Protección de Datos en Correos: RGPD, Derechos y Sanciones
Respuesta rápida
La protección de datos es un derecho fundamental recogido en el artículo 18.4 de la Constitución Española, regulado por el RGPD y la LOPDGDD, que permite a las personas decidir qué datos personales comparten, con quién y para qué. Las empresas como Correos deben cumplir 7 principios clave (transparencia, finalidad limitada, minimización, exactitud, conservación limitada, seguridad y responsabilidad proactiva) y pueden enfrentarse a sanciones de hasta 20 millones de euros por incumplimiento.
Puntos clave
Derecho Fundamental
La protección de datos está recogida en el artículo 18.4 de la Constitución Española como derecho independiente de la intimidad
Marco Legal Dual
El RGPD (europeo) y la LOPDGDD (española) regulan conjuntamente la protección de datos en España
Siete Principios Clave
Transparencia, finalidad, minimización, exactitud, conservación limitada, seguridad y responsabilidad proactiva
Derechos ARSO-LPI
Acceso, Rectificación, Supresión, Oposición, Limitación, Portabilidad e Información
Delegado de Protección de Datos
Figura obligatoria en organismos públicos y empresas con datos sensibles o masivos
72 Horas para Notificar
Las brechas de seguridad deben comunicarse a la AEPD en un máximo de 72 horas
Sanciones Millonarias
Multas de hasta 20 millones de euros o el 4% de la facturación global anual
Paso a paso
Identificar si el dato es personal (nombre, DNI, email, IP, huella, voz, imagen)
Verificar que el tratamiento cumple los 7 principios del artículo 5 del RGPD
Informar al titular sobre el uso, finalidad y tiempo de conservación de sus datos
Responder a las solicitudes de derechos en el plazo máximo de un mes
Notificar brechas de seguridad a la AEPD en 72 horas
Ejemplos resueltos
Problema 1Un cliente de Correos proporciona su correo electrónico para recibir una notificación de entrega. ¿Qué información debe recibir el cliente?
Un cliente de Correos proporciona su correo electrónico para recibir una notificación de entrega. ¿Qué información debe recibir el cliente?
Solución:
- 1Correos debe informar al cliente sobre la finalidad del dato (notificar la entrega)
- 2Debe indicar cuánto tiempo conservará ese correo electrónico
- 3Debe informar sobre quién es el responsable del tratamiento
- 4Debe indicar cómo puede el cliente ejercer sus derechos (acceso, rectificación, supresión)
El cliente debe saber para qué se usa su email, cuánto tiempo se conserva y cómo puede solicitar su eliminación una vez finalizado el servicio
Verificación: Verificar que toda esta información está disponible antes de recoger el dato
Problema 2Una tienda online envía publicidad a clientes sin su consentimiento y no permite darse de baja. ¿Qué sanción puede recibir?
Una tienda online envía publicidad a clientes sin su consentimiento y no permite darse de baja. ¿Qué sanción puede recibir?
Solución:
- 1La tienda vulnera el principio de transparencia (no informó sobre el uso publicitario)
- 2Vulnera también el derecho de oposición (no permite darse de baja)
- 3La AEPD es competente para sancionar
- 4Se aplica el régimen de sanciones del RGPD
La AEPD puede sancionar a la tienda con 40.000€ por vulnerar el principio de transparencia y no respetar el derecho de oposición
Verificación: Comprobar si existe consentimiento válido y mecanismo de baja operativo
Problema 3Correos sufre un ciberataque y se filtran datos de clientes. ¿Qué debe hacer?
Correos sufre un ciberataque y se filtran datos de clientes. ¿Qué debe hacer?
Solución:
- 1Identificar inmediatamente el alcance de la brecha
- 2Notificar a la Agencia Española de Protección de Datos en un máximo de 72 horas
- 3Evaluar si existe riesgo para los afectados
- 4Si hay riesgo grave, avisar directamente a los afectados
Correos debe notificar la brecha a la AEPD en 72 horas y, si hay riesgo para los afectados, avisarles directamente
Verificación: Verificar que se cumplen ambos plazos y se documentan las acciones tomadas
Protección de Datos en Correos: RGPD, Derechos y Sanciones
Introducción
La protección de datos personales constituye uno de los pilares fundamentales del cumplimiento normativo en cualquier organización moderna, y Correos no es una excepción. Este derecho fundamental, recogido en el artículo 18.4 de la Constitución Española, garantiza que todas las personas puedan decidir qué información personal comparten, con quién y para qué finalidad.
