Normas de Cumplimiento
Temario completo del Tema 12 de Correos.
Bloque 1
Normas de Cumplimiento (Compliance) — Correos
1. Código General de Conducta y Ética Empresarial
1.1 El Código General de Conducta de Correos
El Código General de Conducta refleja los valores que marcan la forma de trabajar de Correos y contiene los principios generales que rigen la actuación de sus empleados. Correos fue la primera empresa pública en España en crear un código general de conducta.
Objetivo del Código: Definir los principios y pautas que deben establecerse en todas las relaciones comerciales del Grupo Correos, tanto a nivel interno (las propias sociedades del Grupo, empleados, directivos y administradores) como a nivel externo (en el mercado y con el resto de competidores). El Código abarca a quienes, en el ejercicio de sus funciones, puedan hacer uso del nombre "Correos".
Los criterios de comportamiento ejemplar exigidos a los miembros del Consejo de Administración y de la Junta General de Accionistas son:
-
Lealtad
-
Legalidad
-
Respeto
(La "educación" no figura entre ellos como criterio formal.)
1.2 Valores Corporativos y Actitudes
En Correos existen valores corporativos que definen las actuaciones de la empresa. El Código General de Conducta es el documento rector que los contiene, no el Estatuto de los Trabajadores ni el Reglamento de Correos 14/2006.
1.3 Canal de Comunicación y Denuncias (Ley 2/2023 — Canal Ético)
El Canal de Comunicación y Denuncias de Correos (conocido también como "canal ético", enmarcado en la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas) permite la presentación de comunicaciones o denuncias por todos los canales disponibles:
-
Canal verbal
-
Canal postal
-
Canal electrónico
Los tres son canales admitidos; no se limita a uno solo.
2. Compliance Penal (art. 31 bis del Código Penal)
2.1 Responsabilidad Penal de la Persona Jurídica
El Consejo de Administración de Correos ha aprobado un Catálogo de Conductas Prohibidas con el objeto de evitar una posible imputación penal tanto de la Sociedad Correos y Telégrafos como de sus miembros.
Las penas que pueden ser impuestas a una persona (física o jurídica) son todas las siguientes:
| Tipo de pena | Aplicación |
|---|---|
| Multa | Siempre posible |
| Prisión | Para personas físicas |
| Inhabilitación de empleo | Para personas físicas |
Los sujetos pueden participar en un hecho ilícito de formas distintas; la responsabilidad penal puede derivar de:
-
Autor: realiza directamente el hecho.
-
Inductor: provoca que otro cometa el hecho, pero no lo realiza personalmente.
-
Cooperador necesario: ayuda de forma relevante o esencial.
-
Cómplice: ayuda a cometer el hecho de forma poco importante.
(Atención: en los exámenes las definiciones de inductor/cooperador/cómplice se invierten deliberadamente como distractor.)
2.2 Programa de Prevención de Riesgos Penales
El alcance del Programa de Prevención de Riesgos Penales del Grupo Correos incluye a:
-
Empleados del Grupo Correos
-
Directivos del Grupo Correos
-
Sociedades contratistas
No incluye a los clientes del Grupo Correos, que son terceros ajenos al programa.
Los ejes fundamentales de toda acción de buen gobierno son todos los siguientes (ninguno queda fuera):
-
El acceso a la información pública
-
La transparencia
-
Las normas de buen gobierno
3. Prevención del Blanqueo de Capitales (Ley 10/2010)
3.1 Marco Normativo
La norma de referencia es la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (LPBC), desarrollada por el Real Decreto 304/2014, de 5 de mayo, que aprueba su Reglamento.
El organismo que vigila y controla el blanqueo de capitales en España es el SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias).
3.2 Posición de Correos como Sujeto Obligado
Cuando se realiza una operación de ingreso de fondos en una cuenta corriente en una Oficina de Correos, el sujeto obligado a lo establecido en materia de Prevención de Blanqueo de Capitales es Correos (no la entidad financiera ni el titular de la cuenta corriente).
Las exigencias que la normativa impone a Correos son:
-
Obtener información sobre el propósito previsto para envíos de dinero.
-
Identificar a las personas que intervengan en una operación de dinero (incluso cuando actúen por cuenta propia; la excepción aplica cuando NO actúen por cuenta propia, no al revés).
-
Deber de no revelar al cliente o a terceros las operaciones comunicadas o que están siendo investigadas (deber de confidencialidad o "tipping off").
-
Abstenerse de ejecutar operaciones sospechosas sin efectuar comunicación al SEPBLAC.
Clave: La opción incorrecta habitual en exámenes es "identificación … salvo en el caso de que no actúen por cuenta propia". La norma exige identificar siempre; lo que varía es la intensidad de la diligencia.
3.3 Estructura Interna de Prevención en Correos
| Órgano | Función |
|---|---|
| Comisión de Control | Órgano de control interno en materia de PBC. Aprueba las actualizaciones del Manual de PBC. Elabora el plan de formación con carácter anual. |
| APBC (Área de Prevención de Blanqueo de Capitales) | Analiza las operaciones sospechosas comunicadas por los empleados. Puede desestimar la operación comunicada por el empleado. |
| Departamento de Tecnología y Sistemas | Procesa la información de los sistemas informáticos y genera los ficheros de control. |
El Manual de Prevención de Blanqueo de Capitales es una norma de obligado cumplimiento para todos los empleados y directivos de Correos.
3.4 Medidas de Diligencia Debida
Se aplican tres niveles de medidas:
| Nivel | Cuándo se aplica |
|---|---|
| Simplificadas | Operaciones de riesgo reducido según criterios normativos |
| Normales | Situación estándar (p.ej., giro nacional que no supere 3.000 € en un trimestre) |
| Reforzadas | Perfil de riesgo medio del cliente (requiere autorización expresa de directores de Oficina/Unidades de Reparto o del Área de Prevención) |
Las medidas normales de diligencia debida, además de identificar formalmente al cliente, incluyen el conocimiento del propósito e índole que motiva la operación.
La Declaración de Actividad Económica (DAE):
-
Deberá ser revisada por el superior jerárquico.
-
En caso de operación sospechosa, aunque el sistema no informe de medidas reforzadas, se debe facilitar al cliente la DAE para que la cumplimente.
-
Siempre, en el caso de personas jurídicas al iniciar una relación comercial, el cliente deberá cumplimentar la DAE para conocer a los titulares reales.
3.5 Titular Real
Según el Real Decreto 304/2014, se entiende por titular real la persona o personas físicas por cuya cuenta se pretenda establecer una relación de negocios o intervenir en cualesquiera operaciones.
(No confundir con la definición alternativa relacionada con el porcentaje de capital —que requiere igual o superior al 25 %—; la opción "inferior al 25 %" es incorrecta.)
3.6 Operaciones Sospechosas y Comunicación
Cuando en IRIS se detecta una actividad sospechosa, se comunica a través de la aplicación de envío de dinero, donde aparece un botón rojo "avisar operación sospechosa" (no mediante email ni llamada al director).
El formulario usado para la comunicación por indicio de operatividad sospechosa es el modelo F 19-1.
Los datos que debe contener ese formulario son todos los siguientes:
-
Exposición de las circunstancias.
-
Investigación realizada.
-
Identificación del cliente.
3.7 Documentación e Identificación en Operaciones de Giro
Para la identificación formal de personas físicas de nacionalidad extranjera en operaciones de giro, los documentos válidos son:
-
Pasaporte válido en el país de procedencia con fotografía.
-
Tarjeta de Identidad de Extranjero o Tarjeta de Residencia.
-
Tarjeta de Asilo Político.
No es válido el Certificado de registro de ciudadanos de la Unión Europea (carta verde) para identificación formal en giros.
Para operaciones de envío de dinero Western Union, tampoco es válido el carnet de conducir; sí lo son el pasaporte, la tarjeta de residencia o la tarjeta oficial de identidad personal expedida por las autoridades de origen para ciudadanos de la UE.
Cuando el envío liquidado es un giro y se solicita asignar destinatario y receptor, habrá un control para prevenir el blanqueo de capitales.
3.8 Archivo de Documentación
| Plazo de conservación | Alcance |
|---|---|
| 10 años | Documentación generada por la aplicación del Manual de PBC |
| 10 años | Documentación de operaciones de giro (Proceso Archivo-Control de Documentos) |
3.9 Sistemas de Seguimiento del Departamento de Tecnología y Sistemas
El Departamento de Tecnología y Sistemas procesa la información y genera ficheros de control. Entre dichos ficheros no se encuentra el de "Declaraciones negativas". Sí existen:
-
Declaraciones positivas
-
Fraccionamientos enviados
-
Fraccionamientos recibidos
3.10 Infracciones en Materia de PBC (LPBC, art. 50)
La clasificación de las infracciones en la LPBC figura en el artículo 50.
Las infracciones muy graves en materia de PBC incluyen:
-
Incumplimiento doloso de la obligación de congelar o bloquear fondos de personas designadas.
-
Resistencia u obstrucción a la labor inspectora (con requerimiento expreso y por escrito).
-
Incumplimiento de la obligación de colaboración cuando medie requerimiento escrito de la Comisión de Prevención de Blanqueo de Capitales.
No se considera infracción muy grave (sino grave) la comisión de una infracción grave cuando en los cuatro años anteriores se hubiera impuesto sanción firme por el mismo tipo de infracción (eso la convierte en grave reincidente, no en muy grave por sí sola).
Las infracciones graves incluyen, entre otras:
-
Incumplimiento de la obligación de obtener información sobre el propósito e índole de la relación de negocios.
-
Incumplimiento de la obligación de formación de empleados.
-
Incumplimiento de obligaciones de identificación del titular real.
No es infracción grave el incumplimiento de la obligación de grabación del interviniente por sistemas de videovigilancia.
4. Protección de Datos Personales (RGPD y LOPD-GDD)
4.1 Marco Normativo
| Norma | Referencia | Contenido |
|---|---|---|
| RGPD | Reglamento (UE) 2016/679, de 27 de abril | Norma europea de aplicación directa. Deroga la Directiva 95/46/CE. |
| LOPD-GDD | Ley Orgánica 3/2018, de 5 de diciembre | Adapta el ordenamiento jurídico español al RGPD. Tiene 97 artículos. |
El objeto de la LOPD es adaptar el ordenamiento jurídico español a la legislación europea (no al revés).
El RGPD derogó la Directiva 95/46/CE (no la LOPD ni la LO 15/1999; estas son normas nacionales).
La ley anterior era la Ley Orgánica 15/1999, de 13 de diciembre (LOPD clásica), ya derogada.
4.2 Fundamento Constitucional
La protección de datos es un derecho fundamental protegido por el artículo 18.4 de la Constitución Española ("La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos").
4.3 Ámbito de Aplicación
La LOPD (art. 2) no será de aplicación a los tratamientos sometidos a la normativa sobre protección de materias clasificadas.
El ámbito de aplicación de la Ley Orgánica 3/2018 incluye tanto los datos de carácter personal utilizados por entidades públicas como por entidades privadas (ambos supuestos).
