Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Los datos y la información que contienen (ya sea en formato digital o físico) deben ser
guardados correctamente para poder recuperarlos con la mayor rapidez en el momento en que
sean necesarios. A esto es a lo que llamaremos «archivar».
Un archivo es el conjunto ordenado de documentos que una persona, una sociedad, una
institución o cualquier tipo de organización produce en el ejercicio de sus funciones o
actividades. El término también puede hacer referencia al espacio físico en el que se ubican
los documentos.
Para realizar esta labor con rapidez, es importante adquirir algunos conocimientos teóricos y
prácticos, ideas sencillas que puedan aplicarse rápidamente en la mayoría de nuestras
situaciones cotidianas. En consecuencia, debemos tener un sistema adecuado de selección,
ordenación y protección que, además, nos permita archivar los documentos en soporte
informático.
Un archivo ha de ser tan sencillo de manejar que cualquier persona que necesite la
información depositada en él la pueda encontrar de forma rápida y sencilla.
A. Importancia de la información
No toda la información que se recibe en una empresa debe ser almacenada o guardada. Debemos ser
selectivos y capaces de pasar un primer filtro al recibir un correo electrónico, una carta, un
documento. Hay que saber distinguir lo que es útil de lo poco relevante, para evitar la acumulación de
documentación innecesaria que pueda dificultar nuestro trabajo más adelante. Existen instrumentos
que nos pueden ayudar a ello, como por ejemplo agendas, blocs de notas, tablones de anuncios, etc.
Para clasificar como útil un documento, hemos de seguir unas pautas. En la Figura 7.1
podemos observar un diagrama con una serie de preguntas clave, que nos ayudarán a valorar
la utilidad del documento y a decidir sobre él.
Unas normas que permitan a cualquier empleado hacer uso del archivo (lo que no quiere decir
que cualquier trabajador pueda acceder a él, sino únicamente las personas autorizadas).
A. Clases de archivos
Existen diversos criterios para clasificar los archivos que podemos encontrar: el tipo de
documentos, las personas que tengan acceso, la importancia de la información, la procedencia
de los datos, etc. Aunque los más importantes son el de la frecuencia de uso y el lugar.
En la Tabla 7.1 podemos ver las clases o tipos de archivos, según la frecuencia de uso.
En la Tabla 7.2 podemos ver las clases de archivos si tenemos en cuenta el lugar donde se
guardan los documentos y su grado de autonomía.
Los archivos de
los proyectos de
un departamento
de la empresa.
el número de peticiones y desplazamientos, ahorrar tiempo.
Los archivos de
facturas o
presupuestos que
manejan
diariamente los
administrativos de
una empresa.
Categoría.
Autores.
Los sistemas más frecuentes usados en el entorno empresarial para ordenar la documentación son:
Alfabético.
Numérico.
Alfanumérico.
Geográfico.
Cronológico.
Ordenación alfabética
Cuando aquello que queremos ordenar está formado por más de una palabra, elegiremos una
palabra de referencia (la más oportuna) y aplicaremos el alfabeto para su ordenación. El
mismo procedimiento se seguirá para cada una de las letras que formen la palabra, de tal
manera que si dos palabras comienzan por la misma letra, será la segunda letra la que
determine el orden.
Ordenación numérica
Ese número puede ser una parte del mismo documento —como sería el número de factura,
recibo o cheque— o puede ser asignado por el gestor del archivo atendiendo a un criterio
inicial determinado por el responsable.
Los gestores del archivo determinarán inicialmente el sentido numérico, aunque por norma general
se hace de menor a mayor o al revés.
Por ejemplo, las facturas de aquello que se consume cada día —como los suministros— se
archivarán de forma correlativa siguiendo el orden en que llegan a la empresa.
Cuando seamos los encargados de numerar los documentos, deberemos seguir un orden y
asignar inicialmente un número a cada documento.
Ordenación alfanumérica
Este sistema es muy útil en aquellas empresas en las que la información y la documentación
que se maneja combina cifras y letras, dificultando el uso de una de ellas de manera exclusiva.
Es muy eficaz e intuitivo, al tratarse de la combinación de los sistemas más comunes.
Aunque la mayoría de los archivos comienzan siendo alfabéticos, llega un momento en que el
gran volumen de documentación complica mucho mantener este criterio y se suele optar
finalmente por la ordenación alfanumérica porque combina distintas formas de ordenación.
En la Figura 7.2 recogemos un procedimiento que puede seguirse para archivar documentación.
