Protección de Datos El Salvador / FIIAPP, IAIP, CEDDET, EUROsociAL

1. PROTECCIÓN DE DATOS
PERSONALES
EL SALVADOR,
22-24 JUNIO 2015

2. ¿QUÉ ES LA PROTECCIÓN DE DATOS DE
CARÁCTER PERSONAL?
 Está considerado como un derecho del mayor rango y protección
legal que poseen las personas, y se traduce en un poder de
disposición y control sobre su información personal.
 Denominado de “autodeterminación informativa” faculta a las
personas a decidir si quieren proporcionar sus datos a un tercero,
qué datos, con qué finalidad y a poder oponerse a su tratamiento.
 Para proteger nuestra privacidad existen contenidos normativos que
regulan el uso de los datos personales, entre ellos las previsiones
contenidas en la Ley de Acceso a la Información Pública de El
Salvador.

3. LA LEY DE ACCESO A LA
INFORMACIÓN PÚBLICA DE EL
SALVADOR
 El art 31 Ley de Acceso a la Información Pública (LAIP),
aprobada por el Decreto Legislativo número 534 con vigencia
desde el 8 de mayo de 2011 señala que el derecho a la
protección de datos de carácter personal otorga a las personas
el derecho a que se protejan sus datos así como el derecho a
saber si se están utilizando, por quién y para qué, a obtener
una copia inteligible o comprensible y sin demora de los datos
que están siendo utilizados, a modificarlos y actualizarlos y a
conocer qué información personal poseen los entes públicos.

4. ¿A QUÉ NOS OBLIGA COMO SERVIDORES
PÚBLICOS?
 La protección de datos de carácter personal nos obliga a
respetar el derecho a la privacidad de las personas titulares
de los datos que nuestra institución ha recogido y tiene
almacenados.
 Para garantizar la protección de los datos personales hay que
cumplir las obligaciones y medidas de seguridad y facilitar
el ejercicio de los derechos personales que la normativa
debe reconocer a las personas en tanto titulares de su
información personal.

5. ¿QUÉ CONSECUENCIAS PUEDE TENER SU
INCUMPLIMIENTO?
 El Instituto de Acceso a la Información Pública (IAIP) tiene
facultades para velar por el cumplimiento de la normativa de
protección de datos.
 Puede realizar actuaciones inspectoras tanto a petición o
reclamo de las personas titulares de los datos como de oficio
en virtud de requerimientos de informaciones y protocolos a
quienes administren las bases de datos.
 Imponer las sanciones que la normativa establezca.
 E, incluso, dar traslado a la autoridad judicial de aquellas
actuaciones que puedan considerarse delito.

6. ¿QUÉ SON LOS DATOS DE CARÁCTER
PERSONAL?
 Cualquier información relativa a una persona que permite
identificarla o hacerla identificable, por el medio, en este
último caso, de cruzar diferentes datos aislados que en su
conjunto permiten reconocer a una persona.
 La LAIP entiende por datos personales la nacionalidad,
domicilio, patrimonio, dirección electrónica, número
telefónico u otra análoga.
 Los datos personales son muy importantes porque nos
identifican y nos describen. Pero también porque pueden influir
en cómo nos pueden tratar o evaluar, gestionando, cruzando o
analizando la información personal que las personas ofrecen
por distintos medios.

7. ¿Qué son datos personales?
DATOS
PERSONALES
DATOS DE IDENTIDAD: nombre y
apellidos, Fecha de nacimiento,
Nacionalidad, Estado civil, Dirección
Postal, Dirección Electrónica, Teléfonos,
Matrícula vehículo, información bancaria.
DATOS
LABORALES:
Empresa pública,
Empresa privada,
nivel de ingresos,
datos de salud de los
empleados
DATOS DE PERSONALIDAD:
Orientación sexual, ideología,
creencias religiosas, afiliación
sindical, gustos personales.
DATOS DE
CONSUMO: agua,
electricidad, gas,
teléfono,
suscripciones de
prensa, compras
DATOS BIOMÉTRICOS:
Imagen, Voz, Iris, patrones
faciales, geometría de la
mano, firma, datos
genéticos, huellas
dactilares, imagen, raza.
DATOS DE SALUD:
Minusvalía, historial
médico, Ingresos
hospitalarios,
enfermedades,
tabaquismo
alcoholismo

8. ¿QUÉ SON DATOS ESPECIALMENTE
PROTEGIDOS?
 Existe una serie de datos personales que, por su pertenencia a la esfera
más delicada de la privacidad de las personas, cuentan con una
protección legal mayor.
 La LAIP identifica como datos personales sensibles los siguientes:
el credo, religión, origen étnico, filiación o ideologías políticas,
afiliación sindical, preferencias sexuales, salud física y mental,
situación moral y familiar y otras informaciones íntimas de similar
naturaleza o que puedan afectar el derecho al honor, a la intimidad
personal y familiar y a la propia imagen.
 Si nuestra organización tiene este tipo de datos personales recogidos y
almacenados, habrá de adoptar especiales medidas con su
tratamiento.