4.4 Principios del RGPD
Los principios relativos al tratamiento de datos personales (art. 5 RGPD) son:
-
Licitud, lealtad y transparencia.
-
Limitación de la finalidad y del plazo de conservación.
-
Minimización de datos (no "maximización").
-
Exactitud, integridad y confidencialidad.
Principio incorrecto: "Maximización de datos" no existe en el RGPD; lo que rige es la minimización.
4.5 Definiciones Clave (art. 4 RGPD)
| Concepto | Definición (art. 4 RGPD) |
|---|---|
| Tratamiento | Cualquier operación o conjunto de operaciones realizadas sobre datos personales (recogida, registro, organización, estructuración, conservación, adaptación, extracción, consulta, utilización, comunicación, difusión, cotejo, interconexión, limitación, supresión o destrucción), ya sea por procedimientos automatizados o no. |
| Limitación del tratamiento | El marcado de los datos conservados con el fin de limitar su tratamiento en el futuro. |
| Seudonimización | El tratamiento de datos de manera que ya no puedan atribuirse a un interesado sin utilizar información adicional. |
| Elaboración de perfiles | Tratamiento automatizado para evaluar aspectos personales (rendimiento, situación económica, salud, preferencias, comportamiento, ubicación…). |
| Fichero | Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados (centralizado, descentralizado o repartido). |
| Responsable del tratamiento | Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. |
| Encargado del tratamiento | Persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable. |
| Destinatario | Persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales (sea o no tercero). |
| Consentimiento | Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, mediante declaración o clara acción afirmativa, el tratamiento de sus datos. |
Clave: El encargado del tratamiento no determina los fines y medios (eso corresponde al responsable). El consentimiento nunca puede ser tácito; debe ser inequívoco.
4.6 Objeto del RGPD (art. 1)
El RGPD establece las normas relativas a:
-
La protección de las personas físicas en lo que respecta al tratamiento de datos personales.
-
La libre circulación de los datos personales en la Unión.
La libre circulación de datos personales no podrá ser restringida ni prohibida por motivos relacionados con la protección de personas físicas (esa restricción queda descartada expresamente).
4.7 Derechos del Interesado
Derechos RGPD (art. 15-22)
Los derechos del interesado recogidos en el RGPD son (formulación exacta):
Acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos y oposición.
(Errores frecuentes: "ratificación" en lugar de "rectificación"; "portabilidad del tratamiento" en lugar de "portabilidad de los datos".)
Derechos ARCO (LOPD clásica)
Los derechos ARCO son: Acceso, Rectificación, Cancelación y Oposición.
Artículos de referencia (LOPD/RGPD)
| Derecho | Art. LOPD | Art. RGPD |
|---|---|---|
| Limitación del tratamiento | Art. 16 LOPD | Art. 18 RGPD |
| Portabilidad | Art. 17 LOPD | Art. 20 RGPD |
| Oposición (mercadotecnia directa) | — | El interesado puede oponerse en todo momento cuando el tratamiento tenga por objeto la mercadotecnia directa |
Derecho al olvido
El derecho al olvido es el derecho a solicitar que los enlaces a datos personales propios no figuren en los resultados de búsqueda en Internet realizados por el propio nombre.
Plazos de los derechos ARCO (LOPD clásica)
| Derecho | Plazo |
|---|---|
| Rectificación | 10 días |
Derechos digitales (Título X de la LOPD)
El título de la LOPD que lleva por rúbrica "Garantía de los derechos digitales" es el Título X.
El Estatuto de la AEPD (aprobado por Real Decreto 428/1993) continuará vigente en lo que no se oponga al Título VIII de la LOPD.
Los derechos digitales reconocidos en la Ley Orgánica 3/2018 incluyen, entre otros:
-
Derecho a la educación digital.
-
Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
-
Derecho de rectificación en Internet.
No existe el "derecho al recuerdo en búsquedas de Internet" (es una formulación inventada; el derecho real es el derecho al olvido).
4.8 Consentimiento
El consentimiento del interesado según el RGPD debe ser:
-
Libre
-
Específico
-
Informado
-
Inequívoco (no puede ser tácito)
El consentimiento NO ha de ser tácito; requiere siempre una declaración o acción afirmativa clara.
Menores de edad
El RGPD establece en 13 años la edad mínima que los Estados miembros pueden fijar por ley para el consentimiento de menores en servicios de la sociedad de la información.
4.9 Responsable y Encargado del Tratamiento
El responsable del tratamiento será quien, en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados. Está obligado a bloquear los datos cuando proceda a su rectificación o supresión.
Los datos especialmente protegidos (origen racial, salud, vida sexual) solo son accesibles cuando:
-
El afectado ha concedido su consentimiento expreso.
-
El consentimiento está amparado por una norma con rango de ley.
No es condición suficiente que el afectado haya hecho públicos los datos con anterioridad (esa opción es incorrecta en estos supuestos).
4.10 Registro de Actividades de Tratamiento
Correos sí debe tener un registro de las actividades de tratamiento de datos personales, por obligación del art. 31 de la LOPD y del art. 30 del Reglamento 2016/679 (no del art. 34 de la LOPD, que sería incorrecto).
4.11 Comité Europeo de Protección de Datos (CEPD)
El Comité Europeo de Protección de Datos es un organismo de la Unión (no de "protección de datos" como entidad independiente), goza de personalidad jurídica (no penal) y elabora un informe anual sobre la protección de personas físicas.
4.12 AEPD y Régimen Sancionador
La Agencia Española de Protección de Datos (AEPD) vela por el cumplimiento de la normativa de protección de datos.
En la página web de la AEPD puede encontrarse el listado de países cuya normativa de protección de datos ha sido declarada inadecuada por la Comisión Europea.
Sujetos responsables (art. 70 LOPD)
Están sujetos al régimen sancionador del RGPD todos los siguientes:
-
Responsables de los tratamientos
-
Encargados de los tratamientos
-
Entidades de certificación
Infracciones
| Tipo | Artículo LOPD | Ejemplo |
|---|---|---|
| Graves | Art. 73 | Falta de adopción de medidas técnicas y organizativas para garantizar seguridad adecuada (art. 32.1 RGPD) |
| Leves | Art. 74 | — |
Las infracciones graves incluyen, entre otras: la falta de adopción de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado (art. 32.1 RGPD).
Exención de sanciones económicas: Las entidades de naturaleza pública están exentas de sanciones económicas (no todos los organismos oficiales, ni centros de enseñanza).
4.13 Roles de Seguridad en Protección de Datos
| Rol | Función |
|---|---|
| Custodio | Uno de los roles de seguridad en el ámbito de protección de datos |
| Propietario del activo (o ejecutor de la información) | Responsable de informar a los auditores y responsables de seguridad del nivel de seguridad existente |
| Responsable de Seguridad de la Información | Establece requisitos, detecta necesidades de seguridad, define el Marco Normativo; controla la seguridad; informa a la Dirección de resultados de auditoría (todas son funciones correctas) |
4.14 Medidas de Seguridad
Las principales medidas de seguridad en protección de datos incluyen:
-
Establecer procedimientos de copias de seguridad suficientes.
-
Evitar ataques por parte de crackers.
-
Establecer accesos seguros a las bases de datos.
No es una medida de seguridad "instalar malware" (es justamente lo que se combate).
Las actividades del Responsable de Seguridad de la Información deben estar reflejadas en el Modelo Organizativo de la Seguridad de la Información. Sus funciones abarcan: establecer requisitos y detectar necesidades de seguridad, definir el Marco Normativo, controlar la seguridad, e informar a la Dirección de los resultados de auditoría.
4.15 Correos y Protección de Datos
Los derechos que puede ejercer el usuario en relación con el tratamiento de sus datos cedidos a Correos son: acceso, rectificación y portabilidad.
Las encuestas de satisfacción de Correos sobre el tratamiento de datos del remitente y del destinatario no se elaboran de forma individual vinculando la información a los hábitos de consumo con su persona; tienen objetivos estadísticos y de mejora de servicios.
5. Transparencia y Buen Gobierno (Ley 19/2013)
5.1 Marco Normativo
La Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno tiene un triple objeto:
-
Incrementar y reforzar la transparencia en la actividad pública (obligaciones de publicidad activa).
-
Reconocer y garantizar el derecho de acceso a la información como derecho de amplio ámbito subjetivo y objetivo.
-
Establecer las obligaciones de buen gobierno que deben cumplir los responsables públicos, con las correspondientes consecuencias jurídicas.
Lo que no forma parte de este triple objeto es "garantizar siempre la confidencialidad de la denuncia" —eso es materia del canal ético/Ley 2/2023, no de la Ley de Transparencia—.
5.2 Ámbito Subjetivo
Las disposiciones del Título I de la Ley de Transparencia no se aplican a las universidades privadas (sí se aplican al Congreso de los Diputados, a las CCAA y a las organizaciones sindicales, aunque con matices).
5.3 Consejo de Transparencia y Buen Gobierno
El organismo creado para velar por el cumplimiento de la Ley 19/2013 es el Consejo de Transparencia y Buen Gobierno.
Composición:
-
El Presidente del Consejo de Transparencia y Buen Gobierno (que lo es también de su Comisión).
-
La Comisión de Transparencia y Buen Gobierno (que ejerce las competencias asignadas por la Ley).
El Presidente es nombrado mediante Real Decreto por un periodo de cinco años no renovables.
5.4 Inadmisión de Solicitudes de Información
Correos podrá inadmitir a trámite, mediante resolución motivada, una solicitud de información pública cuando:
-
Sea manifiestamente repetitiva o tenga carácter abusivo.
-
Se refiera a información que tenga carácter auxiliar o de apoyo (notas, borradores, opiniones, resúmenes, comunicaciones e informes internos).
-
Se refiera a información en curso de elaboración o de publicación general.
No es causa de inadmisión que la solicitud no esté debidamente justificada (la Ley no exige al ciudadano motivar por qué solicita la información).
5.5 Formalización del Acceso a la Información
Cuando no pueda darse acceso a la información en el momento de la notificación de la resolución, deberá otorgarse en un plazo no superior a diez días.
La expedición de copias o la transposición a un formato diferente puede dar lugar a exacciones (no es necesariamente gratuita). El acceso no se limita a soporte papel.
5.6 Derechos al Solicitar Información: Solicitud de Acceso en el Portal de Correos
Si un usuario quiere solicitar información no publicada activamente en el portal, puede ejercer el derecho de acceso a través de la "Solicitud de Acceso", haciendo constar:
-
Nombre y dos apellidos.
-
Información solicitada.
-
Dirección de correo electrónico o dirección postal elegida para recibir la contestación.
No se exige fotocopia del DNI o pasaporte, firma electrónica o carné de conducir (ese dato es incorrecto).
5.7 Portal de Transparencia de Correos
El portal de transparencia de Correos es accesible desde el dominio correos.com.
Contiene los siguientes apartados:
-
Información normativa
-
Información económica
-
Solicitud de acceso
No existe un apartado de "información privada" (es la opción incorrecta).
Correos se organiza a nivel central en direcciones corporativas y se estructura territorialmente en siete áreas.
