la nueva realidad en materia de protección de datos.

Aunque por sí solo no será suficiente, ya que este documento deberá estar respaldado por la correcta
realización de las acciones que aparecen reflejadas en él y, además, deberán ir acompañadas de
informes que las confirman.

Así pues, elaboraremos un documento similar al siguiente:

RECOPILACIÓN DURACIÓN DEL

DE LOS DATOS TRATAMIENTO

Formulario de contacto Menos de un año

Formulario de contacto
Más de un año
on-line

Registro Indefinido

Documento comercial (facturas,

recibos…)

Entregados por el interesado FINES/USO/TRATAMIENTO DE

Mediante organismo público LA INFORMACIÓN

Mediante empresa privada Servicio contratado

Otros medios Contabilidad

Facturación

ALMACENAMIENTO Campañas publicitarias

Equipos informáticos Creación de perfiles

Papel Investigación y análisis

Sistema mixto de archivo

CESIÓN DE LA INFORMACIÓN

TIPOLOGÍA
Cesiones a empresas del grupo
DE LOS DATOS

Datos básicos Cesiones a otras empresas

Datos protegidos Cesiones a administracionesy

Datos especialmente protegidos organismos públicos

Transferencias internacionales

MEDIDAS DE PROTECCIÓN

Medidas técnicas DESTRUCCIÓN

Medidas organizativas Se destruye en el plazo marcado

Descripción de las medidas legalmente

Se destruye en el plazo acordado

con el interesado
PERSONAL DE ACCESO
A LA INFORMACIÓN

Usuarios internos DATOS DE LA EMPRESA

Usuarios externos

Personal autorizado

Delegados

Tabla 7.13.Información que debe recoger el plan de adaptación a la LOPD-GDD de una

empresa.

4.2. Registro interno del tratamiento de los datos

Este documento siempre es recomendable y puede realizarse de forma similar al plan de
adaptación anterior, pero deberá contener determinados aspectos en función del papel de la entidad
(responsable del tratamiento o encargado del tratamiento).

Puesto que no va a manejar las mismas categorías de datos un despacho de abogados que una
ferretería, conocer la tipología de los datos será más sencillo si conocemos el tipo de negocio.
Como regla general, lo más común será que se trate con datos básicos (nombre, apellidos, correo
electrónico…) y, de forma ocasional, es posible que añadamos otros como el DNI o la foto del
interesado. Incluso es posible que tratemos datos un poco más especiales como los números de
cuentas bancarias o de tarjetas de crédito. En el caso de que fuera así, deberemos tenerlo en cuenta
a la hora de aplicar medidas de seguridad mucho más restrictivas que para el resto de los datos.

Una vez que tengamos identificados los datos de carácter personal que vamos a tratar, el siguiente
paso que deberemos realizar en este apartado del registro interno, y previo al tratamiento de los
datos, será el de agrupar los datos por categorías, asignarles una finalidad concreta y confeccionar
un tratamiento concreto con respecto a cada una de sus finalidades. Deberemos añadir tantos
tratamientos como finalidades persigamos con los datos de los interesados.

4.3. Establecer las medidas de seguridad oportunas

Las medidas de seguridad que adoptemos deberán adaptarse a los riesgos que se puedan
correr, y a la necesidad o no de nombrar a un delegado.

A. Análisis de los riesgos

Un buen registro interno nos permitirá conocer los tratamientos que pretende llevar a cabo la
empresa y, en consecuencia, los riesgos más comunes en los que debemos fijar nuestra atención.

Un buen análisis de riesgos empieza por contextualizar el entorno del riesgo, conocer la
evolución de los datos y su tratamiento, desde que son capturados hasta que los destruimos. Y
para ello, es muy útil haber trabajado aspectos como la recopilación de los
datos, su tipología, el almacenamiento, los usos, fines y tratamientos de los datos, así como
su destrucción.

Si hemos realizado un buen plan de aplicación, ya deberíamos disponer de todos estos datos, y
en consecuencia intuir sus principales debilidades.

Tipología del riesgo Riesgo Medidas de seguridad

Asignar los usuarios en red
Confidencialidad Acceso no autorizado
Controlar el acceso

Tabla 7.14.Principales debilidades de un plan de aplicación.

B. Nombramiento del delegado (si es necesario)

La figura del delegado de protección de datos (DPD) ha ganado importancia con la evolución
de las normativas, llegando al punto de ser obligatorio en algunos casos, como:

Colegios profesionales.

Centros docentes, universidades públicas y privadas.

Entidades que exploten redes y presten servicios de comunicaciones electrónicas cuando

traten habitual y sistemáticamente datos personales a gran escala.
C. Establecer medidas
En todas las entidades que actúen como operadores en el tratamiento de los datos personales, ha de
primar una actitud proactiva, de modo que puedan adelantarse a las amenazas. Y aunque la LOPD-
GDD no establece medidas concretas, el Reglamento sí nos ofrece algo parecido a un listado:

La seudonimización y el cifrado de datos personales.

La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia

permanentes de los sistemas y servicios de tratamiento.

La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma

rápida en caso de incidente.

Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas

técnicas y organizativas para garantizar la seguridad del tratamiento.