En cualquier caso, para realizar una buena labor de archivo, conviene seguir los diez consejos
que se resumen
en la Tabla 7.3.
B. Equipamiento de archivo
El equipamiento de archivo está compuesto por todos los dispositivos físicos (ordenadores,
armarios, etc.) que permiten tener almacenada y ordenada la información. La elección de los
equipamientos de archivo es importante y debe responder a aspectos como:
La forma de uso.
Ambos archivos plantean ventajas e inconvenientes, pero debe ser la empresa la que
determine el más conveniente. Aunque los sistemas informáticos han avanzado mucho, la
mayor parte de las empresas prefieren combinar los dos.
Determinar el protocolo a seguir para la salida de documentos, ya sea para su cesión o eliminación.
Ya sabemos que los documentos se conservan y la empresa no los elimina debido a su valor,
ya sea legal, informativo o de organización. Pero ¿cuánto tiempo se deben conservar? Lo
primero es advertir una máxima: los documentos se conservarán durante el tiempo necesario
para sus finalidades. Por ello, no deberemos tener más documentos que los indispensables ni
custodiarlos más tiempo del necesario.
Ante esta duda temporal, muchas organizaciones optan por conservar los documentos hasta el
momento en que vencen los plazos de prescripción de las obligaciones que tienen asociados, y
otras optan por aplicar el Código de Comercio, que señala que los documentos deberán
conservarse durante seis años. A modo orientativo, y como ayuda práctica, proponemos en la
Tabla 7.4 cierta información al respecto.
Documentos Plazos
Para ello, habrá que seguir una serie de pautas para la correcta conservación física de los
documentos, teniendo en cuenta aspectos como la temperatura, la humedad, la limpieza o la
ubicación de los espacios en los cuales van a permanecer los documentos, archivos o equipos
informáticos. Estos aspectos deben garantizar la conservación de la documentación y evitar
que se deteriore.
Establecer fuentes y bases de datos fiables (BOE, diarios oficiales de las comunidades
autónomas y portales de noticias jurídicas de reconocida reputación).
Inscribirse y darse de alta en los distintos servicios de alerta creados por las
administraciones públicas.
Las empresas manejan multitud de material documental, con datos de gran importancia
(nombres de clientes, empresas, proveedores, números de cuentas bancarias, direcciones,
documentación jurídica, contratos, datos personales, etc.) que no puede circular sin control.
Por este motivo, es necesario un seguimiento continuo sobre estos documentos y, para
conseguirlo, se han desarrollado diversas normas, recogidas en la LOPD-GDD.
La responsabilidad que tienen las empresas en sus acciones en materia de medio ambiente.
La garantía de cumplir con la reparación de los daños ocasionados por las empresas.
Poseer una garantía financiera suficiente para respaldar posibles daños medioambientales si
se trabaja con sustancias especialmente peligrosas.
Cada vez es más común ver en los planes de responsabilidad social corporativa (RSC) de las
empresas espacios destacados para sus políticas medioambientales y de cuidado de la naturaleza. Y
es que los ciudadanos cada día estamos más sensibilizados con el cuidado del entorno.
Ahora veremos los conceptos teóricos más importantes de esta ley y, más adelante, nos
centraremos en su aplicación práctica.
El ámbito de aplicación de esta normativa hace referencia a todo aquel tratamiento de datos
manual, automatizado o mixto que exista, salvo las excepciones que la ley contempla.
Toda información sobre una persona física, cuya identidad pueda determinarse,
Datos personales directa o indirectamente como, por ejemplo, un nombre, un número de
identificación…
Cualquier operación o conjunto de operaciones realizadas sobre datos personales o
Tratamiento conjuntos de datos, ya sea por procedimientos automatizados o no. Por ejemplo, el
registro, organización, difusión, adaptación o utilización de datos.
Limitación
La marcada para evitar su tratamiento en el futuro.
del tratamiento
Consentimiento Toda manifestación de voluntad libre, específica, informada e inequívoca por la que
del interesado el interesado acepta el tratamiento de los datos personales que le conciernen.
Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o
Responsable junto con otros, determine los fines y medios del tratamiento de los datos personales.
Por ejemplo, una empresa de comercio on-line.
Persona física o jurídica, autoridad pública, servicio u otro organismo que trate los
Encargado datos personales por cuenta del responsable del tratamiento. Por ejemplo, un
transportista de un pedido de la compañía responsable del ejemplo anterior.
Persona física propietaria de los datos personales sometidos a tratamiento a los que
Interesado
se hace mención.
Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios
Fichero determinados, ya sea centralizado, descentralizado o repartido de forma funcional o
geográfica.