En este artículo analizaremos en profundidad el marco legal de la protección de datos aplicable a Correos, los principios que rigen el tratamiento de información personal, los derechos de los ciudadanos y las obligaciones que deben cumplir las empresas para evitar sanciones que pueden alcanzar los 20 millones de euros.
Marco Legal de la Protección de Datos
La Constitución Española y el Derecho Fundamental
La protección de datos es un derecho fundamental independiente del derecho a la intimidad. Mientras que el derecho a la intimidad protege la esfera privada de las personas, la protección de datos garantiza el control sobre cualquier información que permita identificar a un individuo, sea o no íntima.
El artículo 18.4 de la Constitución Española establece que "la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos". Este precepto constitucional es la base sobre la que se construye todo el sistema de protección de datos en España.
El Reglamento General de Protección de Datos (RGPD)
El RGPD nació como respuesta a tres fenómenos que transformaron radicalmente la gestión de información:
- Los avances tecnológicos: La digitalización masiva de procesos
- La globalización: El flujo transfronterizo de datos
- El uso masivo de datos online: De archivos en papel a miles de registros digitales
Este reglamento europeo obliga a proteger los datos personales desde su recogida hasta su eliminación, estableciendo un marco común para todos los Estados miembros de la Unión Europea.
La LOPDGDD: Adaptación Española
La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) adapta el RGPD al ordenamiento jurídico español, incorporando además garantías específicas para los derechos digitales de los ciudadanos.
Los 7 Principios Fundamentales del RGPD
El artículo 5 del RGPD establece los principios que deben regir cualquier tratamiento de datos personales. Estos principios son de obligado cumplimiento y su vulneración puede acarrear importantes sanciones.
1. Licitud, Lealtad y Transparencia
Los datos personales deben tratarse de manera legal, leal y transparente. Esto significa que:
- Debe existir una base legal que legitime el tratamiento
- El interesado debe ser informado de forma clara sobre el uso de sus datos
- No pueden utilizarse prácticas engañosas o confusas
2. Finalidad Limitada
Los datos solo pueden recogerse con fines determinados, explícitos y legítimos. Si Correos recoge un email para notificar una entrega, no puede utilizarlo posteriormente para enviar publicidad sin consentimiento adicional.
3. Minimización de Datos
Solo deben recogerse los datos estrictamente necesarios para la finalidad prevista. Por ejemplo, si Correos solo necesita el DNI para entregar un envío certificado, no puede solicitar información adicional como la fecha de nacimiento o el estado civil.
4. Exactitud
Los datos deben ser exactos y actualizados. Las organizaciones tienen la obligación de adoptar medidas para rectificar o suprimir datos inexactos.
5. Conservación Limitada
Los datos no deben conservarse más tiempo del necesario para los fines del tratamiento. Una vez finalizada la relación con el cliente y cumplidas las obligaciones legales, los datos deben eliminarse.
6. Seguridad y Confidencialidad
Deben adoptarse medidas técnicas y organizativas para proteger los datos contra tratamientos no autorizados, pérdida, destrucción o daño accidental.
7. Responsabilidad Proactiva
Las organizaciones deben poder demostrar que cumplen con todos los principios anteriores. No basta con cumplir; hay que poder probarlo.
Qué Datos Protege el RGPD
El RGPD tiene un concepto amplio de dato personal. Se considera dato personal toda información que identifique directa o indirectamente a una persona física:
- Identificadores directos: Nombre, DNI, número de teléfono
- Identificadores digitales: Dirección IP, cookies, identificadores de dispositivo
- Datos biométricos: Huella digital, reconocimiento facial, voz
- Imagen: Fotografías, grabaciones de videovigilancia
Derechos de los Interesados
Los ciudadanos tienen reconocidos una serie de derechos que les permiten mantener el control sobre sus datos personales.