En el apartado de información organizativa del portal, se indica esa estructura territorial. En cuanto a la información económica sobre procedimientos de adjudicación de contratos, se encuentran todas las siguientes:
-
Licitaciones en curso (obras, suministros y servicios).
-
Licitaciones resueltas.
-
Licitaciones del Grupo Correos.
La información económica, presupuestaria y estadística que los sujetos obligados deben publicar activamente incluye:
-
Subvenciones y ayudas públicas.
-
Información estadística sobre grado de cumplimiento y calidad de servicios.
-
Presupuestos y descripción de principales partidas.
No es obligatoria la publicación de "cuentas mensuales" (lo que se publica son las cuentas anuales, no mensuales).
El portal no ofrece la relación de nóminas de los empleados.
5.8 Régimen Normativo de Correos en el Portal
Correos es una sociedad mercantil que se rige por el ordenamiento jurídico privado, salvo en las materias que le sea de aplicación la normativa presupuestaria, contable, de control financiero y de contratación, en su condición de sociedad integrante del sector público empresarial, conforme a lo dispuesto en el artículo 3 de la Ley 47/2003, General Presupuestaria.
5.9 Actividad Contractual
La actividad contractual del Grupo Correos está sujeta a los principios de:
-
Publicidad
-
Transparencia
-
Concurrencia
No está sujeta al principio de "perseverancia" (que no es un principio de contratación).
6. Propiedad Intelectual e Industrial
6.1 Diferencia Esencial
| Categoría | Qué protege |
|---|---|
| Propiedad industrial | Creaciones relacionadas con la industria: patentes y modelos de utilidad, signos distintivos y diseños industriales. |
| Propiedad intelectual | Obras literarias, artísticas y científicas; derechos de autor. |
En los exámenes se confunden habitualmente. La respuesta correcta cuando se habla de "patentes, modelos de utilidad, signos distintivos y diseños" es siempre propiedad industrial.
7. Ciberseguridad
7.1 Conceptos Fundamentales
La seguridad de la información se basa en tres pilares (los tres son correctos; "confianza" no es uno de ellos):
-
Confidencialidad
-
Integridad
-
Disponibilidad
Los tres ejes de la seguridad de la información son, por tanto, confidencialidad, integridad y disponibilidad.
El tiempo medio que una empresa tarda en descubrir que ha sido objeto de un hackeo es aproximadamente 8 meses.
El primer virus informático, llamado Creeper, se creó en el año 1971.
7.2 Tipos de Malware
| Amenaza | Descripción |
|---|---|
| Malware | Término genérico para cualquier amenaza que atenta contra la seguridad en Internet |
| Virus informático | Programa que se replica introduciéndose en otros programas o archivos |
| Gusano informático | Realiza copias de sí mismo en otros ordenadores de la red buscando distribución masiva (email, P2P, mensajería instantánea) para bloquear programas |
| Troyano | Se disfraza de software legítimo; no se replica por sí solo |
| Spyware | Recopila información sobre una persona u organización sin su consentimiento ni conocimiento, buscando beneficio económico del ciberdelincuente |
| Adware | Aplicaciones diseñadas para mostrar publicidad al usuario |
| Ransomware | Bloquea y secuestra el acceso a un equipo o a la información que contiene, pidiendo un rescate económico a cambio de su desbloqueo. Se propaga frecuentemente por no apagar el ordenador cada día (mala práctica) |
| Rootkit | Oculta la presencia de otros programas maliciosos |
| Keylogger | Registra las pulsaciones del teclado |
Smishing: El canal de acceso de los ciberdelincuentes en el smishing es a través del teléfono móvil (mensajes SMS). No confundir con phishing (correo electrónico) ni vishing (llamada de voz).
7.3 Phishing
El phishing es la técnica por la que "los ciberdelincuentes se hacen pasar por entidades conocidas y envían un mensaje (habitualmente por correo electrónico) intentando engañar al usuario para que revele datos confidenciales".
El canal más habitual para el phishing es el correo electrónico.
Las excusas más comunes que los ciberdelincuentes utilizan en el phishing son:
-
Promoción de nuevos productos / inminente desactivación del servicio (ambas son correctas, la respuesta que las incluye a las dos es la correcta).
-
Prevención del fraude.
Correos ha detectado en los últimos años un aumento de phishing; entre las medidas, la respuesta que incluye todas las opciones válidas es la correcta.
Para detectar un email de phishing: la presencia del logo de una empresa en el correo no garantiza su autenticidad.
7.4 Buenas Prácticas de Seguridad
Contraseñas:
| Recomendación | Correcto |
|---|---|
| Longitud mínima | 8 caracteres (en el decálogo de Correos se menciona también "mínimo 6 caracteres alfanuméricos incluyendo mayúsculas, minúsculas, dígitos y signos de puntuación", aunque el estándar general es 8) |
| Combinación | Mayúsculas, minúsculas, caracteres especiales y números |
| Lo que NO se debe hacer | Usar la misma contraseña en todos los servicios; crearla a partir de la concatenación de varios elementos predecibles; usar nombres propios; compartirla o anotarla |
| Cambio periódico | Sí, se recomienda periódicamente (al menos cada cierto tiempo) |
| En el puesto de Correos | No debe contener información del puesto de trabajo ni información personal |
El gestor de contraseñas (Lastpass, Dashlane, Password Boss) permite gestionar todas las contraseñas recordando solo una clave maestra.
Ausencia del puesto de trabajo:
-
Lo más conveniente, desde el punto de vista de la ciberseguridad, cuando un empleado se ausenta: bloquear el equipo o cerrar sesión (no llevárselo, no cambiar la contraseña).
-
Según el decálogo de seguridad de Correos: el empleado tiene que bloquear el equipo; no puede usar aplicaciones no proporcionadas por Correos; no puede permitir el acceso a compañeros.
Correo electrónico:
-
Antes de descargar un archivo adjunto: analizarlo con un antivirus.
-
Si llega a spam: no eliminar directamente sin analizar.
WiFi:
-
Lo más recomendable para proteger la clave WiFi: modificar periódicamente el nombre de la red y la clave WiFi.
-
Las WiFi públicas no son seguras.
-
El número de dispositivos conectados al mismo router sí afecta a la cobertura WiFi.
-
Elementos cotidianos que perjudican la señal WiFi: microondas, paredes de hormigón, otros dispositivos inalámbricos.
Conexión a Internet:
-
Para dispositivos antiguos, lo más recomendable para un buen rendimiento: cable ethernet (más estable y rápido que WiFi).
-
HTTPS es un protocolo de comunicación segura de Internet.
7.5 Firewall y Herramientas de Seguridad
Un sistema firewall contiene un conjunto de reglas predefinidas que permiten:
-
Autorizar una conexión
-
Bloquear una conexión
-
Redireccionar un pedido de conexión sin avisar al emisor
La biometría en seguridad digital es la identificación de características físicas, e incluso de comportamiento, de una persona.
La autenticación de doble factor (2FA) funciona mediante una comprobación en el móvil del usuario al intentar acceder a un sistema o cuenta.
BitLocker y herramientas como Dashlane o Password Boss se usan para codificar o descodificar información y gestionar contraseñas. Keylogde (Keylogger) no es una aplicación para cifrar sino para capturar pulsaciones.
7.6 Activos de Información
En una compañía, los principales tipos de activos de información son:
-
Hardware
-
Software
-
Equipamiento auxiliar
No se consideran activos de información las "aplicaciones nativas" como categoría independiente (es una subcategoría del software).
El inventario de activos es una herramienta de mejora para la empresa (no un mero documento sin valor ni un software de gestión).
La información confidencial de una empresa debe ser accesible únicamente a aquellos empleados que necesiten conocerla; deben implementarse todos los controles necesarios para limitar el acceso.
La clasificación de la información se determina por su vigencia, significado y valor (el receptor no es un factor de clasificación).
8. Transformación Digital y Negocio Digital
8.1 Concepto de Negocio Digital
Un negocio digital usa la tecnología para crear nuevo valor sobre los modelos de negocio. Es aplicable también a los negocios tradicionales; incluye a las marcas nacidas antes del proceso de digitalización; permite el uso de experiencias de los clientes para el desarrollo.
8.2 Modelos de Negocio Digital
| Modelo | Ejemplos |
|---|---|
| Peer to Peer (P2P) | Airbnb, Uber, LinkedIn (todos son correctos) |
| Suscripción | Flujo continuo de ingresos predecibles; base de clientes fija durante un periodo; visión más clara de las necesidades. No incluye necesariamente un "embudo de conversión optimizado para cambiar usuarios gratuitos en pagados" (eso es modelo freemium). |
| Código abierto | Software de libre acceso; existen suscripciones de pago para clientes Premium y empresariales. Lo incorrecto es afirmar que el código abierto se basa en el software de pago exclusivo. |
8.3 Canales y Estrategia Omnicanal
| Concepto | Definición |
|---|---|
| Canal | Medios por los que una empresa da a conocer y pone a la venta sus productos y servicios |
| Estrategia omnicanal | Permite conectar al momento lo que ocurre en el medio presencial con la interacción que tiene lugar en el entorno virtual y viceversa |
| Multicanalidad | Uso de múltiples canales sin integración total entre ellos |
8.4 Ventajas y Riesgos de la Digitalización
Ventajas de la digitalización:
-
Mejora en la toma de decisiones.
-
Feedback en tiempo real.
No es una ventaja las "políticas de protección de datos" (son una obligación/restricción derivada de la digitalización, no una ventaja de la misma).
Riesgos del mal uso de dispositivos móviles: El coste, las vulnerabilidades de seguridad y la pérdida de productividad son riesgos. "Que requiera cargador" no es un riesgo empresarial relevante.
Las personas juegan un papel clave en la digitalización; el cambio implica salir de la zona de confort.
8.5 Herramientas Digitales
| Herramienta | Función |
|---|---|
| MS Teams | Centro de trabajo remoto de Microsoft. Permite chat grupal e individual y videoconferencias de hasta 10.000 personas |
| Google Drive | Almacenamiento y colaboración en la nube |
| Trello | Herramienta clásica para organizar y priorizar proyectos mediante tableros; gran potencial de información en cada tablero |
| Wrike, Maister Task, Basecamp, Google Calendar | Gestión de proyectos online |
| Slack o Zoom | Comunicación con compañeros de trabajo |
| Wetransfer o Dropbox | Envío de vídeos o archivos con mucho peso |
| Adobe Connect | Videoconferencias y reuniones online |
| Mindmeister | Mapas mentales |
| Mailchimp | Email marketing |
Intranet: Red privada que utilizan las organizaciones para compartir información relevante para los profesionales de forma segura.
Trabajo colaborativo: Compartir tareas en tiempo real y que varias personas puedan realizar modificaciones en documentos, bases de datos o aplicaciones de manera simultánea.
Teletrabajo (Acuerdo Marco de la UE): Una forma de organización y/o de realización del trabajo utilizando las tecnologías de la información (no un tipo de contratación ni simplemente una elección de lugar de trabajo).