Autoridad independiente establecida por un Estado, por ejemplo, la Agencia
Autoridad de control
Española de Protección de Datos (AEPD).
Persona física o jurídica, autoridad pública, servicio u otro organismo al que se
Destinatario
comuniquen datos de carácter personal, se trate o no de un tercero.
Persona física o jurídica, autoridad pública, servicio u otro organismo distinto del
Tercero interesado, del responsable, del encargado y de las personas autorizadas para tratar
los datos personales.
Principios de la LOPD-GDD
En la Tabla 7.6 podemos ver los principios sobre los que se desarrolla la LOPD-GDD.
Debe haber una justificación, suficientemente motivada, para poder llevar a cabo el
Licitud tratamiento. También ha de existir la posibilidad de explicar la norma según la cual se
van a recoger y utilizar los datos personales.
Lealtad El tratamiento de los datos debe respetar los intereses del interesado.
No ocultar información al interesado en relación con el tratamiento de sus datos
Transparencia
personales, comunicando debidamente los fines del tratamiento y archivo de estos.
Los datos deben recogerse con unos fines determinados y legítimos. En el caso de que
Limitación
exista más de una finalidad, tienen que ser compatibles entre sí y han de ser
de la finalidad
debidamente informadas y expuestas al interesado.
Cualquier tratamiento de datos debe contener los datos que sean adecuados, pertinentes
Minimización
y limitados a lo necesario en relación con los fines para los que fueron tratados. No
de los datos
podrán recogerse más datos de los necesarios.
Los datos personales que sean tratados deben ser exactos en el momento en que se
Exactitud tomen y actualizados durante la duración del tratamiento. No pueden ser orientativos o
aproximados.
Es necesario establecer un plazo concreto para el tratamiento de los datos personales, y
Limitación del plazo de
se debe informar del mismo a los interesados en el momento de su recopilación y antes
conservación
de que vayan a ser utilizados.
La integridad del tratamiento hace referencia a que los responsables o encargados de
Integridad
dicho tratamiento deberán conocer la manera de garantizar la seguridad de este.
Conservación de la privacidad de los datos. La seguridad de esta debe quedar
Confidencialidad documentada, además de la posibilidad de quedar sobreentendida por el secreto
profesional. La confidencialidad de los datos no cesa con la finalización del tratamiento.
Posibilidad de acceder a los datos personales y conocer los fines de su tratamiento, los
Acceso destinatarios y el plazo previsto de conservación. Previamente se debe haber recibido la
confirmación de que existe una autorización por parte del interesado.
Los interesados tienen el derecho a corregir y rectificar los datos personales. Es,
Rectificación además, una obligación de los responsables y encargados de acuerdo con el principio de
exactitud.
Anteriormente este derecho era conocido como el «derecho de cancelación». Se trata de
la posibilidad de eliminar totalmente los datos por parte del interesado, haciendo
desaparecer cualquier posibilidad de identificarle por parte del responsable.
Supresión
Podemos incluir aquí el derecho al olvido en búsquedas de Internet y en servicios de
redes sociales y similares.
Posibilidad de que el interesado no desee que sus datos se sigan tratando para
determinadas actividades, sin que ello suponga que quiere ejercer su derecho de
Oposición supresión. Por ejemplo, no nos negamos a estar en un listado de clientes, pero no
queremos que esa información se utilice para recibir promociones y sí para otros
tratamientos.
El tratamiento de los datos tiene límites, que pueden ser los marcados por la finalidad de
Limitación del tratamiento
este o por el tiempo en que pueden ser conservados.
Los interesados tienen derecho a exigir que se les entreguen sus datos personales en un
Portabilidad formato estructurado y de uso común, o a que le sean facilitados a otro encargado o
responsable.
Reducir al máximo el tratamiento de los datos personales, así como disminuir su volumen.
Internet es ya una realidad totalmente presente en el día a día de las personas y las sociedades.
Prácticamente nuestra vida diaria gira en torno a la red o pasa por ella, desde los aspectos personales,
pasando por los económicos o profesionales, hasta las relaciones con las administraciones públicas.
Por este motivo, está más que justificada la existencia de este apartado en la ley.
3.1.Funciones y poderes
Las funciones de la AEPD van encaminadas a un mismo fin: velar por una correcta aplicación de la
normativa vigente, dirigida a proteger los derechos de los ciudadanos en materia de sus datos
personales.