9. ¿QUÉ DATOS PERSONALES SE MANEJAN
HABITUALMENTE EL EL SECTOR PÚBLICO?
✓ De trabajadores: datos de identidad, dni, edad, estado civil, familiares, de
seguridad social, curriculum, afiliación sindical, bancarios, de salud
✓ De personas usuarias: datos de personas que acuden a ser asistidas en
nuestros servicios.
✓ De visitas: registros de entrada a sus edificios mediante la indicación de
nombre, dni o grabación de imágenes.
✓ De imagen a través de cámaras de videovigilancia para la seguridad.
✓ Redes sociales que permiten conocer el perfil de las personas que participan
en dichas redes

10. ¿CÓMO SE RECABAN LOS DATOS
PERSONALES?
Verbal:
atención por
vía telefónica o
presencial
Documental:
Contratos,
curriculums,
facturas,
formularios o
impresos de
alta
Cámaras:
captación de
imágenes.
Electrónico:
website
Mail
App

11. PERSONALES?
 Es el conjunto organizado de datos de carácter personal,
cualquiera que sea la forma o modalidad de su creación,
almacenamiento, organización y acceso.
 Esta consideración afecta tanto a los datos tratados
electrónicamente (bases de datos informáticas), como a los
almacenados en papel (archivadores organizados por grupos
de personas: personas usuarias, contactos, trabajadores y
trabajadoras, personas demandantes de empleo…)
ordenados en base a criterios identificativos.

12. ¿QUÉ SE ENTIENDE POR TRATAMIENTO DE
DATOS PERSONALES?
 Cualquier operación y procedimiento técnico, de carácter automatizado o
no, que permita su recogida, grabación, conservación, elaboración,
modificación, bloqueo y cancelación, así como las comunicaciones, cesiones o
transferencias de esos datos.
 Sólo se podrán tratar datos personales que sean adecuados, pertinentes y
no excesivos en relación con finalidades lícitas, debiendo eliminarse los
datos que hayan dejado de reunir estas características.
 Las operaciones de tratamiento más habituales son:
 La recogida organizada de datos.
 La utilización para la actividad propia del ente público.
 La comunicación o cesión de los datos a otras personas, empresas o
entidades.
 La conservación y actualización de los datos.
 La cancelación de datos.

13. ¿QUÉ DIFERENTES PERSONAS INTERVIENEN
EN EL TRATAMIENTO DE DATOS
PERSONALES?
 Los sujetos que pueden intervenir en el tratamiento de
datos personales son 3:
 1. El responsable de las bases de datos personales.
 2. El afectado o interesado (la persona).
 3. El encargado del tratamiento.

14. ¿QUIÉN ES EL RESPONSABLE EN MATERIA
DE PROTECCIÓN DE DATOS?
• Cada ente público, en tanto es quien decide sobre el contenido y
finalidad de los datos personales.
 Estará obligado a cumplir con los deberes que le impone la normativa
de inscripción de las bases de datos en el registro correspondiente,
informar a las personas, recabar su consentimiento, permitir el
ejercicio de derechos a las personas, asegurar el secreto y
confidencialidad de los datos, y garantizar la seguridad de los mismos,
así como verificar periódicamente la regularidad de su cumplimiento.

15. ¿QUIÉN ES EL AFECTADO O
INTERESADO?
 Es la persona titular de los datos o información
personal que sean objeto del tratamiento.
 En tanto estamos ante un derecho vinculado a la
persona física, debemos entender por tal al afectado o
interesado a que se refiere la normativa de protección
de datos personales.

16. ¿QUIÉN ES EL ENCARGADO DEL TRATAMIENTO?
 Es la persona física o jurídica que, para prestar un servicio al
ente público responsable de los datos personales, requiere hacer
uso de sus bases de datos personales.
 Consiste en permitir y facilitar a un tercero ajeno a la
organización el acceso y el tratamiento de datos personales
con la finalidad exclusiva de la prestación de un servicio
encargado por la organización.
 La realización de tratamientos por cuenta de terceros debe estar
regulada en un contrato al que la Ley establece un contenido
expreso.