Los Derechos ARSO-LPI
| Derecho | Descripción |
|---|---|
| Acceso | Conocer qué datos tiene la organización y cómo los trata |
| Rectificación | Corregir datos inexactos o incompletos |
| Supresión | Eliminar datos (derecho al olvido) |
| Oposición | Negarse al tratamiento en determinadas circunstancias |
| Limitación | Restringir temporalmente el uso de los datos |
| Portabilidad | Recibir los datos en formato estructurado y transmitirlos |
| Información | Ser informado sobre el tratamiento de forma clara |
Condiciones de Ejercicio
- Legitimación: Puede ejercerlos el titular o su representante legal
- Plazo de respuesta: Máximo 1 mes, prorrogable otros 2 en casos complejos
- Coste: Gratuito, salvo solicitudes manifiestamente abusivas o repetitivas
- Reclamación: Si no hay respuesta, se puede acudir a la AEPD
Ejemplo Práctico
Cuando un cliente solicita la eliminación de sus datos tras cancelar un servicio con Correos:
- Si no existe justificación legal para conservarlos, deben eliminarse
- La eliminación debe ser gratuita
- Debe realizarse en el plazo legal establecido
- Se debe confirmar al interesado que se ha procedido a la supresión
Obligaciones de las Empresas
Delegado de Protección de Datos (DPD)
La designación de un DPD es obligatoria para:
- Organismos públicos
- Empresas que traten datos sensibles
- Empresas que realicen tratamientos masivos
El DPD tiene las siguientes funciones:
- Informar y asesorar sobre las obligaciones legales
- Supervisar el cumplimiento del RGPD
- Cooperar con la autoridad de control
- Actuar como punto de contacto con la AEPD
Evaluación de Impacto
Antes de realizar tratamientos que puedan suponer un alto riesgo para los derechos de los interesados, las empresas deben:
- Analizar los riesgos potenciales
- Evaluar la necesidad y proporcionalidad del tratamiento
- Implementar medidas para mitigar los riesgos identificados
Protección por Diseño y por Defecto
Los sistemas y procesos deben diseñarse desde el inicio para:
- Recoger solo los datos necesarios
- Aplicar medidas de seguridad desde la concepción
- Configurar por defecto las opciones más protectoras
Gestión de Brechas de Seguridad
Cuando se produce una brecha de seguridad que afecta a datos personales:
- Identificar inmediatamente el alcance del incidente
- Notificar a la AEPD en un máximo de 72 horas
- Evaluar si existe riesgo para los afectados
- Si hay riesgo grave, avisar directamente a los afectados
Registro de Actividades de Tratamiento
Las empresas deben documentar:
- Qué datos se tratan
- Para qué finalidad
- Con quién se comparten
- Cuánto tiempo se conservan
- Qué medidas de seguridad se aplican
Régimen de Sanciones
Clasificación de las Infracciones
El RGPD establece un sistema sancionador escalonado:
| Categoría | Sanción Máxima | Ejemplos |
|---|---|---|
| Muy graves | 20M€ o 4% facturación global | Vulneración de principios básicos |
| Graves | 10M€ o 2% facturación global | Incumplimiento de derechos |
| Leves | Advertencias | Defectos formales |
Autoridad Competente
En España, la Agencia Española de Protección de Datos (AEPD) es el organismo encargado de:
- Supervisar el cumplimiento de la normativa
- Investigar denuncias y reclamaciones
- Imponer sanciones cuando proceda
En algunos casos, también intervienen las autoridades autonómicas de protección de datos.
Ejemplos de Conductas Sancionables
- No obtener consentimiento válido antes del tratamiento
- No informar adecuadamente al usuario
- No asegurar correctamente los datos
- No notificar brechas de seguridad en plazo
- Enviar comunicaciones comerciales sin consentimiento
Caso Práctico
Una tienda online que envía publicidad a sus clientes sin consentimiento previo y no ofrece la posibilidad de darse de baja puede ser sancionada por:
- Vulnerar el principio de transparencia
- No respetar el derecho de oposición
En un caso real, la AEPD impuso una sanción de 40.000 euros por estas infracciones.
Resumen y Puntos Clave
La protección de datos en Correos se articula en torno a los siguientes elementos fundamentales:
- Es un derecho fundamental independiente, recogido en la Constitución y en normativa europea
- Se basa en 7 principios que deben cumplirse en todo tratamiento de datos
- Los ciudadanos tienen derechos que pueden ejercer gratuitamente
- Las empresas tienen obligaciones concretas de cumplimiento
- Las sanciones son muy elevadas y pueden afectar gravemente a las organizaciones
- La AEPD supervisa y sanciona el incumplimiento
El cumplimiento de la normativa de protección de datos no es solo una obligación legal, sino también un elemento de confianza fundamental en la relación entre Correos y sus clientes.