En relación con las Controlar la aplicación del Reglamento General de Protección de Datos y el resto de la normativa
normas y su de protección de datos, así como proceder a que se aplique.
correcta aplicación
Cooperar, en particular, compartiendo información con otras autoridades de control y prestar
asistencia mutua.
Llevar a cabo investigaciones sobre la aplicación de la normativa vigente.
Elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la
protección de datos.
Fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y
marcas de protección de datos.
Llevar a cabo, si procede, una revisión periódica de las certificaciones expedidas.
Elaborar y publicar los criterios para la acreditación de organismos de supervisión de los códigos
de conducta.
Efectuar la acreditación de organismos de supervisión de los códigos de conducta y de organismos
de certificación.
Llevar registros internos de las infracciones del presente reglamento y de las medidas adoptadas.
Previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus
derechos y, en su caso, cooperar a tal fin con las autoridades de control.
En relación con los
interesados Tratar las reclamaciones presentadas por un interesado o por un organismo, organización o
asociación, e investigar, en la medida oportuna, el motivo de la reclamación e informar al
reclamante sobre el curso y el resultado de la investigación en un plazo razonable.
Promover la sensibilización de los responsables y encargados del tratamiento acerca de las
obligaciones que les incumben.
Promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y
derechos en relación con el tratamiento. Especialmente las relacionadas con menores y niños.
Hacer un seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la
protección de datos personales, en particular, el desarrollo de las tecnologías de la información y
En relación con la la comunicación y las prácticas comerciales.
sociedad Asesorar, con arreglo al derecho de los estados miembros, al Parlamento nacional, al Gobierno y a
otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la
protección de los derechos y libertades de las personas físicas con respecto al tratamiento.
Ofrecer asesoramiento sobre las operaciones de tratamiento.
Alentar la elaboración de códigos de conducta y dictaminar y aprobar los códigos de conducta que
den suficientes garantías.
Además de las funciones expuestas, la AEPD goza de poderes suficientes para investigar si se
cumplen correctamente las normas, corregir aquellas acciones inadecuadas y autorizar la consulta
de determinados datos; también es un órgano consultivo en materia de protección de datos.
Pero la AEPD, además de velar por nuestros derechos como ciudadanos, también nos puede ser
útil como posibles responsables o encargados de los datos, ya sea asesorando u orientándonos en
nuestro trabajo.
Como ciudadanos y ciudadanas interesados, para ejercer los derechos sobre nuestros datos
(acceso, rectificación, supresión, oposición, limitación y portabilidad) y el derecho de
denuncia, disponemos de un canal de comunicación con la AEPD.
Cuando no sea posible llegar a una solución acordada entre las partes (interesado y responsable),
entonces se puede recurrir a la AEPD para que tome parte en el conflicto. Para ello, antes
deberemos haber intentado ejercer nuestros derechos directamente ante la entidad responsable.
La AEPD tiene múltiples funciones, como ya hemos visto con anterioridad. De todas ellas, en
este apartado nos referiremos a su papel sancionador.
Los responsables de los ficheros y los encargados de tratar sus datos estarán sujetos al régimen
sancionador de esta entidad. En la Tabla 7.11 podemos ver los distintos tipos de infracciones y
sanciones, según establecen la LOPD-GDD y el RGPD. No obstante, las multas se impondrán en
función de cada caso individual con arreglo a lo determinado en la legislación vigente.
A. Principio de proactividad
La adaptación o implantación de la LOPD-GDD en la empresa debe responder, por lo menos,
a las siguientes preguntas:
Estas preguntas se formularán en una primera fase de estudio de la organización, y de sus
respuestas podremos establecer las pautas que deberá seguir nuestro trabajo.
A. Estudio de la empresa
Al principio se deben detallar todos los datos de los que se hace uso: datos del personal, de los
proveedores, de los acreedores, accionistas y, finalmente, de la clientela y terceras personas.
Además, se diferenciará, de entre toda la información disponible, aquella que afecta a los datos
personales de las personas y que se van a tratar.
Una correcta aplicación de la LOPD-GDD irá dirigida a verificar que este tratamiento se realiza de
un modo adecuado.
Una de las formas más eficaces y sencillas de cumplir con los principios de la ley es mediante el
consentimiento para el tratamiento por parte del interesado. Es decir, tras informar al interesado de todo
lo referente al tratamiento de sus datos personales, se pedirá que nos otorgue su consentimiento explícito.
Informar a los interesados del uso y tratamiento que se hace de sus datos personales.
De este modo, distinguiremos dos tipos de textos: los textos públicos o generales y los textos
privados o específicos.