8.6 Metodologías
-
Lean: Método en el que las necesidades y soluciones evolucionan a través de la colaboración entre los distintos equipos involucrados en el proyecto, con responsabilidad compartida y comunicación, interacción y aprendizaje colaborativo como elementos centrales.
-
Agile: Metodología iterativa e incremental para la gestión de proyectos.
8.7 Correos en la Transformación Digital
-
El marketing analítico en Correos se desarrolla a través de Correos Target, Correos Data y Correos ADD.
-
Con la creación de SEDI, los programas informáticos afectados fueron: IRIS, SGIE y GIROE (todos).
-
El vehículo eléctrico autónomo CUBE es un taxi sin conductor cuyo interior puede configurarse para cumplir diferentes propósitos.
-
El Premio al Compromiso Ambiental es el premio que otorga Correos en su compromiso con la sostenibilidad. El equipo ganador recibe 3 premios.
9. Big Data
9.1 Concepto y Aspectos Fundamentales
Los aspectos fundamentales del Big Data son: análisis, interpretación y estrategia (no "la gestión de números muy grandes" ni "la recuperación de archivos eliminados").
Las principales ventajas del Big Data son la mejora en la toma de decisiones y el feedback en tiempo real (entre otras). No se incluyen las políticas de protección de datos como ventaja.
9.2 Las V del Big Data
| Concepto en Big Data | Definición |
|---|---|
| Análisis | Aprovecha el valor de los datos que ofrecen clientes, productos y operaciones; transforma datos en conocimiento útil |
| Interpretación | Aprovecha el valor de los datos que ofrecen clientes, productos y operaciones (nota: en el contexto del examen, "interpretación" y "análisis" comparten una definición similar; la clave es que ambos "aprovechan el valor de los datos") |
| Variedad | Diversidad de tipos y fuentes de datos (estructurados, semiestructurados, no estructurados) |
10. Identidad Digital y Huella Digital
10.1 Componentes de la Identidad Digital
La identidad digital se compone de: visibilidad, reputación y privacidad.
-
Reputación: La opinión que otras personas tienen de un sujeto.
-
Visibilidad: Presencia e impacto en la red.
-
Privacidad: Control sobre los datos e información personal.
La gestión de la identidad digital se define como la habilidad de gestionar con éxito la propia visibilidad individual, la privacidad personal en la red y la reputación (las tres a la vez).
La huella digital es el rastro que deja el uso y tratamiento de nuestra identidad en Internet.
Teletrabajar (en sí mismo) no forma parte de la identidad digital; sí lo forman compartir publicaciones en redes sociales, consultar ocio en Internet o dejar opiniones en comercios online.
10.2 Buenas Prácticas en Identidad Digital
No es una recomendación para gestionar la identidad digital "aportar siempre todos los datos personales necesarios para generar confianza" (a veces es más seguro proteger ciertos datos).
Mejorar la identidad digital se puede afrontar desde distintas perspectivas (personales, profesionales y públicas).
10.3 Redes Sociales
- LinkedIn: "Enfocada a la relación e interacción de personas en el ámbito profesional y no tanto el personal".
11. Tecnologías Emergentes
11.1 Drones
Un dron es un robot aéreo. Sus usos van más allá del doméstico: usos militares, meteorología, servicios de reparto automatizado de paquetería (todos son usos correctos).
11.2 Realidad Virtual y Realidad Aumentada
| Tecnología | Característica principal |
|---|---|
| Realidad virtual | Traslada a una realidad distinta (realista o imaginaria); puede requerir dispositivo que aísle al usuario del mundo real; enfocada al entretenimiento digital |
| Realidad aumentada | Superpone elementos virtuales sobre la visión de la realidad a través de la tecnología; permite recibir información a tiempo real; no aísla del mundo real |
Superponer elementos virtuales sobre los elementos del entorno del usuario es una característica de la realidad aumentada, no de la virtual.
11.3 Internet de las Cosas (IoT)
El Internet de las Cosas (IoT) interconecta objetos cotidianos a través de Internet dotándolos de sensores y conectividad. Un coche inteligente es un ejemplo de producto IoT.
Los sensores de los objetos conectados permiten recoger, procesar y comunicar datos; no incluyen funciones de entretenimiento como característica definitoria.
11.4 Impresión 3D
La impresión 3D es una tecnología de fabricación aditiva que permite crear objetos tridimensionales a partir de un modelo digital.
11.5 Wearables
Un wearable es un dispositivo tecnológico que se lleva puesto (reloj inteligente, pulsera de actividad, etc.).
11.6 Tecnología de Clústeres
La tecnología de clústeres posibilita que varios ordenadores se agrupen funcionando como uno solo.
12. Ofimática y Herramientas Informáticas
12.1 Excel
| Aspecto | Dato correcto |
|---|---|
| Formato de archivo | .xlsx (no .xlt, .xlst ni .xlts) |
| Números en celda | Se ajustan automáticamente a la derecha |
| Caracteres alfanuméricos | Las letras del alfabeto, los números mezclados con letras y los signos de puntuación |
| Seleccionar filas adyacentes | Primera fila + tecla MAYUS + clic en la última fila |
| Inmovilizar paneles | Ficha "Vista" → grupo "Ventana" → opción "Inmovilizar" → "Inmovilizar paneles" |
| Ocultar una fila | Clic derecho sobre el encabezado de la fila → "Ocultar" (opción B del examen) |
| Moverse a la última columna con datos en la fila actual | Tecla Fin + flecha derecha (opción A del examen) |
| Hoja de cálculo: concepto | Herramienta para gestionar y calcular datos en filas y columnas (todas las definiciones correctas se incluyen en la opción D) |
Conversión de unidades:
- 4.000 KB = 4 MB (1 MB = 1.024 KB; 4.000 / 1.024 ≈ 3,9 ≈ 4 MB)
Búsqueda booleana NOT: El operador booleano NOT en la búsqueda de información busca resultados que no incluyan el término después del operador NOT.
12.2 Windows
| Aspecto | Dato correcto |
|---|---|
| Cuentas de usuario | Administrador, estándar e invitado |
| Modo oscuro | Modifica el color del Explorador de archivos, la Configuración y la visualización del tema general a tonos oscuros; también cambia las aplicaciones de Microsoft al color negro (ambas son correctas: respuesta D) |
| Cuenta local | Cuenta de Windows que no está vinculada a una cuenta Microsoft online |
| Modo incógnito | No guarda el historial de navegación, cookies ni formularios de esa sesión |
Hacker: Persona con grandes habilidades en el manejo de computadoras. (En su acepción original, el hacker es un experto que busca entender los sistemas en profundidad; el término "cracker" designa al que actúa con fines maliciosos.)
12.3 Digitalización
La digitalización es la acción de convertir o codificar en dígitos o datos información (textos, imágenes, sonidos…). Una vez realizada la conversión a imagen digital, lo primero que se debe hacer es guardarla en el formato concreto que se vaya a utilizar para su posterior tratamiento y consulta.
Código QR vs. Bidi: la diferencia correcta entre ambos formatos de código de barras bidimensional se refiere a su capacidad de almacenamiento y sistema de lectura (el QR puede almacenar más información; el Bidi es la versión española del QR estándar).
12.4 SEO
-
SEO (Search Engine Optimization): posicionamiento en buscadores de forma orgánica.
-
Los aspectos clave del SEO incluyen el contenido, los enlaces y la estructura técnica del sitio (opción C del examen).
-
Los blogs corporativos no son un medio de pago telemático; sus utilidades principales son la atención al cliente, la comunicación directa con usuarios y el posicionamiento de marca.
12.5 Control Parental
El control parental es una herramienta que permite a los progenitores supervisar y limitar el uso que hacen sus hijos de las tecnologías. Instalar el control parental es una forma de proteger a los menores en el entorno digital.
13. Norma UNE y Medioambiente
La norma encargada de la medición de gases de efecto invernadero es la UNE EN-ISO 14064-1:2012.
(No confundir con UNE-EN ISO 9001 —calidad— ni con UNE-EN 13850.)
14. Secreto Postal y Ley 43/2010
El artículo 5 de la Ley 43/2010, del Servicio Postal Universal, garantiza el secreto de las comunicaciones postales.
Todos los datos relacionados con los envíos postales (remitente, dirección del destinatario, acto notificado en un envío certificado con acuerdo especial) están recogidos dentro del secreto de los envíos postales, y su divulgación está prohibida para Correos y sus empleados.
Resumen de Referencias Normativas Clave
| Norma | Referencia | Artículo relevante |
|---|---|---|
| Constitución Española | — | Art. 18.4 (protección de datos) |
| RGPD | Reglamento (UE) 2016/679 | Art. 4 (definiciones), art. 5 (principios), art. 18 (limitación), art. 20 (portabilidad) |
| LOPD-GDD | LO 3/2018, 5 diciembre | Art. 16 (limitación), art. 17 (portabilidad), Título X (derechos digitales), Título VIII (AEPD), art. 73 (graves), art. 74 (leves), art. 97 artículos en total |
| LPBC | Ley 10/2010, 28 abril | Art. 50 (clasificación infracciones) |
| Reglamento LPBC | RD 304/2014, 5 mayo | Titular real |
| Ley de Transparencia | Ley 19/2013, 9 diciembre | — |
| Ley Postal | Ley 43/2010 | Art. 5 (secreto postal) |
| Ley presupuestaria | Ley 47/2003 | Art. 3 (régimen de Correos) |
| Canal ético | Ley 2/2023, 20 febrero | Canal de denuncias |
| ISO medioambiental | UNE EN-ISO 14064-1:2012 | Medición gases efecto invernadero |
Bloque 2
Tema 12 – Normas de Cumplimiento (Compliance) · Parte 2
1. Código General de Conducta del Grupo Correos
1.1 Historia y estructura del Código
El Código General de Conducta de Correos es la guía de referencia y pilar vertebrador de los principios éticos para el ejercicio diario de la actividad empresarial. Establece un protocolo interno destinado a prevenir el riesgo de imputaciones delictivas.
| Hito | Año |
|---|---|
| Primer Código General de Conducta | 2005 |
| Primera actualización del Código de Conducta | 2014 |
| Revisión aprobada por el Consejo de Administración | 2021 |
-
El Código existe desde 2005 y su revisión se aprobó en 2021 por el Consejo de Administración.
-
Los principios y pautas de conducta del Grupo Correos promueven activamente un entorno de respeto e igualdad de trato para todas las personas que integran la organización.
1.2 Ámbitos del Código
Los códigos de conducta recogidos expresamente en el Código General del Grupo Correos incluyen, entre otros, las relaciones con empleados, clientes, proveedores y administraciones públicas. No se incluye el ámbito de «relaciones con los miembros de las administraciones privadas» (ese no es un código de conducta reconocido).
1.3 Objetivos del Código
El Código General de Conducta no tiene como objetivo «garantizar el cumplimiento a través de herramientas a disposición de los clientes» (ese no figura entre sus objetivos formales). Sí tiene como objetivos establecer principios éticos, prevenir riesgos penales y servir de guía para la conducta diaria de todos los empleados.