17. ¿CUÁLES SON LOS SUPUESTOS HABITUALES
DE ENCARGOS DE SERVICIOS?
 Gestión de aplicaciones informáticas
 Cámaras de videovigilancia
 Destrucción de documentación
 Entidades financieras para el cobro de nóminas
 Servicios jurídicos externos
 Limpieza
 Mantenimiento de instalaciones

18. ¿QUÉ OBLIGACIONES GENERA PARA
LA ORGANIZACIÓN EL USO DE DATOS
PERSONALES?
 OBLIGACIONES PREVIAS AL TRATAMIENTO
 OBLIGACIONES DURANTE EL TRATAMIENTO
 OBLIGACIONES FINALIZADO EL TRATAMIENTO

19. I. OBLIGACIONES PREVIAS AL
TRATAMIENTO DE DATOS PERSONALES
 Cada ente público debe realizar un análisis del ciclo de vida de los datos personales
manejados para identificar:
 Qué datos personales necesitamos a recoger y para qué finalidad.
 Cómo se recogerán: teléfono, telemáticamente, formularios en papel, grabación de imágenes.
 Qué bases de datos hay que crear, modificar o suprimir.
 Quién los manejará: persona, departamentos, …
 A quién se cederán.
 Si se harán transferencias internacionales de datos personales
 Cómo se conservarán
 Cuándo se cancelarán
 Crear la base de datos correspondiente.
 Notificarlo al IAIP
 Informar a las personas físicas en el momento previo a la recogida de sus
datos personales.

20.  La información a la persona titular de los datos personales debe
facilitarse en el momento de recabar los datos personales.
 Comprende los siguientes aspectos:
 La existencia de una base de datos concreta
 La finalidad para la que se recogen los datos
 La cesión o comunicación de esos datos y su finalidad
 El carácter obligatorio o facultativo de la respuesta y las
consecuencias de la negativa a facilitar los datos.
 La identificación y dirección postal y/o electrónica del
responsable de la base de datos
 Los derechos que tiene la persona.
DEBER DE INFORMACIÓN

21. … si los datos van a ser CEDIDOS.
 Es cesión o comunicación como toda revelación de datos
realizada a una persona distinta de la titular de esos datos.
 Si los datos van a ser cedidos debe ofrecerse información
inequívoca a la persona titular de la información personal sobre la
finalidad de la cesión y el tipo de actividad desarrollada por el
cesionario.
 No son válidas referencias genéricas que no permitan concretar
la finalidad.
 Toda comunicación de datos a terceras personas, físicas o
jurídicas, ajenas a la persona titular de la información o ajenas al
ente público que las posee legítimamente debe ser autorizada
por la persona titular de los datos o encontrarse dicha
comunicación habilitada por una Ley.

22. II. PRINCIPIOS Y OBLIGACIONES
DURANTE EL TRATAMIENTO DE LOS
DATOS PERSONALES
 1. OBTENCIÓN DEL CONSENTIMIENTO
 2. LICITUD
 3. CALIDAD
 4. EXACTITUD
 5. SEGURIDAD
 6. DEBER DE GUARDAR SECRETO
 7. GARANTÍA DE EJERCICIO DE DERECHOS
PERSONALES

23. 1. OBTENCION DEL CONSENTIMIENTO
 El consentimiento está íntimamente ligado a la información a la persona
porque no puede consentir aquello que no conoce. De ese modo, el
consentimiento legitima el tratamiento posterior de los datos personales.
 El consentimiento ha de ser libre, informado e inequívoco y, como regla
general, será preciso siempre, salvo que una Ley lo excluya.
 Así, el consentimiento no será necesario cuando el tratamiento de datos
personales se refiera al mantenimiento de una relación contractual o
administrativa; cuando el tratamiento de los datos tenga por finalidad
proteger un interés vital de la persona o cuando los datos figuren en
fuentes de acceso público.
 Una vez prestado el consentimiento la persona tiene la posibilidad de
revocarlo, revocación que impedirá que se sigan tratando los datos
personales; si bien no podrá evitar los efectos que haya tenido el
tratamiento hasta el momento de la revocación.

24. 2. LICITUD
 Este principio exige que la recogida y tratamiento de datos
personales se efectúe conforme al contenido de las Leyes.
 Asimismo, los datos personales deben recogerse con fines
determinados, expresos y legítimos.

25. 3. CALIDAD EN EL TRATAMIENTO DE DATOS
PERSONALES
 Sólo se podrán solicitar de la persona los datos que sean
estrictamente necesarios o proporcionales para la finalidad para
la cual se recogen.
 Esa finalidad debe estar descrita en el momento de creación de la
base de datos personales correspondiente y no puede utilizarse para
ninguna otra no prevista.
 Deben cancelarse cuando haya dejado de ser necesarios para la
finalidad para la que se recogieron.
 La cancelación implicará el bloqueo de los datos, consistente en la
identificación y reserva de los mismos con el fin de impedir su
tratamiento excepto para el cumplimiento de obligaciones legales,
transcurrido el cual deberán suprimirse.

