Saltar al contenido principal
Volver a guías
Cumplimiento

Datos personales en el trabajo

Lo esencial del RGPD que afecta a tu día a día: qué son datos personales, cómo tratarlos con sentido común, cuándo es obligatorio notificar y cómo evitar los errores más frecuentes.

Para: Todo el equipo, especialmente quien maneja datos de clientes

Contenido

Qué son datos personales

Cualquier información que permita identificar a una persona, directa o indirectamente. No solo el DNI: también el email, el IP, el teléfono, una foto, una nómina, una grabación de voz, una matrícula.

Dentro de los datos personales, algunos están más protegidos (los llamados categorías especiales): salud, religión, orientación sexual, biometría, sindical, ideología, origen racial. Para tratarlos hay que tener una base legal más exigente.

Principios prácticos

1. Minimizar

No recojas datos que no necesitas, no los guardes más de lo necesario, no los compartas con quien no los necesita. Si no los tienes, no los puedes perder.

2. Necesidad de saber

Dentro de la empresa, solo accede quien lo necesita para su trabajo. No abras un expediente "por curiosidad". El RGPD distingue: "acceder por trabajo" vs "acceder sin razón" — el segundo es una infracción aunque no salgas con los datos.

3. Tránsito controlado

  • Datos personales dentro de las herramientas corporativas, no en Drive personal, WhatsApp ni email personal.
  • Si tienes que enviar un fichero con datos a un proveedor, cifrado y/o por canal acordado (no enviar la lista de clientes a un Gmail aleatorio en claro).
  • Cuidado con los adjuntos arrastrados: el correo automático de "añadir destinatarios" es uno de los caminos más frecuentes a una brecha.

4. Borrado y conservación

Cada dato personal tiene un plazo legal de conservación (típicamente entre 4 y 6 años para temas mercantiles y laborales). Borra lo que ya no necesitas. Mantener una lista de candidatos de hace 8 años es una infracción, no una previsión.

Errores frecuentes (todos evitables)

  • Reenviar listas de clientes a tu correo personal "para trabajar el finde".
  • Adjuntar el fichero equivocado porque no miraste antes de pulsar enviar.
  • Hablar de clientes por nombre en cafetería, ascensor, tren.
  • Listas de contraseñas en pizarra o post-it.
  • Bases de datos olvidadas en USB sin cifrar.
  • Fotos de pantalla con datos personales compartidas en chats.
  • Permisos abiertos en Drive/SharePoint a "cualquiera con el enlace" en documentos con datos.

Cuando algo sale mal: brecha de datos

Una brecha de seguridad es cualquier incidente que afecte a la confidencialidad, integridad o disponibilidad de datos personales: malware, acceso no autorizado, fichero enviado al destinatario incorrecto, portátil perdido sin cifrar, etc.

  • Notificación al regulador (AEPD) en menos de 72 horas desde que se tiene constancia, salvo que sea improbable que suponga riesgo. Para nivel empresa, esto lo decide DPO / responsable.
  • Comunicación a los afectados si la brecha supone un riesgo alto.
  • Documentación interna siempre, aunque no haya que notificar.

Tu responsabilidad como miembro del equipo: reportar internamente cuanto antes, sin esperar a saber si "es para tanto". El reloj de las 72h empieza a contar y solo el equipo de DPO/seguridad puede valorarlo.

Más lectura

Ver la sección de Cumplimiento para los marcos completos (RGPD, LOPDGDD, NIS2, ENS) y checklists.

Aviso: esta guía es material formativo y no constituye asesoramiento legal. Para casos concretos, consulta con vuestro DPO o asesoría jurídica.