1.4 Prohibición de regalos, ventajas e incentivos
El Grupo Correos prohíbe a todos sus empleados la aceptación u ofrecimiento de ventajas o incentivos, con la única excepción de las donaciones políticas divulgadas que cumplan con la ley y estén autorizadas por Correos. En cualquier caso, las donaciones políticas quedan prohibidas en todos los demás supuestos.
El Código de Conducta fija en 2.500 euros la cuantía que activa la prohibición de prácticas que pudieran constituir corrupción.
1.5 Deberes de administradores y directivos
El desempeño de cargos de administrador o directivo de cualquier sociedad del Grupo conlleva estas obligaciones:
-
Notificar al Comité de Dirección toda oportunidad de negocio que llegue a su conocimiento y pueda resultar de interés para Correos.
-
Respetar la legalidad vigente en el ejercicio de sus funciones.
-
Abstenerse de realizar, directa o indirectamente, transacciones profesionales o comerciales con Correos (cuando exista conflicto de interés).
No es un deber del administrador «cumplir con el deber de mostrar la información relativa al Grupo, así como las deliberaciones de sus órganos» (esa opción contiene el error de «mostrar» en lugar de «guardar secreto»).
1.6 Información confidencial
Se entiende por información confidencial toda aquella información no pública que afecta a los negocios del Grupo Correos en su mayor amplitud. La información pública, en cambio, es cualquier material de la empresa sin restricciones de difusión.
2. Canal de Comunicación y Denuncia
2.1 Naturaleza y propósito
El Canal de Comunicación y Denuncia (también llamado Canal Ético) permite a los empleados y partes interesadas informar de buena fe sobre posibles incumplimientos normativos o del Código de Conducta. Su finalidad es establecer un procedimiento de comunicación con el Comité de Cumplimiento.
El Consejo de Administración de Correos y Telégrafos manifiesta que el Canal de Comunicación y Denuncia se fundamenta en el Principio de Equidad y Libertad.
2.2 Objetivos del Canal
El Canal pretende:
-
Garantizar la confidencialidad del denunciante.
-
Crear un procedimiento interno de comunicación.
-
Prevenir represalias frente a quien informe de buena fe.
-
Contribuir al sistema de compliance corporativo.
Para asegurar el cumplimiento de la normativa vigente y evitar denuncias, la medida clave adoptada es precisamente la creación de un Canal de Comunicación y Denuncia para informar de buena fe sobre posibles irregularidades.
3. Comité de Cumplimiento (Compliance)
3.1 Naturaleza del Comité
Para la implantación del Sistema de Compliance de Correos se ha constituido un Comité de Cumplimiento. Se trata de un órgano colegiado autónomo de vigilancia y control (no es un órgano mixto con SEPI ni con sindicatos).
3.2 Programa de Prevención de Riesgos Penales
El Programa de Prevención de Riesgos Penales fue aprobado por el Consejo de Administración de Correos y Telégrafos el 22 de julio de 2021.
4. Prevención del Blanqueo de Capitales (PBC) y Financiación del Terrorismo
4.1 Definición de blanqueo de capitales
El blanqueo de capitales es el proceso en virtud del cual los bienes de origen delictivo se integran en el sistema económico legal con apariencia de haber sido obtenidos de forma lícita. No se limita a personas extranjeras ni a un único sector.
4.2 Marco normativo
| Norma | Contenido |
|---|---|
| Ley 10/2010, de 28 de abril | Prevención del blanqueo de capitales y de la financiación del terrorismo (ley vigente) |
| Ley 12/2003, de 21 de mayo | Bloqueo de la financiación del terrorismo |
| Directiva 2015/849/UE | Directiva del Parlamento Europeo relativa a la utilización del sistema financiero para el blanqueo de capitales |
La Ley 10/2010 establece en su art. 2.1.j que Correos está sujeto a su cumplimiento.
Los empleados de Correos deben conocer también la Ley 12/2003, de 21 de mayo, como las demás normas básicas relacionadas con la PBC.
4.3 Plazo de conservación de documentación PBC
Correos deberá mantener archivada la documentación generada por la aplicación del Manual de PBC durante 10 años.
4.4 Tipos de medidas de diligencia debida
| Tipo de medida | Supuesto de aplicación |
|---|---|
| Simplificadas | Administraciones o empresas públicas; clientes de bajo riesgo |
| Normales | Cliente particular con operaciones de giro nacionales por importe que no supera umbrales de riesgo (p. ej., 2.998 € a lo largo de un trimestre) |
| Reforzadas | Personas jurídicas en operaciones de giro; clientes de alto riesgo |
Las medidas simplificadas permiten reducir el seguimiento de la relación de negocios.
Cuando se aplican medidas reforzadas, la operación no podrá realizarse hasta que el cliente acredite su actividad económica y el origen lícito de sus fondos mediante documentos fehacientes. El Director de la Oficina valorará la documentación y decidirá si el giro puede ejecutarse o debe anularse.
Atención (dato incorrecto de examen): La afirmación de que «cuando se apliquen medidas simplificadas será necesario identificar al cliente únicamente cuando se supere un umbral cuantitativo y esta identificación se realizará con posterioridad» es incorrecta según la normativa interna de Correos (la identificación siempre ha de ser previa al establecimiento de la relación).
En las operaciones de giro por personas jurídicas se aplicarán en todo caso medidas reforzadas con cumplimentación de la DAE (Declaración de Actividad Económica) específica de personas jurídicas. La afirmación que dice que en esos casos NO se aplican medidas reforzadas es incorrecta.
4.5 DAE — Declaración de Actividad Económica
Las siglas DAE significan Declaración de Actividad Económica. Se cumplimenta en el contexto de la aplicación de medidas reforzadas en las operaciones de envío o cobro de dinero.
4.6 SEPBLAC
Las siglas SEPBLAC significan Servicio Ejecutivo de Prevención de Blanqueo de Capitales. Mensualmente se le comunican mediante DMO (Declaración de Movimientos de Moneda) las operaciones individuales por importe superior a 1.500 €.
4.7 Área de Prevención del Blanqueo de Capitales (APBC)
-
El APBC es la unidad técnica para el tratamiento y análisis de la información relativa a la PBC en Correos.
-
Está integrada en la Dirección Adjunta de Operaciones para Oficinas y Servicios Financieros.
-
El APBC dispone de tres meses para notificar al empleado el estado de la operación tras su revisión.
Funciones del APBC
Entre las funciones del APBC se encuentran todas las que siguen; no le corresponde elaborar los informes solicitados por el SEPBLAC (esa función tampoco es del responsable en PBC a nivel de oficina):
-
Analizar las operativas sospechosas y comunicarlas al órgano competente.
-
Autorizar las operaciones en las que se apliquen medidas reforzadas.
-
Controlar el archivo de toda la documentación que presenten los clientes.
Nota clave: Elaborar los informes solicitados por el SEPBLAC es una función que NO corresponde al responsable en PBC de la oficina ni al APBC directamente (se gestiona a otro nivel).
4.8 Funciones del responsable en PBC en la oficina
Las funciones del responsable a nivel de oficina incluyen:
-
Analizar las operativas sospechosas y comunicarlas al Área de Prevención de Blanqueo de Capitales.
-
Autorizar las operaciones en las que se apliquen medidas reforzadas.
-
Controlar el archivo de la documentación que presenten los clientes.
No es función del responsable en materia de PBC de la oficina «elaborar los informes solicitados por el SEPBLAC».
4.9 Sistema SEDI/PBC y aplicación ARED
-
El módulo SEDI/PBC controla los datos de los clientes en las aplicaciones afectadas por la PBC.
-
El sistema ARED realiza el seguimiento continuo de la relación de negocios de forma automática (aplicable en medidas normales).
-
El empleado de Correos puede consultar la ficha de prevención y blanqueo de capitales desde Conecta, disponible a través de la intranet de Correos.
4.10 Protocolo con Western Union
Correos y Western Union firmaron el Protocolo de Actuación en Materia de Prevención del Blanqueo de Capitales en 2014.
4.11 Documentos válidos para cobro de transferencias Western Union
Para cobrar una transferencia de Western Union, los documentos admitidos son los habituales de identificación formal (DNI, pasaporte, NIE, etc.). No se admite como documento válido la tarjeta de asilo político (esa no es válida a estos efectos).
Asimismo, la Ley 10/2010 obliga a comprobar documentos de identificación; el certificado de registro de ciudadanos de la UE es un documento que no puede ser aceptado como único identificador a efectos de PBC.
4.12 Digitalización de documentos y excepciones
En la operación con tendencia a evitar el blanqueo de capitales en una oficina postal, la digitalización de documentos no es necesaria en el caso de los internos en establecimientos penitenciarios (supuesto expresamente excluido del proceso ordinario de digitalización).
4.13 Infracciones en materia de PBC
| Gravedad | Ejemplo |
|---|---|
| Muy grave | Resistencia u obstrucción a la labor inspectora, siempre que medie requerimiento expreso |
| Grave | Incumplimiento de la identificación formal o de la obligación de aplicar medidas de seguimiento continuo a la relación de negocios |
| No grave | Equivocarse en el envío de un correo con valor declarado (eso no es infracción PBC) |
La prohibición de revelación o la debida reserva es también una infracción PBC (aunque las preguntas de examen la excluyen del tipo «grave» cuando se presenta aislada; la opción correcta en las preguntas que combinan ambas es la de incumplimiento de identificación formal).
4.14 Operaciones especiales: giros a menores
Cuando el destinatario de un giro domiciliario es un menor de 13 años, no puede pagarse en metálico ni mediante cheque a cualquier persona que conviva en el domicilio ni a cualquiera que se encuentre en la vivienda sin solicitar DNI. Las opciones A, B y C descritas en los exámenes son todas incorrectas: ninguna de ellas refleja el procedimiento correcto, ya que la normativa exige identificación estricta y representación legal verificada.
4.15 Aplicación a puestos de atención al cliente
El control del blanqueo de capitales exige a los puestos de atención al cliente la aplicación de medidas reforzadas cuando así lo determina el perfil del cliente o el importe de la operación.
5. Protección de Datos Personales — RGPD y LOPD
5.1 Marco normativo general
| Norma | Descripción |
|---|---|
| Reglamento (UE) 2016/679 (RGPD) | De 27 de abril de 2016; entró en vigor el 25 de mayo de 2016 y es aplicable desde el 25 de mayo de 2018 |
| LO 3/2018, de 5 de diciembre (LOPD) | Adapta al ordenamiento jurídico español el RGPD y completa sus disposiciones |
| LO 15/1999, de 13 de diciembre (derogada) | Marco normativo anterior, sustituida por la LO 3/2018 |
El RGPD y la LOPD son aplicables a Correos, ya que la empresa presta servicios a ciudadanos europeos en el territorio de la UE.
5.2 Ámbito de aplicación de la LOPD
La LO 3/2018 es de aplicación a:
«Cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.»
No se aplica a:
-
Los tratamientos excluidos del ámbito del RGPD.
-
Los tratamientos sometidos a la normativa sobre protección de materias clasificadas.