26. 4. EXACTITUD
 La información personal debe estar actualizada y ser
exacta.
 Deberán establecerse mecanismos de actualización
y corrección efectiva de la información personal,
incluso de oficio.

27. 5. SEGURIDAD
 Es el deber que tiene el ente público de adoptar las medidas de
índole técnica y organizativas necesarias para garantizar la
seguridad de los datos personales y evitar su alteración,
pérdida o tratamiento o acceso no autorizados.

28. 6. SECRETO Y CONFIDENCIALIDAD
 Los servidores públicos, y quienes se relacionan con la
Administración utilizando datos personales para la realización
del servicio están obligados al secreto profesional.
 Estas obligaciones subsisten aún después de cancelados los
datos, y después de finalizar sus relaciones con la
organización.
 Es por ello que debe incluirse una cláusula de
confidencialidad para los trabajadores y trabajadoras,
mientras que las obligaciones con servicios externalizados ha
de plasmarse en un contrato de encargo de tratamiento.

29. 7. EJERCICIO DE LOS DERECHOS PERSONALES: ACCESO,
RECTIFICACIÓN y SUPRESIÓN/ELIMINACIÓN
 La LAIP reconoce el derecho de todas las personas a ejercer los derechos
de acceso, corrección, y supresión o eliminación sobre sus datos.
 La posibilidad de ejercer estos derechos dota a las personas de una
facultad real de disposición sobre sus datos personales, porque permite
consultarlos, revisarlos y cancelarlos en los casos en que sean falsos,
inexactos o excesivos.
 La organización o ente público debe contestar las solicitudes que las
personas le dirijan en ejercicio de estos derechos y facilitarles los
formularios de solicitud.
 Además, debe adoptar las medidas oportunas para garantizar que su
personal esté en condiciones de informar a las personas del procedimiento
para el ejercicio de estos derechos así como con la capacidad para
responder en tiempo y forma.

30. EL DERECHO DE ACCESO
 El derecho de acceso permite a las personas solicitar y
obtener información del ente público respecto de los datos
personales, la finalidad para la que han sido recabados y la
consulta directa de documentos que contengan esa información.
 Deberá responderse en un plazo de diez días hábiles,
contados a partir de la presentación de la solicitud.
 La respuesta contendrá la información correspondiente o la
comunicación de que ese registro o sistema de datos
personales no contiene los requeridos por el solicitante.

31. EL DERECHO DE RECTIFICACIÓN
 La persona interesada puede solicitar a la organización que corrija
o complete uno o varios de sus datos que estén almacenados
de forma errónea o incompleta.
 Por ejemplo, la persona tiene derecho a que actualicemos su
cambio de domicilio.
 Deberá entregarse a la persona solicitante, en un plazo de treinta
días hábiles desde la presentación de la solicitud, una
comunicación que haga constar las modificaciones; o bien, le
informará de manera motivada, la razón por la cual no procedieron
las reformas.

32. EL DERECHO DE SUPRESIÓN
 La persona titular de datos personales puede solicitar que sus datos sean
suprimidos o cancelados, por ser inadecuados o excesivos, revocando el
consentimiento que en su día otorgó para que fueran incorporados.
 Son inadecuados cuando no guardan relación con la finalidad para la que
fueron recabados o si dejaron de ser necesarios para dicha finalidad.
 Son excesivos si los datos obtenidos son más de los estrictamente
necesarios en relación a la finalidad para la que se recogieron.
 También procede esta eliminación cuando el tratamiento de los datos
personales no se ajuste a lo dispuesto en la Ley.
 Deberá entregarse al solicitante, en un plazo de treinta días hábiles desde
la presentación de la solicitud, aceptando o rechazando, motivadamente, la
supresión o cancelación.

33. RECURSO
 Transcurrido el plazo sin que se responda a la petición
o la respuesta sea insatisfactoria, la persona podrá
interponer recurso de apelación ante el Instituto o
ante el Oficial de Información.
 En caso de desestimación los particulares pueden
interponer recurso ante la Sala de lo Contencioso-
Administrativo de la Corte Suprema de Justicia.

34. 6. DEBER DE COLABORACIÓN CON EL
INSTITUTO DE ACCESO A LA INFORMACIÓN
PÚBLICA
 El Instituto es la autoridad de control encargada de velar por el adecuado
cumplimiento de la legislación sobre protección de datos.
 Es un órgano autónomo creado por la LAIP que cuenta con personalidad
jurídica y patrimonio propios.
 Posee la atribución de establecer políticas y lineamientos de observancia
general para el tratamiento y protección de los datos personales que
estén en posesión de los entes públicos, así como expedir aquellas
normas que resulten necesarias para su cumplimiento.
 Es el responsable de llevar el registro de los sistemas de datos
personales en posesión de los entes públicos que deben notificar al IAIP
la creación, modificación o supresión de sistemas de de datos
personales.