Errores comunes
Confundir el derecho a la protección de datos con el derecho a la intimidad
Pensar que solo los datos íntimos están protegidos
Recordar que son derechos independientes; cualquier dato que identifique a una persona está protegido
Solicitar más datos de los estrictamente necesarios
Pedir información que no es imprescindible para la gestión (ej: pedir fecha de nacimiento para entregar un paquete)
Aplicar el principio de minimización: solo recoger datos necesarios para la finalidad específica
No responder a las solicitudes de derechos en plazo
Superar el mes sin contestar o alargar sin justificación
Establecer procedimientos internos para responder en el plazo de un mes (prorrogable a tres en casos complejos)
Conservar datos más tiempo del necesario
Mantener datos de clientes que ya no tienen relación con la empresa
Aplicar el principio de conservación limitada y eliminar datos cuando ya no hay justificación legal
No notificar las brechas de seguridad
Ocultar incidentes de seguridad o notificarlos tarde
Establecer protocolo de notificación a la AEPD en 72 horas máximo
Glosario
- RGPD
- Reglamento General de Protección de Datos. Normativa europea que regula el tratamiento de datos personales en la UE.
- LOPDGDD
- Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales. Ley española que adapta el RGPD al ordenamiento jurídico español.
- AEPD
- Agencia Española de Protección de Datos. Organismo público que supervisa y sanciona el incumplimiento de la normativa de protección de datos en España.
- Delegado de Protección de Datos (DPD)
- Figura obligatoria en organismos públicos y empresas que traten datos sensibles o masivos. Informa, asesora y contacta con la AEPD.
- Derecho al olvido
- Derecho de supresión que permite a los ciudadanos solicitar la eliminación de sus datos personales cuando ya no sean necesarios.
- Principio de minimización
- Principio del RGPD que establece que solo se deben recoger los datos estrictamente necesarios para la finalidad prevista.
- Brecha de seguridad
- Incidente que afecta a la confidencialidad, integridad o disponibilidad de los datos personales. Debe notificarse a la AEPD en 72 horas.
- Evaluación de impacto
- Análisis obligatorio de los riesgos en tratamientos de datos para aplicar medidas preventivas antes de iniciar el tratamiento.
- Responsabilidad proactiva
- Principio que obliga a las empresas a demostrar activamente que cumplen con la normativa de protección de datos.
- Portabilidad de datos
- Derecho del interesado a recibir sus datos en un formato estructurado y transmitirlos a otro responsable del tratamiento.
Preguntas frecuentes
¿Qué es la protección de datos y dónde se recoge como derecho?
Es un derecho fundamental recogido en el artículo 18.4 de la Constitución Española que permite a las personas decidir qué datos comparten, con quién y para qué.
La protección de datos es un derecho independiente del derecho a la intimidad que garantiza que cada persona tenga control sobre sus propios datos personales. Está regulado por la Constitución Española, el RGPD, la LOPDGDD y la Carta de Derechos Fundamentales de la UE.
¿Cuáles son los 7 principios clave del RGPD?
Licitud, lealtad y transparencia; finalidad limitada; minimización; exactitud; conservación limitada; seguridad y confidencialidad; y responsabilidad proactiva.
Estos principios están recogidos en el artículo 5 del RGPD y establecen las bases para cualquier tratamiento legítimo de datos personales. Las empresas deben cumplirlos desde la recogida hasta la eliminación de los datos.
¿Qué datos personales protege el RGPD?
Todos los datos que identifican directa o indirectamente a una persona: nombre, DNI, email, dirección IP, huella digital, voz e imagen.
El RGPD tiene un concepto amplio de dato personal. No solo protege información obvia como el nombre o DNI, sino también identificadores digitales como la IP, datos biométricos como la huella o la voz, y cualquier información que permita identificar a una persona.
¿Cuáles son los derechos de los interesados en protección de datos?
Acceso, rectificación, supresión (derecho al olvido), oposición, limitación, portabilidad e información.
Estos derechos pueden ejercerse por el titular de los datos o su representante legal. El plazo máximo de respuesta es un mes (prorrogable dos más en casos complejos) y es gratuito salvo casos abusivos.
¿Qué plazo tiene una empresa para responder a una solicitud de derechos?
Un mes máximo, prorrogable otros dos meses en casos complejos.
La respuesta debe ser gratuita salvo en casos abusivos o repetitivos. Si la empresa no responde en plazo, el interesado puede reclamar ante la AEPD.