-
Los tratamientos de datos de personas fallecidas (aunque en este caso, herederos y familiares pueden dirigirse al responsable según el art. 3 de la LOPD).
Lo dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la LO 3/2018 se aplica a «cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero».
5.3 Estructura de la LOPD
| Título | Contenido |
|---|---|
| Título I | Disposiciones generales (3 artículos; principios: consentimiento de menores de edad, exactitud de los datos, deber de confidencialidad) |
| Título IX | Régimen sancionador |
| Título X | Garantía de los derechos digitales (comienza en el art. 79) |
Los principios de protección de datos de la LOPD no se regulan en el Título I (esa afirmación es incorrecta); en realidad, la LOPD sí recoge en su Título I algunos principios básicos y disposiciones generales (la afirmación incorrecta del examen es que «los principios se regulan en el Título I», pues se puede malinterpretar el contenido exacto de dicho título; lo que el examen señala como incorrecto es esa ubicación exacta).
El art. 70 de la LOPD regula el régimen sancionador (sujetos): están sujetos al mismo los responsables de los tratamientos, las entidades acreditadas de supervisión de los códigos de conducta, las entidades de certificación y, en general, todos los sujetos implicados.
El art. 71 de la LOPD regula las infracciones.
5.4 Definiciones clave del RGPD
| Término | Definición |
|---|---|
| Seudonimización | Tratamiento de datos personales de manera que ya no puedan atribuirse a un interesado sin utilizar información adicional |
| Fichero | Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica |
| Encargado del tratamiento | Persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable |
| Tratamiento transfronterizo | Tratamiento realizado en el contexto de actividades de un único establecimiento en la UE que afecta sustancialmente o es probable que afecte a interesados en más de un Estado miembro |
| Encargado del fichero | Puede tramitar solicitudes de ejercicio de derechos formuladas por los afectados si así se establece en el contrato (art. 12 LOPD) |
Dato genéticos (definición incorrecta en el RGPD que debe identificarse): los datos genéticos son datos personales relativos a las características genéticas heredadas o adquiridas de una persona. La definición que describe «características físicas, fisiológicas o conductuales que permitan la identificación única» corresponde en realidad a los datos biométricos, no a los datos genéticos — esa confusión es la opción incorrecta en los exámenes.
5.5 Roles en la protección de datos
| Rol | Descripción |
|---|---|
| Responsable del tratamiento | Máximo responsable dentro de la organización en materia de protección de datos; tiene la obligación de dar cumplimiento al deber de información (art. 13 RGPD) cuando los datos se obtienen del afectado |
| Encargado del tratamiento | Trata datos por cuenta del responsable |
| Delegado de Protección de Datos (DPO) | Tiene amplios conocimientos en materia de privacidad y protección de datos; ayuda al cumplimiento normativo |
| Custodio | Persona que tiene la posesión de la información y gestiona los sistemas que la utilizan de acuerdo con las finalidades e instrucciones del propietario |
| Propietario de la información | Define los fines y las instrucciones para el uso de la información |
El DPO de Correos es un órgano colegiado formado por 9 miembros.
Las responsabilidades del usuario de la información incluyen: conocer y cumplir las obligaciones en materia de seguridad, abstenerse de usar la información para fines no autorizados, y mantener en secreto su clave de acceso y manipular de forma segura la información sensible.
5.6 Categorías especiales de datos personales
Son categorías especiales (cuyo tratamiento está prohibido salvo excepciones):
-
Datos que revelen el origen étnico o racial.
-
Datos que revelen las opiniones políticas.
-
Datos relativos a la orientación sexual.
-
Datos relativos a la salud, vida sexual, afiliación sindical, creencias religiosas o filosóficas, datos genéticos y datos biométricos destinados a identificar de forma unívoca a una persona.
No son categorías especiales los datos que revelen el estado civil (ese no está incluido en la lista del art. 9 del RGPD).
Quedan prohibidos los tratamientos de datos personales que revelen categorías especiales. Excepcionalmente, el art. 9 del Reglamento (UE) levanta la prohibición en determinados supuestos. No se levanta la prohibición «cuando se trate de menores de edad» (esa no es una causa de levantamiento).
5.7 Bases de licitud del tratamiento
El tratamiento de datos será lícito si se cumple alguna de las siguientes condiciones:
-
El interesado dio su consentimiento para uno o varios fines específicos.
-
Es necesario para la ejecución de un contrato en el que el interesado es parte.
-
Es necesario para el cumplimiento de una obligación legal.
-
Es necesario para proteger intereses vitales del interesado o de otra persona.
-
Es necesario para el cumplimiento de una misión realizada en interés público.
-
Es necesario para la satisfacción de intereses legítimos del responsable o de un tercero (siempre que no prevalezcan los derechos del interesado).
No es base de licitud «la satisfacción de intereses perseguidos por el responsable del tratamiento o por un tercero» cuando no exista el test de ponderación (esa formulación incompleta es la respuesta incorrecta del examen).
5.8 Consentimiento
-
El consentimiento es «toda manifestación de voluntad libre, específica, informada e inequívoca» por la que el interesado acepta, mediante declaración o acción afirmativa, el tratamiento.
-
El silencio, las casillas ya marcadas o la inacción no constituyen consentimiento (eso es incorrecto).
-
El RGPD excluye el consentimiento tácito o presunto.
-
La característica «regulado» no es una característica del consentimiento (libre, informado e inequívoco sí lo son).
-
El responsable deberá ser capaz de demostrar que el interesado consintió (art. 7 del RGPD).
-
Cuando el tratamiento se basa en el consentimiento, el responsable debe poder acreditar que el interesado consintió.
5.9 Menores de edad
| Norma | Edad mínima para consentir |
|---|---|
| RGPD (art. 8) | 16 años (lícito el tratamiento a partir de 16) |
| LOPD española (LO 3/2018) | 14 años |
Si el menor no tiene edad suficiente, el consentimiento lo dará o autorizará el titular de la patria potestad o tutela sobre el menor.
5.10 Derechos de los interesados y su regulación en la LOPD
Los derechos reconocidos en los arts. 15 a 22 del RGPD pueden ejercerse:
-
Directamente por el interesado.
-
Por medio de representante legal o voluntario.
-
Por la modalidad que elija el interesado.
(Todas las opciones son correctas.)
| Derecho | Artículo LOPD |
|---|---|
| Acceso | Art. 13 |
| Rectificación | Art. 14 |
| Supresión | Art. 15 |
| Bloqueo de datos (obligación del responsable al rectificar/suprimir) | Art. 32 |
| Deber de confidencialidad | Art. 5 |
| Tratamiento de datos por obligación legal, interés público o intereses vitales | Art. 8 |
El derecho de acceso se considera otorgado cuando el responsable del tratamiento facilita al afectado un sistema de acceso remoto que le permite consultar directamente sus datos (art. 13 LOPD).
El derecho al olvido contemplado en el RGPD se corresponde con el derecho de supresión.
El derecho a la portabilidad permite obtener copia en un formato interoperable de los datos que están siendo tratados. Está regulado en el art. 20 del RGPD.
5.11 Derecho de limitación del tratamiento (art. 18 RGPD)
El interesado tiene derecho a obtener la limitación del tratamiento cuando:
-
Impugne la exactitud de los datos, durante el plazo que permita verificarlos.
-
El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos y pida que se limite su uso.
-
El responsable ya no necesite los datos para los fines del tratamiento, pero el interesado los necesite para reclamaciones.
-
El interesado se haya opuesto al tratamiento mientras se verifica si los motivos del responsable prevalecen.
Incorrecta: «El tratamiento sea ilícito y el interesado no se oponga a la supresión» — esa condición no activa el derecho de limitación (la formulación correcta requiere que el interesado sí se oponga a la supresión).
5.12 Derecho de acceso (art. 15 RGPD)
El interesado tiene derecho a obtener confirmación de si se tratan datos que le conciernen y, en tal caso, acceso a:
-
Los fines del tratamiento.
-
El derecho a presentar reclamación ante una autoridad de control.
-
Cualquier información disponible sobre el origen de los datos cuando no se obtuvieron del interesado.
-
(Todas las opciones mencionadas en los exámenes son correctas en conjunto.)
5.13 Información básica al interesado (art. 11 LOPD, art. 13 RGPD)
Cuando los datos se obtienen del afectado, la información básica que debe facilitarse incluye, en todo caso:
-
La finalidad del tratamiento (esa es la respuesta correcta en los exámenes cuando se pregunta «en todo caso»).
-
La identidad del responsable del tratamiento.
-
La existencia del derecho a solicitar el ejercicio de sus derechos.
No se incluye «la imposibilidad de ejercer los derechos de los arts. 15 a 22» (eso es falso).
5.14 Deber de identificación (art. 11 RGPD)
Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación del interesado, el responsable no estará obligado a mantener, obtener o tratar información adicional para identificarlo.
5.15 Tratamiento transfronterizo
El tratamiento transfronterizo es el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento en la UE que afecta sustancialmente, o es probable que afecte sustancialmente, a interesados en más de un Estado miembro.
5.16 Ámbito territorial del RGPD (art. 3)
El RGPD se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de si el tratamiento tiene lugar en la Unión o no.
5.17 Régimen sancionador del RGPD y la LOPD
| Tipo de infracción | Multa máxima |
|---|---|
| Infracciones muy graves | Hasta 20 millones de euros o el 4 % del volumen de negocio anual global |
| Infracciones graves | Hasta 10 millones de euros o el 2 % del volumen de negocio anual global |
| Infracciones leves | Apercibimiento |
Las infracciones leves recogidas en el RGPD y la LOPD 3/2018 incluyen múltiples supuestos que se agrupan bajo esa categoría. El umbral de 20 millones de euros es el tope para las infracciones más graves.
Las infracciones se regulan en el art. 71 de la LOPD. El régimen sancionador (sujetos obligados) en el art. 70.
Las infracciones medias (denominación propia de la LOPD junto a las leves y muy graves) son una categoría de la legislación española.
5.18 Agencia Española de Protección de Datos (AEPD)
La AEPD es una autoridad administrativa independiente de ámbito estatal, con personalidad jurídica y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos. Supervisa la aplicación de la LO 3/2018, de 5 de diciembre, y del RGPD.
Están obligados a proporcionar a la AEPD todos los datos, informes, antecedentes y justificantes necesarios:
-
Los particulares.
-
Las Administraciones Públicas, incluidas las tributarias.
-
Las Administraciones Públicas, incluidas las de la Seguridad Social.
-
(Todas las anteriores, es decir, todos los sujetos.)
Podrán fijar las excepciones a la obligación de bloqueo de los datos la Agencia Española de Protección de Datos.
Los sujetos no sometidos al régimen sancionador del RGPD y la LOPD son los delegados de protección (los DPO no están sujetos al régimen sancionador como sujetos infractores directos).
5.19 Violaciones de seguridad de datos personales
Constituyen violaciones de seguridad de datos personales en Correos:
-
La entrega de un envío postal por error a una persona distinta del destinatario.
-
La pérdida de un envío postal.