35. III. PRINCIPIOS Y OBLIGACIONES
FINALIZADO EL TRATAMIENTO DE LOS
DATOS PERSONALES
 Los datos personales deben cancelarse cuando dejen de ser
necesarios o pertinentes para la finalidad para la que se
recogieron, salvo que se disocien, impidiendo la identificación de
la persona.
 Esos datos deben conservarse bloqueados a disposición de las
autoridades así como durante el tiempo en que se pueda exigir
alguna responsabilidad derivada de una relación preexistente,
tras lo cual deben suprimirse.

36. II ª PARTE.
SITUACIONES Y
CUESTIONES
PRÁCTICAS

37. PLANTEAMIENTO

38. DISCREET INDUSTRIES
 Es una empresa financiera que celebra su reunión de dirección quincenal, en la
que están presentes:
 Cormack: Director General
 Fiona: Directora financiera
 Derek: Jefe de Ventas
 Helen: Directora de Recursos Humanos
 Joanne: Directora de Tecnologías de la Información
 En la última reunión, Cormack pidió a Joanne, reciente fichaje de la compañía,
que preparara un informe sobre el grado de cumplimiento de la empresa en
materia de protección de datos en 8 escenarios. Durante su presentación, ella
expondrá los principios de la protección de datos, y los aplicará a los
problemas que ha descubierto.

39. VIDEO

40. 1. Obtener y procesar la información de manera
leal y lícita,
informando y solicitando el consentimiento

41. SITUACIÓN 1
 Joanne descubre que Derek se ha traído a su trabajo
actual una copia de la base de datos de clientes de su
anterior empleo, sin haber pedido el permiso a los
individuos incluidos en dicha base de datos.
 Visionado.

42. VIDEO

43. PREGUNTA
1. ¿Qué tipo de información personal guarda su
organización?
 Personal
 Personas usuarias
 Imágenes
 Grabaciones de audio
 Datos especialmente protegidos
 Otros

44. PREGUNTA
 2. ¿Su organización informa a las personas de
cómo se utilizará la información que les ha sido
recabada?
- Sí, les informamos con ocasión de la recogida, de una
forma que la persona la entendió correctamente.
- No tenemos por costumbre informar de nuestra forma
de actuar y trabajar.
- Desconocía que tuviera la obligación de ofrecer esa
información.

45. PREGUNTA
 3. ¿Hay en su organización alguien que se
responsabilice del cumplimiento de las obligaciones
impuestas por la normativa de protección de datos?
- No lo sé, desconocía que esta fuera una responsabilidad de
la empresa.
- Sí, tenemos soporte especializado en esta materia, que
comprueba cada cierto tiempo para comprobar cómo se
hacen las cosas, podemos preguntarles cuando tenemos
alguna duda, y nos sugieren formas de trabajar más
eficientes y respetuosas con la ley.

46. CONCLUSIONES
• Es preciso informar a las personas cuyos datos
recogemos de la finalidad para la que se van a utilizar
sus datos personales, quién es el responsable, en
qué fichero se guardan, si se van a ceder y cómo
pueden ejercitar sus derechos respecto al tratamiento
de sus datos personales.
• Es preciso obtener el consentimiento de las personas
cuyos datos recogemos y utilizamos, así como para
ceder esos datos a terceros.
• Nuestros servidores públicos deben conocer estas
obligaciones y llevarlas a la práctica.

47. CONCLUSIONES
• Las obligaciones impuestas por la normativa de
protección de datos constituyen un imperativo
legal
• El elemento esencial para que la institución
cumpla con las obligaciones legales en esta
materia es la formación del personal.

48. 2. Guardar información sólo para los fines
explícitos y legales para los que se solicitó

49. SITUACIÓN 2
 Helen se está planteando hacer de forma regular
algunos controles aleatorios de las imágenes del
circuito cerrado para cotejarlas con los registros de
control horario (la empresa tiene horario flexible).
 Visionado.

50. VIDEO

51. PREGUNTA
1. ¿Cuál es el principal objetivo de recopilar cada tipo
de información?
- La finalidad es la que interese a la organización en
cada momento, ya que para eso tenemos los datos.
- Tener disponible toda la información de mi
organización por todos los medios que tengo a mi
disposición.

52. PREGUNTA
 2. ¿Están las personas de su organización al
corriente del uso que se da a la información
personal de la que son responsables?
- No, no hemos formado al personal en estas
cuestiones.
- No tengo claro ni siquiera que sepan que tienen una
responsabilidad con los datos que manejan.