Por otra parte, si se produjera la violación de la seguridad, deberemos notificarla a los

interesados y a la AEPD.

D. Motivar, implicar, formar y concienciar al personal

Es fundamental que la plantilla de cualquier organización sea conocedora de la importancia
que para la empresa tienen los datos y su correcto tratamiento.

La implicación debe partir de los responsables de la organización, y ha de ser correctamente

transmitida al resto de la entidad por medio del delegado de protección de datos (cuando así se
requiera). Al mismo tiempo, las empresas deberán realizar serios esfuerzos en formar, técnica y
legalmente, a sus empleados en las competencias digitales y de tratamiento de datos. formación
que les hará conocedores de las obligaciones y deberes que están en juego a la hora de trabajar
con datos personales.

4.4. Auditar y revisar

Por último, las empresas deberán establecer mecanismos de revisión y auditoría periódica de
los datos personales, lo que permitirá:

Comprobar el tiempo de permanencia de los datos en la empresa y proceder a su

eliminación cuando corresponda.

Garantizar la confidencialidad, integridad y disponibilidad permanente de los sistemas y

servicios de tratamiento.

Actualizar los sellos y certificaciones de que disponga en materia de protección de datos.

Tomar medidas para garantizar un acceso seguro a los datos personales.

Las verificaciones y auditorías se pueden realizar de manera interna, pero también es posible que
se produzcan de oficio por parte de las autoridades competentes (AEPD). Estas últimas pueden
 realizar auditorías preventivas de empresas o sectores de actividad concretos, y dictar directrices
generales o específicas de obligado cumplimiento por parte de las empresas.

5. Firma y certificado electrónico

Gracias a su gran utilidad, la firma digital, la firma electrónica y el certificado electrónico son
actualmente los recursos más empleados en las relaciones personales y empresariales con las
administraciones.

5.1. Firma digital y firma electrónica

Aunque suelen confundirse los conceptos de firma digital y firma electrónica, es necesario tener
clara la diferencia que existe entre ambos.

La firma digital es un sistema criptográfico que asocia la identidad de una persona (u

organización) al mensaje o documento al que acompaña.

En función del tipo de firma digital, puede, además, asegurar la integridad del documento o
mensaje y garantizar al destinatario que el mensaje fue creado por el remitente y no fue
alterado durante la transmisión.

La firma digital se utiliza de forma frecuente en transacciones financieras y en otras áreas

donde es crucial prevenir la falsificación y la manipulación.

La firma electrónica es el conjunto de datos relativos a una persona (u organización)

consignados en forma electrónica, y que pueden ser utilizados como medio de identificación
del firmante.

La firma electrónica tiene una naturaleza legal que le confiere un marco normativo propio, lo
que le da una validez legal que la firma digital no tiene.

Mientras la firma digital garantiza la veracidad de una información, la firma electrónica puede
vincularse a un documento y de esta forma identificar al autor, señalar conformidad (o
disconformidad) con su contenido y garantizar que este no se pueda modificar. Además, para
hacerla aún más segura, la firma electrónica se asocia a un certificado electrónico emitido por una
autoridad de certificación que garantiza su autenticidad.

Firmar digitalmente se ha convertido, gracias al avance de las aplicaciones informáticas, en un

gesto muy sencillo, que facilita las relaciones profesionales y aporta confianza y seguridad.

5.2.Certificado electrónico
Un certificado electrónico es un documento firmado electrónicamente por una autoridad de
certificación, que permite garantizar legal y técnicamente la identidad de cada usuario de Internet.
El certificado electrónico permite la firma electrónica, dándole un entorno seguro a las
comunicaciones al garantizar la autenticidad de esta.

Es la herramienta básica para realizar gestiones desde un ordenador sin necesidad de desplazarnos
al lugar en el que tendríamos que entregar el documento requerido. Es, además, un requisito
obligatorio para poder hacer uso de algunos servicios que las administraciones públicas nos
ofrecen.

Es muy importante que el titular del certificado mantenga este a buen recaudo, así como su clave
privada, ya que, si esta fuera sustraída, se podría suplantar la identidad del titular en la red.

5.3.Autoridades de certificación
La autoridad de certificación (AC) es una entidad reconocida legalmente con capacidad para emitir
y revocar los certificados que acompañan a las firmas electrónicas. Esta autoridad da validez legal
y temporal a la relación entre la identidad de un usuario y su clave pública (firma electrónica)
frente a terceras personas que confían en los certificados que emite.

El principal prestador de servicios de certificación de firma electrónica es CERES

(Certificación Española), dependiente de la Fábrica Nacional de Moneda y Timbre y que
utilizaremos en el siguiente caso práctico. Existen también otras entidades que realizan estos
servicios, como el Ministerio de Defensa, el Banco de España, la Agencia Tributaria, o la Dirección
General de la Policía y la Guardia Civil.

Se puede comprobar si un certificado emitido por uno de estos prestadores es admitido en los
trámites con la Administración Pública en el Servicio de Validación de Firmas y Certificados On-line
(VALIDe). Este portal permite la validación de certificados y de firma electrónica de los principales
prestadores de nuestro país.