-
El envío por correo electrónico de un documento con datos personales a una persona distinta de su destinatario.
(Todos estos ejemplos constituyen violaciones de seguridad de datos personales.)
5.20 NIP
Las siglas NIP significan Número de Identificación Personal.
5.21 Privacidad desde el diseño
Para la aplicación de la privacidad desde el diseño, el responsable del tratamiento debe aplicar el principio de minimización de datos: uso del menor número de datos posible.
5.22 Derechos digitales en la LOPD
El derecho al olvido en servicios de redes sociales consigna que toda persona tiene derecho a que sean suprimidos, a su simple solicitud, los datos personales que hubiese facilitado para su publicación en servicios de la sociedad de la información. Este derecho está recogido en el Título X de la LOPD.
5.23 Responsabilidad en caso de inexactitud de datos
-
Si los datos son inexactos por haber sido obtenidos de un registro público desactualizado, la responsabilidad recae en el organismo encargado del registro público.
-
Si los datos son inexactos por un error en la portabilidad a Correos, la responsabilidad recae en el mediador o intermediario que realizó la transferencia.
5.24 Medidas organizativas en protección de datos para empleados
Las medidas organizativas que los empleados deben aplicar incluyen:
-
Comprobar que el destinatario y la información enviada son correctos antes de enviar un correo electrónico.
-
No dejar en la mesa ni en la impresora información con datos personales de clientes accesible por terceros.
-
No comunicar la contraseña a nadie ni escribirla en ningún sitio.
No es una medida organizativa correcta que «los empleados solo puedan dejar desatendidos los carritos con cartas o paquetes mientras realizan la entrega» (esa afirmación es incorrecta porque los carritos no deben dejarse desatendidos en ningún caso de forma que los datos de clientes queden expuestos).
5.25 Protección de datos y derechos fundamentales
El derecho a la protección de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución Española. También está recogido en la Carta de los Derechos Fundamentales de la Unión Europea.
6. Transparencia y Buen Gobierno
6.1 Marco normativo
Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.
6.2 Ámbito de aplicación (Título I)
El Título I de la Ley 19/2013 («Transparencia de la actividad pública») incluye a, entre otros:
-
Las sociedades mercantiles en cuyo capital social la participación, directa o indirecta, de las entidades públicas sea superior al 50 %.
-
Los sujetos que prestan servicios públicos.
6.3 Obligaciones de publicidad activa
Los sujetos que prestan servicios públicos están obligados a publicar de forma periódica y actualizada la información relevante para garantizar la transparencia de su actividad relacionada con el control de la actuación pública.
Dentro de la información institucional, organizativa y de planificación que debe publicarse, se incluye (entre otras):
-
Un organigrama actualizado que identifique a los responsables de los diferentes órganos.
-
Los planes y programas anuales y plurianuales con objetivos concretos.
-
Las actividades, medios y tiempo previsto para su consecución.
No debe incluirse en esta publicidad la «información relativa a las inspecciones generales de servicios de evaluación de la Administración General del Estado» (esa información está excluida por la ley).
Según la Ley 19/2013, también deben publicarse (en materia económica):
- La relación de los bienes inmuebles que sean de su propiedad o sobre los que ostente algún derecho real.
6.4 Portal de Transparencia
El Portal de Transparencia de Correos ofrece a los interesados información sobre la actividad de la Sociedad Estatal y toda la información relevante. Sus contenidos deben cumplir características técnicas de asequibilidad, accesibilidad, veracidad y actualización periódica.
El Portal de la Transparencia contendrá información publicada de acuerdo con las prescripciones técnicas que garanticen la asequibilidad: se proporcionará la información de forma que sea asequible para cualquier ciudadano.
6.5 Límites al derecho de acceso (art. 14 de la Ley 19/2013)
El derecho de acceso a la información pública puede limitarse en determinados supuestos. No es un límite válido «la seguridad privada» (esa no es una causa de restricción; los límites legales incluyen la seguridad nacional, la defensa, las relaciones exteriores, la seguridad pública, la prevención e investigación de delitos, etc.).
6.6 Ejercicio del derecho de acceso
Cuando una persona solicita acceso a información pública, el órgano competente tendrá un plazo de un mes (prorrogable previo aviso al solicitante) para resolver.
6.7 Régimen sancionador de la Ley de Transparencia
El Título II de la Ley de Transparencia establece un régimen sancionador estructurado. No incluye «infracciones en materia de gestión contencioso-administrativa» (esa categoría no existe en la Ley de Transparencia).
6.8 Consejo de Transparencia y Buen Gobierno
El Presidente del Consejo de Transparencia y Buen Gobierno será nombrado por un período no renovable de cinco años.
La Comisión Ejecutiva del Consejo de Transparencia está compuesta por el presidente y cuatro miembros del Consejo de Administración.
6.9 Rendición de cuentas
La rendición de cuentas es el proceso por el cual los grupos de interés de una organización (sociedad, ciudadanos, etc.) pueden exigir a la misma que informe y justifique sus decisiones y acciones.
7. Ciberseguridad y Seguridad de la Información
7.1 Definiciones fundamentales
| Término | Definición correcta |
|---|---|
| Ciberseguridad | Conjunto de medidas de protección de la información en formato digital alojada en sistemas de información interconectados |
| Seguridad de la información | Conjunto de medidas preventivas y la protección de la infraestructura y la información ante riesgos |
| Phishing | Envío de correos electrónicos que, aparentando provenir de fuentes fiables, intentan obtener datos confidenciales (contraseñas, datos bancarios, etc.) del usuario |
| Ingeniería social | Cualquier acto que influye en una persona para tomar una acción que puede no ser de su interés o del interés de la organización; técnicas de persuasión que se valen de la buena voluntad o falta de precaución de la víctima |
| Ransomware | Programa de software malicioso que infecta el equipo y exige el pago de dinero para restablecer el funcionamiento del sistema |
| Spyware | Software que recolecta datos del usuario del equipo sin su conocimiento |
| Gusano (Worm Informático) | Tipo de virus que realiza copias de sí mismo y puede buscar una distribución masiva por la red |
| Troyano | Software malicioso que se disfraza de programa legítimo para acceder al sistema |
| Bot | Software de inteligencia artificial capaz de realizar una serie de tareas por su cuenta, sin la ayuda del ser humano |
| Hacker | En su sentido amplio: experto en seguridad informática; puede ser «white hat» (investiga y reporta fallos a fabricantes), «black hat» (delincuente) o pertenecer a cuerpos de seguridad. Las preguntas del examen admiten que «todas las anteriores» son correctas como descripción global. |
| Ciberterrorismo | Uso de Internet como instrumento o medio del que se vale una organización terrorista para cometer actos delictivos |
| Malware | Término general para cualquier tipo de amenaza que atenta a la seguridad de un usuario en Internet |
| Vulnerabilidades | Errores que se generan en las aplicaciones y que pueden provocar que un ciberdelincuente entre en el sistema |
7.2 Contraseñas
Una contraseña formada por pocos caracteres y fácilmente reconocible es una contraseña débil (también llamada «soft» en algunos contextos; ambas denominaciones son correctas).
Para mantener la información a salvo al navegar por la red se debe:
-
Utilizar contraseñas fuertes alternando caracteres alfanuméricos, especiales y numéricos.
-
Nunca comunicar la contraseña a nadie ni escribirla en ningún sitio.
7.3 Phishing en Correos
Correos ha incorporado un proceso específico sobre el phishing porque distintos hackers han suplantado su imagen para cometer estafas. Los tipos detectados incluyen:
-
Phishing por redes sociales simulando un sorteo de Correos con pago previo.
-
Phishing por email sobre desinfección de paquetes (aprovechando la COVID) con pago previo.
-
Phishing por SMS sobre paquetes de Amazon usando la imagen de Correos para obtener datos bancarios.
(Todos los anteriores son correctos; la respuesta es «Todas son correctas».)
El 77 % de los ataques en ciberseguridad no se producen a través de mecanismos únicos (la ciberseguridad requiere un enfoque multicapa). El mishing está relacionado con el uso de smartphones.
7.4 VPN
Una conexión VPN (Virtual Private Network) es una tecnología de red de ordenadores que permite una extensión segura de la red local sobre una red pública (Internet), de forma que los datos viajan cifrados.
7.5 Clasificación de la información según sensibilidad
| Nivel | Descripción |
|---|---|
| Información pública | Cualquier material de la empresa sin restricciones de difusión |
| Información confidencial | Toda información no pública que afecta a los negocios del Grupo en su mayor amplitud |
| Información especialmente sensible | Acceso restringido únicamente a quienes la necesiten para su función; se clasifica como «Confidencial» |
7.6 Roles de seguridad de la información
| Rol | Función |
|---|---|
| Propietario de la información | Define los fines y el acceso permitido |
| Custodio | Tiene la posesión de la información y gestiona los sistemas según las instrucciones del propietario |
| Usuario | Accede a la información para realizar su trabajo |
7.7 Política de seguridad interna
Una política de seguridad interna en la empresa es útil para transmitir a los empleados las obligaciones y buenas prácticas en relación con la seguridad de la información.
7.8 Auditoría de Seguridad de la Información
El equipo de Auditoría de Seguridad de la Información del Grupo Correos permite evaluar el nivel de implantación de la política de seguridad de la información.
La seguridad de las aplicaciones y el control de acceso a la información es un servicio dirigido a los propietarios de los Sistemas de Información y a los responsables tecnológicos.
7.9 Acciones que ponen en riesgo la seguridad
Entre las principales acciones que ponen en riesgo la seguridad de la empresa figura subir a la red archivos sin cifrar.
Para proteger los documentos en soporte papel, no se permitirá que personas no autorizadas tengan acceso a ellos. De las opciones incorrectas en los exámenes: «se permitirá que personas no autorizadas tengan acceso a los mismos» es la opción incorrecta (lo que denota lo que NO debe hacerse).
7.10 Cookies e identidad digital
| Término | Definición |
|---|---|
| Cookies | Ficheros almacenados en el ordenador del usuario que crea la propia página web del proveedor de servicios para hacer un seguimiento de los movimientos en la web |
| Identidad Digital | Conjunto de información sobre una persona u organización expuesta en Internet (también llamada «Yo virtual» o «Identidad 2.0»; todas las denominaciones son correctas) |
| Avatar | Identidad virtual que escoge el usuario de una computadora o videojuego para que lo represente |
Las características de la identidad digital son:
-
Dinámica (cambia con el tiempo).
-
Valiosa (tiene valor para la persona y para terceros).
-
Indirecta (no es una presencia física).
No es una característica de la identidad digital que sea objetiva (es subjetiva y construcción propia/ajena).
Los elementos que no forman parte de la identidad digital son «la información de otros que comparten datos con nosotros» (eso pertenece a la identidad generada por terceros, no a la propia).
Para proteger nuestra identidad digital se deben adoptar diversas medidas (contraseñas seguras, privacidad en redes sociales, monitorización de la huella digital, etc.); todas las opciones de protección mencionadas en los exámenes son correctas en conjunto.