53. PREGUNTA
 3. ¿Es usted consciente de que las personas tienen
derecho a ser informadas de la finalidad para la que
usted guarda sus datos?
- No tenía ni idea de que las personas podían poner alguna
pega a que tengamos sus datos.
- Claro, esto son los derechos personales relativos al control
de la información que tiene todo el mundo.
- ¿Me quiere decir que a cada persona cuyos datos recojo
por uno u otro motivo, le tengo que informar acerca de la
finalidad para la cuál los recojo?

54. CONCLUSIONES
• Es preciso informar a las personas de la finalidad
para la que se van a utilizar sus datos personales.
• No podemos utilizar los datos personales para
finalidad distinta de aquella sobre la que se
informó. Si pretendemos hacerlo debemos solicitar
autorización.
• Nuestros servidores públicos deben conocer que
tienen la obligación de respetar la finalidad que ha
sido declarada en el momento de su recogida.

55. 3. Conservar la información que tenga
sobre la gente de forma segura y protegida,
guardando el deber de secreto.

56. SITUACIÓN 3
 Durante el debate sobre el uso de las imágenes obtenidas
por el circuito cerrado de televisión, sale a la luz que Derek
tiene acceso informático a los registros personales de los
empleados, información que no necesita para desarrollar su
trabajo.
 Las medidas de seguridad relacionadas con la destrucción
de registros manuales también quedan en entredicho tras
descubrirse listados de nóminas en un contenedor de
escombros fuera de la oficina.
 Visionado.

57. VIDEO

58. PREGUNTA
1. ¿Conoce usted qué información personal se maneja en
su organización y qué nivel de seguridad se le aplica?
- No, yo no conozco todo esto, y no sé quién se ocupa de
ello.
- Supongo que información de todo tipo.
- Desconocía que hubiera distintos niveles de importancia en
la información ni a qué se debe.
- Creo que la organización debería conocer esta cuestión y
explicarla en detalle al personal ¿no cree?

59. PREGUNTA
2. El acceso a la información ¿está limitado a
personal autorizado y solamente en función de lo
que necesiten saber?
- Ni idea, creo que todos podemos ver toda la
información, pero no estoy segura.
- Yo soy administrativo, y sólo veo lo que necesito dentro
de mi trabajo habitual, como por ejemplo para enviar
correspondencia a los ciudadanos y ciudadanas del
servicio.

60. PREGUNTA
 3. ¿Cuentan sus servidores con protección contra
accesos no autorizados?
- Pues la verdad, no lo sé.
- Supongo que sí, pero nadie nos ha dicho nunca nada.
- Eso lo lleva el departamento de informática, de modo
que supongo que estos temas estarán controlados.

61. PREGUNTA
 4. ¿Qué medidas aplican ustedes para deshacerse de
los residuos de papel, listados, agendas …?
- Pues los tiro a la basura, se ocupan los de la limpieza,
¿no?
- Yo tengo mucho cuidado, los papeles que tienen alguna
información importante los tiro al reciclado.
- Tenemos una pequeña destructora de papel, pero nadie la
usa.
- Pues sí, hemos contratado hace poco a una empresa que
viene a recogerlo todo y lo destruye.

62. PREGUNTA
 5. ¿Hay Documento de Seguridad de la
información?
- Pues si lo hay, yo no lo conozco.
- Creo que sí, pero realmente no lo he visto.
- Sí, está en el archivo.
- Sí, nos hicieron una revisión del documento de
seguridad y un simulacro hace un par de meses.

63. CONCLUSIONES
• La institución debe garantizar la seguridad de los
datos personales que maneja, frente a su
alteración, pérdida, fuga, tratamiento o acceso no
autorizado, valorando los riesgos a que estén
expuestos, ya provengan de la acción humana o
del medio físico o natural.
• No se registrarán datos personales en bases de
datos que no reúnan las condiciones de seguridad
que la Ley establece.

64. 4. Utilizar y comunicar información sólo de
manera compatible con los fines para los
que se recogió.

65. SITUACIÓN 4
 Fiona se reúne con una persona airada que ha llamado a la
oficina para quejarse. La reclamante había enviado previamente
su currículo profesional a Discreet Industries.
 Antes de que la empresa se hubiera planteado hacerle una oferta
laboral y sin su consentimiento, Fiona se puso en contacto con el
actual empleador para pedirle referencias.
 Su empleador desconocía que la reclamante estaba buscando un
nuevo empleo y la relación entre ambos se ha deteriorado.
 La reclamante va a presentar una queja a la Autoridad Nacional
de Protección de Datos.
 Visionado.

66. VIDEO

67. PREGUNTA
1. ¿A quién revela usted información personal?
- No tenemos una política establecida de comunicación
de la información.
- Cuando alguien llama por teléfono y se identifica, le
damos la información que pide, tanto suya como de
terceras personas. Es normal, es un ciudadano y
debemos atenderle.
- Tenemos un protocolo práctico de tratamiento de datos
personales redactado por especialistas, que los revisan
anualmente.