¿Qué es el Delegado de Protección de Datos y cuándo es obligatorio?
Es una figura que informa, asesora y contacta con la AEPD. Es obligatorio en organismos públicos y empresas que traten datos sensibles o masivos.
El DPD supervisa el cumplimiento de la normativa de protección de datos dentro de la organización, forma al personal, realiza auditorías y actúa como punto de contacto con la autoridad de control.
¿Qué debe hacer una empresa si sufre una brecha de seguridad?
Notificar a la AEPD en 72 horas y, si hay riesgo grave para los afectados, avisarles directamente.
La notificación a la AEPD debe incluir la naturaleza de la brecha, las categorías de datos afectados, el número aproximado de interesados y las medidas adoptadas. Si existe riesgo alto para los derechos de los afectados, también deben ser informados sin dilación.
¿Cuáles son las sanciones máximas por incumplir el RGPD?
Hasta 20 millones de euros o el 4% de la facturación global anual para infracciones muy graves.
El régimen de sanciones distingue entre infracciones muy graves (hasta 20M€ o 4%), graves (hasta 10M€ o 2%) y leves (advertencias o medidas correctoras). En España, la AEPD es quien sanciona, aunque existen autoridades autonómicas en algunos casos.
¿Qué ejemplos de conductas pueden ser sancionadas?
No tener consentimiento válido, no informar al usuario, no asegurar los datos o no notificar una brecha de seguridad.
Por ejemplo, una tienda online que envía publicidad sin consentimiento y no permite darse de baja puede ser sancionada con 40.000€ por vulnerar el principio de transparencia y no respetar el derecho de oposición.
¿Qué es el principio de minimización de datos?
Solo se deben solicitar y tratar los datos estrictamente necesarios para la finalidad prevista.
Por ejemplo, si Correos solo necesita el DNI para entregar un envío certificado, no puede pedir información adicional como la fecha de nacimiento o el estado civil. Pedir más datos de los necesarios incumple este principio.
¿Por qué surgió el RGPD?
Como respuesta a los avances tecnológicos, la globalización y el uso masivo de datos online.
Antes las empresas gestionaban archivos en papel; ahora manejan miles de datos digitales. El RGPD obliga a proteger los datos desde su recogida hasta su eliminación, adaptando la normativa a la realidad tecnológica actual.
¿Qué información debe dar Correos a un cliente que proporciona su email?
Debe informar sobre cómo se usa ese dato, para qué finalidad y cuánto tiempo se conservará.
Si un cliente da su correo electrónico para recibir una notificación de entrega, tiene derecho a saber cómo se conserva ese dato y cuánto tiempo lo van a mantener. Esta obligación de información es parte del principio de transparencia del RGPD.
Artículos relacionados
Impuesto sobre Sociedades: Pagos fraccionados, contribuyentes y valoración patrimonial
Guía práctica sobre los aspectos más preguntados del Impuesto sobre Sociedades en oposiciones: pagos fraccionados, contribuyentes y valoración de elementos patrimoniales.
Preguntas de examen sobre recursos y reclamaciones tributarias
Resolución de preguntas tipo test sobre procedimientos de revisión tributaria: recurso de reposición, nulidad de pleno derecho y legitimación en embargos.
Procedimiento de apremio y embargo en la recaudación tributaria
Guía sobre el procedimiento de apremio: desde la providencia de apremio hasta el embargo y enajenación de bienes para cobrar deudas tributarias.
Criterios de clasificación y registro de accidentes de tráfico y víctimas
Guía completa sobre los criterios que definen un accidente de tráfico, clasificación de víctimas y requisitos de registro de datos para la Policía Municipal de Madrid.
Registro Nacional de Víctimas de Accidentes de Tráfico: Artículos 114 y 115
El Registro Nacional de Víctimas de Accidentes de Tráfico está regulado por el RDL 6/2015, artículos 114 (creación) y 115 (finalidad y protección de datos).
Extinción de la Deuda Tributaria: Prescripción, Compensación y Otras Causas
Análisis de los métodos legales de extinción de la deuda tributaria distintos al pago: prescripción, compensación, deducción sobre transferencias y condonación.
¿Quieres aprender más sobre este tema?
Este contenido es parte del curso Correos de Oposiciones Ucademy. Contacta con nosotros para más información o descarga este artículo en PDF.