Aunque por sí solo no será suficiente, ya que este documento deberá estar respaldado por la correcta
realización de las acciones que aparecen reflejadas en él y, además, deberán ir acompañadas de
informes que las confirman.
Formulario de contacto
Más de un año
on-line
Registro Indefinido
Facturación
CESIÓN DE LA INFORMACIÓN
TIPOLOGÍA
Cesiones a empresas del grupo
DE LOS DATOS
Transferencias internacionales
MEDIDAS DE PROTECCIÓN
Usuarios externos
Personal autorizado
Delegados
Puesto que no va a manejar las mismas categorías de datos un despacho de abogados que una
ferretería, conocer la tipología de los datos será más sencillo si conocemos el tipo de negocio.
Como regla general, lo más común será que se trate con datos básicos (nombre, apellidos, correo
electrónico…) y, de forma ocasional, es posible que añadamos otros como el DNI o la foto del
interesado. Incluso es posible que tratemos datos un poco más especiales como los números de
cuentas bancarias o de tarjetas de crédito. En el caso de que fuera así, deberemos tenerlo en cuenta
a la hora de aplicar medidas de seguridad mucho más restrictivas que para el resto de los datos.
Una vez que tengamos identificados los datos de carácter personal que vamos a tratar, el siguiente
paso que deberemos realizar en este apartado del registro interno, y previo al tratamiento de los
datos, será el de agrupar los datos por categorías, asignarles una finalidad concreta y confeccionar
un tratamiento concreto con respecto a cada una de sus finalidades. Deberemos añadir tantos
tratamientos como finalidades persigamos con los datos de los interesados.
Un buen análisis de riesgos empieza por contextualizar el entorno del riesgo, conocer la
evolución de los datos y su tratamiento, desde que son capturados hasta que los destruimos. Y
para ello, es muy útil haber trabajado aspectos como la recopilación de los
datos, su tipología, el almacenamiento, los usos, fines y tratamientos de los datos, así como
su destrucción.
Si hemos realizado un buen plan de aplicación, ya deberíamos disponer de todos estos datos, y
en consecuencia intuir sus principales debilidades.
Colegios profesionales.
Las verificaciones y auditorías se pueden realizar de manera interna, pero también es posible que
se produzcan de oficio por parte de las autoridades competentes (AEPD). Estas últimas pueden
realizar auditorías preventivas de empresas o sectores de actividad concretos, y dictar directrices
generales o específicas de obligado cumplimiento por parte de las empresas.
En función del tipo de firma digital, puede, además, asegurar la integridad del documento o
mensaje y garantizar al destinatario que el mensaje fue creado por el remitente y no fue
alterado durante la transmisión.
La firma electrónica tiene una naturaleza legal que le confiere un marco normativo propio, lo
que le da una validez legal que la firma digital no tiene.
Mientras la firma digital garantiza la veracidad de una información, la firma electrónica puede
vincularse a un documento y de esta forma identificar al autor, señalar conformidad (o
disconformidad) con su contenido y garantizar que este no se pueda modificar. Además, para
hacerla aún más segura, la firma electrónica se asocia a un certificado electrónico emitido por una
autoridad de certificación que garantiza su autenticidad.
5.2.Certificado electrónico
Un certificado electrónico es un documento firmado electrónicamente por una autoridad de
certificación, que permite garantizar legal y técnicamente la identidad de cada usuario de Internet.
El certificado electrónico permite la firma electrónica, dándole un entorno seguro a las
comunicaciones al garantizar la autenticidad de esta.
Es la herramienta básica para realizar gestiones desde un ordenador sin necesidad de desplazarnos
al lugar en el que tendríamos que entregar el documento requerido. Es, además, un requisito
obligatorio para poder hacer uso de algunos servicios que las administraciones públicas nos
ofrecen.
Es muy importante que el titular del certificado mantenga este a buen recaudo, así como su clave
privada, ya que, si esta fuera sustraída, se podría suplantar la identidad del titular en la red.
5.3.Autoridades de certificación
La autoridad de certificación (AC) es una entidad reconocida legalmente con capacidad para emitir
y revocar los certificados que acompañan a las firmas electrónicas. Esta autoridad da validez legal
y temporal a la relación entre la identidad de un usuario y su clave pública (firma electrónica)
frente a terceras personas que confían en los certificados que emite.
Se puede comprobar si un certificado emitido por uno de estos prestadores es admitido en los
trámites con la Administración Pública en el Servicio de Validación de Firmas y Certificados On-line
(VALIDe). Este portal permite la validación de certificados y de firma electrónica de los principales
prestadores de nuestro país.