68. PREGUNTA
 2. ¿Remite datos personales a otras
organizaciones o personas ubicadas en el
extranjero?
- No, nuestro organismo sólo se ubica en territorio de El
Salvador.
- Si, es frecuente que enviemos datos de la ciudadanía a
terceros países en cumplimiento de las exigencias
legales.

69. PREGUNTA
 3. ¿Tiene su institución suscrito un contrato de
encargo de tratamiento con organizaciones o
empresas externas que pudieran manejar o tener
acceso a datos personales?
- No sé qué es ese contrato.
- Si, utilizamos un modelo para todos esos encargos de
servicios.

70. CONCLUSIONES
• Como principio general, no es posible la cesión de los datos
personales a terceros sin el consentimiento expreso de la persona
titular de los datos.
• Para que la cesión sea válida debemos informar previamente
indicando la finalidad a la que se destinarán los datos y el tipo de
actividad desarrollada por el cesionario.
• Debemos garantizar que el particular pueda revocar su
consentimiento mediante un procedimiento sencillo y gratuito.
• En el caso de utilizar encargados de tratamiento, deberá
formalizarse un contrato específico.

71. 5. Asegurar que la información es
adecuada, pertinente y no excesiva

72. SITUACIÓN 5
 Al examinar los tipos de información que se guardan
en los archivos de personal, Joanne se da cuenta de
que se registran las creencias religiosas del personal,
sin motivo aparente.
 Según Cormack, se trata de algo que se remonta a los
orígenes de la empresa.
 Visionado.

73. VIDEO

74. PREGUNTA
1. ¿Cree que toda la información que su organización
guarda es pertinente y necesaria para sus propósitos?
- Nunca hemos realizado una verificación de si es así,
simplemente guardamos todo.
- Sí, por supuesto, guardamos todo lo que nos puede servir
para desarrollar mejor nuestro servicio en beneficio de la
ciudadanía.
- Sí, analizamos la procedencia de recoger la información
desde que el momento inicial y sólo la guardamos el tiempo
estrictamente necesario.

75. PREGUNTA
 2. ¿Cuenta en su organización con criterios
específicos para juzgar qué es adecuado,
pertinente y no excesivo?
- Pues la verdad es que no nos han enseñado a hacer
esta selección, lo hacemos un poco a ojo.
- Si, contamos con protocolos establecidos por
especialistas que son revisados anualmente por
estos, estamos tranquilos por ello ya que las
repercusiones sancionadoras y de imagen ante la
opinión pública.

76. PREGUNTA
 3. ¿Necesita realmente tener toda esta información
personal?
- Bueno, nunca se sabe.
- Sí, queremos tener todo lo que podamos de nuestros
usuarias.
- Pues analizando lo que dice, recogemos y guardamos
más información de la que realmente necesitamos.

77. CONCLUSIONES
• Los datos deben ser adecuados, pertinentes y no
excesivos en relación con el ámbito y la finalidad
para la que se han recogido.

78. 6. Tenga la información
exacta, completa y actualizada

79. SITUACIÓN 6
 A un cliente, Mr. Mullins, le fue denegado un crédito al
realizar una compra a uno de los agentes de la
empresa, debido a que estaba inscrito en el registro de
morosos.
 Posteriormente, Joanne descubrió que aquella
inscripción de Mr. Mullins era errónea: los bienes
adquiridos y presuntamente no pagados habían sido
devueltos por defectuosos.
 Visionado.

80. VIDEO

81. PREGUNTA
1. ¿Su organización tiene implantados procedimientos
dirigidos a asegurarse de que la información está
actualizada?
- No he oído hablar de ello en los seis años que llevo en la
organización.
- En mi anterior organización sí que teníamos mucho trabajo
con las comprobaciones, pero actualmente no lo hacemos.
- Sí, se encargan los de calidad, y creo que hacen
comprobaciones periódicas con los titulares de los datos.

82. PREGUNTA
 2. ¿Su organización realiza revisiones y auditorias
periódicas de la información que tiene guardada?
- Nada de eso, no hemos hecho nada de eso nunca.
- Sí tengo un vago recuerdo de haber hecho algo en alguna
ocasión.
- Hemos hecho alguna revisión aleatoria, pero sin un
procedimiento claro para ello.
- Realizamos revisiones del Documento de Seguridad
protocolos y también Auditoría específica en protección de
datos conforme creo que marca la Ley, a través de
especialistas externos.

83. PREGUNTA
 3. ¿Qué hace el personal cuando tiene constancia
de la existencia de inexactitudes en los datos
personales que posee?
- Nada, si la persona no me pide que lo cambie, las dejo
así.
- Echamos mano del protocolo específico para el
tratamiento de datos personales que prevé los
períodos y la forma de actualizar la información.

84. CONCLUSIONES
- Debemos rectificar o cancelar los datos si la
persona nos lo comunica o si tenemos
conocimiento de ello por cualquier otro medio.
- Debemos efectuar comprobaciones para lo que
necesitamos establecer procedimientos de revisión
de la información, periódicos y aleatorios.

85. 7. No conservar la información más allá del
tiempo necesario para su propósito

86. SITUACIÓN 7
 Al examinar el historial de Mr. Mullins, Joanne observó que
aún constaban los detalles de su cuenta bancaria.
 Un examen más a fondo reveló que la empresa conserva
los detalles bancarios de los clientes indefinidamente,
incluso cuando ya no tiene ninguna utilidad hacerlo.
 Helen indica entonces que ella tuvo problemas en el pasado
por el hecho de que los detalles de su tarjeta de crédito
fueran retenidos indefinidamente al comprar entradas para
espectáculos.
 Visionado.

87. VIDEO

88. PREGUNTA
1. ¿Tiene su organización una política definida sobre
cuánto tiempo conservar la información?
- Bueno, pues todo el tiempo que podamos.
- En principio, mientras atendamos a la persona usuaria
de nuestro servicio.
- Sólo borramos lo que nos piden expresamente.
- Si, contamos con un protocolo de tratamiento de datos
personales que lo recoge.

89. PREGUNTA
 2. ¿Está usted al corriente de los requisitos legales
que pueda haber para conservar/retener ciertos
tipos de datos? (Por ejemplo: registros fiscales o
laborales, registros médicos, transacciones
financieras….)
 Desconocía que hubiera un límite en el tiempo de
conservación de los datos.
 Si, cada departamento debe ser conocedor de los
períodos establecidos legalmente en cada normativa
sectorial.

90. PREGUNTA
 3. ¿Su organización depura con regularidad sus
sistemas de archivo, sean estos manuales o
electrónicos?
 Sé que deberíamos hacerlo porque lleva a confusión tener
tanta información, en ocasiones duplicada, pero nunca
vemos el momento.
 Si, lo hacemos con motivo de los simulacros o puesta en
práctica del documento de seguridad, una vez al año.
 No lo sé, supongo que se encargarán de ello los
informáticos.

91. CONCLUSIONES
• Se deben cancelar los datos cuando hayan dejado de
ser necesarios.
• En algunas ocasiones existe obligación de conservar
los datos, como ocurre cuando han de cumplirse
obligaciones fiscales que requieren conservación
documental o durante el tiempo en que pueda exigirse
algún tipo de responsabilidad derivada de la relación
que une a la organización con las personas.
• En este caso los datos se bloquearán de forma que
impida el acceso por parte del personal, limitándose a
una persona de máxima responsabilidad, acceso que
tendrá lugar en virtud de requerimiento judicial o
administrativo.

92. 8. Dar una copia de sus datos personales si
lo pide la persona a la que se refieren.

93. SITUACIÓN 8
 Después de la conversación sobre la información
inexacta a raíz del historial de Mr. Mullins, Cormac
pregunta qué es una “solicitud de acceso”.
 Joanne explica que Mr Mullins tiene derecho, si lo
solicita, a obtener una copia de cualquier información
que tengan sobre él.
 Visionado.

94. VIDEO

95. PREGUNTA
1. ¿Tiene su organización algún procedimiento para tramitar las
solicitudes de ejercicio de derechos personales?
 Desconocía hasta este momento de qué se trata.
 No facilitamos esa información a las personas, porque es
información que pertenece a la organización.
 Si, tenemos un protocolo para ello pero es complicado de atender
y no disponemos de personal especializado.
 Por supuesto, nos abrieron un expediente sancionador por
carecer de ello y desde entonces somos cuidadosos con ello,
acudiendo a especialistas para su resolución.

96. CONCLUSIONES
• La organización debe garantizar el ejercicio de los derechos para que
las personas puedan saber qué información personal estamos
tratando, de quién o de dónde se obtuvieron los datos y a quién han
sido cedidos, modificar o rectificar errores, cancelar datos que no se
deberían estar tratando u oponerse a tratamientos de datos personales
realizados sin su consentimiento.
• El ejercicio de estos derechos debe ser sencillo y gratuito, no puede
suponer ingreso adicional alguno para el responsable y aunque éste
disponga de un procedimiento propio para ello, no puede desatender
una solicitud que debidamente presentada utilice otro medio.
- Debemos atender la petición, incluso cuando no tengamos datos
personales del solicitante, y garantizar que la organización sea capaz
de informar sobre cómo ejercer los derechos, de disponer de
formularios y de responder en tiempo y forma.

97. RECAPITULEMOS:
 VIDEO.