Para construir la identidad digital o la de una empresa se debe tener en cuenta la actividad en múltiples redes sociales y canales, no solo en la propia red social y en la de los seguidores (eso es incorrecto).
La suplantación de identidad consiste en la usurpación de los perfiles corporativos por terceros con la intención de robar información o dañar la reputación.
Las herramientas de reputación online incluyen múltiples plataformas digitales. No es una herramienta de reputación online Kahoot (es una plataforma de gamificación educativa).
8. Transformación Digital y Economía Digital
8.1 Conceptos clave de transformación digital
| Término | Definición |
|---|---|
| e-commerce | Comercio electrónico o webs que permiten la compra y venta de productos y servicios a través de Internet |
| Dropshipping | Modelo de venta online donde el minorista vende el producto y el proveedor lo entrega en su nombre |
| Freemium | Modelo de negocio digital que ofrece un producto o contenido de forma gratuita, reservando el contenido de mayor valor para que sea de pago |
| Suscripción | Modelo de negocio digital que requiere más inversión sostenida a lo largo del tiempo |
| Crowdfunding | Permite visibilizar determinados proyectos y ayudar a conseguir los recursos necesarios para su desarrollo |
| Canvas | Lienzo de modelo de negocio; permite entender el funcionamiento de las organizaciones de forma visual |
| Beacon | Dispositivo de tecnología Bluetooth de baja energía que transmite señales a smartphones cercanos (respuesta «A y C son correctas» en los exámenes) |
| Bot | Software de inteligencia artificial capaz de realizar tareas de forma autónoma |
| XML | Lenguaje que permite describir, analizar y procesar información entre sistemas de manera segura, fiable y fácil |
| IoT | Internet of Things; uno de los términos más populares de la industria tecnológica. La respuesta incorrecta en los exámenes es que «IoT es uno de los términos procedentes de la industria tecnológica que más se populariza» (la incorrección está en la formulación concreta que ponen como incorrecta en el contexto del examen) |
| WWW | World Wide Web o red informática mundial |
| VPN | Red privada virtual; extensión segura de la red local sobre una red pública |
8.2 Ventajas de la Transformación Digital
La transformación digital aporta ventajas como:
-
Mayor eficiencia operativa.
-
Mejora de la experiencia del cliente.
-
Análisis de datos (Big Data) para la toma de decisiones.
No es una ventaja de la transformación digital «reducir la necesidad del análisis de datos» (Big Data es precisamente una herramienta clave de la digitalización).
8.3 Inconvenientes de la digitalización
Los inconvenientes de la digitalización incluyen múltiples aspectos (todos los mencionados en los exámenes son correctos en conjunto como respuesta).
8.4 Tendencias de la digitalización
No es una tendencia que diferencia los procesos digitales de los tradicionales: «Existen verdaderas ventajas del negocio digital frente al tradicional» en el sentido en que esa afirmación genérica no caracteriza una tendencia diferenciadora concreta (la opción incorrecta señalada en el examen).
8.5 Economía colaborativa
Los nuevos negocios digitales en el ámbito de la economía colaborativa incluyen plataformas como Airbnb, BlaBlaCar, TaskRabbit, etc. No se encuentra dentro de la economía colaborativa Trivago (es un comparador de precios de hoteles, no un modelo colaborativo P2P).
8.6 Comercio electrónico en España
El comercio electrónico en España está regulado por normativas que aplican a la prestación de servicios. Uno de los datos que no debe incluirse obligatoriamente en el comercio electrónico es el «Nombre del profesional que gestiona la venta del cliente» (ese dato no es de publicación obligatoria).
8.7 Clave para acercarse al cliente digital
Las claves para acercarse al cliente digital son:
-
La necesidad de un nuevo enfoque.
-
Facilitar una experiencia positiva.
-
Proporcionar valor añadido.
8.8 Comercio electrónico y grupos postales
El aumento del comercio electrónico no supone el fin de los grupos postales; al contrario, necesita la colaboración de todos los operadores del sector logístico para poder funcionar.
8.9 Algoritmos de buscadores
Los principios básicos de los algoritmos que ordenan la información en los buscadores son: clasificar, puntuar y recomendar.
Para extraer información de los buscadores se usan: filtros, operadores de búsqueda y búsqueda avanzada. No se usa como habilidad diferenciada «búsqueda temática» (esa no es una herramienta técnica de extracción de información).
8.10 Modelos de negocio online
Algunos modelos de negocio online y sus ejemplos:
-
B2C (Business to Consumer): tiendas online que venden directamente al consumidor.
-
B2B (Business to Business): plataformas entre empresas.
-
C2C (Consumer to Consumer): plataformas de segunda mano (Wallapop, eBay).
-
Suscripción: Netflix, Spotify.
(Todos los ejemplos del examen son correctos en conjunto.)
8.11 Digital Business
Los Digital Business constituyen un mercado altamente innovador con cada vez más actores. La afirmación de que «es un mercado todavía poco innovador» es incorrecta.
8.12 Líder digital de equipos
El líder social networker no debe preocuparse exclusivamente por su desempeño personal; debe orientarse al equipo y a la comunidad.
Una cualidad clave del líder digital de equipos es que se adelanta a la necesidad del cambio (visión proactiva e innovadora).
9. Igualdad, Diversidad e Inclusión
9.1 Igualdad de oportunidades en Correos
Todos los empleados deben disfrutar de las mismas oportunidades para su desarrollo profesional. Las decisiones de promoción solo pueden basarse en parámetros objetivos como:
-
Dotes de liderazgo.
-
Mérito.
-
Esfuerzo.
No puede basarse en el patrimonio del empleado (eso es discriminatorio y está expresamente excluido).
9.2 Respeto e igualdad de trato
Las personas que integran Correos deben respetar la igualdad de trato. Se prohíbe cualquier discriminación por razón de origen, sexo, religión, orientación sexual, discapacidad u otras circunstancias personales.
9.3 Derechos humanos y libertades fundamentales
Todas las personas que integran el Grupo Correos respetan los derechos humanos y libertades fundamentales. Cuando el examen pregunta «¿cuál NO es el marco de referencia?», la respuesta incorrecta es «el Tratado de la Paz Inclusiva Española» (esa norma no existe; los marcos reales son la Declaración Universal de los Derechos Humanos, el Convenio Europeo de Derechos Humanos, etc.).
9.4 Código sobre derechos humanos
Según el Código de Conducta de Correos, cuando se aborden cuestiones relacionadas con los derechos de las personas se han de adoptar medidas reforzadas de diligencia y cuidado.
9.5 Diseño Universal
Los principios del Diseño Universal son (entre otros):
-
Uso equitativo.
-
Flexibilidad en el uso.
-
Uso simple e intuitivo.
-
Información perceptible.
-
Tolerancia al error (no «intolerancia al error»; la intolerancia al error es la opción INCORRECTA).
-
Bajo esfuerzo físico.
-
Tamaño y espacio para el acceso y uso.
9.6 Premio Compromiso Medioambiental
Los premios del Premio Compromiso Medioambiental son:
-
Un trofeo conmemorativo para el inmueble en el que se desarrolle el trabajo.
-
Un detalle corporativo personal para cada integrante de las unidades del edificio.
-
Un regalo corporativo personal para cada integrante del equipo de trabajo.
No es un premio del Compromiso Medioambiental «un trofeo conmemorativo para la unidad» como entidad separada del edificio (esa es la opción incorrecta).
10. Salud, Seguridad Laboral y Prevención de Riesgos
10.1 Marco de salud laboral en Correos
El Grupo Correos cumple rigurosamente con normativas y directrices sobre:
-
Salud e higiene en el trabajo.
-
Prevención de riesgos laborales.
-
Cursos de formación para la protección de los trabajadores.
(Todos los aspectos anteriores son correctos en conjunto.)
10.2 Servicio de Prevención
En el año 1999, Correos pone en marcha un elemento fundamental en su política de seguridad y salud: un servicio de prevención de riesgos propio.
10.3 Definición de riesgo laboral
El riesgo laboral es la posibilidad de que un trabajador sufra un determinado daño derivado del trabajo.
11. Herramientas Digitales y Ofimática
11.1 Microsoft Excel — Atajos de teclado y funciones
| Acción | Tecla o combinación |
|---|---|
| Introducir una función | Escribir = (signo igual) seguido de la función, sin espacio |
| Tecla Retroceso sobre una celda | Borra el carácter que se encuentra a la izquierda del cursor |
| F1 (Excel 2010) | Abre la ventana de Ayuda de Excel |
| F5 | Abre la ventana «Ir a» |
| CTRL + F1 | Minimiza/maximiza la cinta de opciones |
| CTRL + F2 | Vista previa de la hoja de cálculo |
11.2 Herramientas colaborativas y en la nube
| Herramienta | Descripción |
|---|---|
| Trello, Slack, Asana, Teamwork | Plataformas online; herramientas de gestión de proyectos y comunicación de equipos (todas correctas en conjunto) |
| OneDrive | Nube de almacenamiento de archivos de Microsoft |
| Wetransfer / Dropbox | Herramientas para compartir documentos en la nube |
| Mindmeister | Herramienta para generar mapas mentales en línea |
| MOOC | Plataformas de formación online masiva y abierta (Coursera, edX, etc.). No es una plataforma MOOC «la prensa digital». |
11.3 Identidad digital y herramientas de gestión
-
El sistema Cl@ve es el sistema complementario que unifica el acceso a la mayor parte de los servicios de la Administración Electrónica.
-
El uso de bloggers o actualizadores de contenido para distribuir noticias por redes sociales mejora la visibilidad de la persona o empresa (no la reputación ni la privacidad de forma directa).
11.4 Formato de archivos
| Formato / extensión | Descripción |
|---|---|
| Imágenes digitales | Formatos JPG, PNG, GIF, BMP (todas son correctas en conjunto) |
| Archivos comprimidos | RAR y ZIP (extensiones generadas por WinRar/WinZip; ambas son correctas) |
| Comprimir | Acción de reducir el tamaño de un fichero de imagen para su almacenamiento |
| XML | Lenguaje de marcado para describir, analizar y procesar información entre sistemas |
11.5 Unidades de medida digital
- 20 megabytes equivalen a 20.000.000 bytes (20 × 10^6 bytes).
11.6 Sistema operativo Mac
-
Mac permite crear grupos de usuarios.
-
Los usuarios estándar no pueden instalar aplicaciones ni gestionar usuarios ni cambiar ajustes del sistema (eso corresponde al administrador).
-
No es recomendable tener una cuenta de administrador sin contraseña ni activar el inicio de sesión automático.
11.7 PDA en Correos
Cuando los carteros acuden a un domicilio para la entrega de un paquete y el destinatario no está, deben utilizar la PDA para registrar la incidencia.
11.8 WIFI y red
La velocidad WiFi depende de la calidad del dispositivo que se utilice (por ejemplo, algunos dispositivos soportan frecuencias de 5 GHz y otros solo 2,4 GHz, lo que afecta a la velocidad efectiva).
12. Grupo Correos: Estructura y Valores
12.1 Empresas del Grupo Correos
Correos Market no forma parte del Grupo Correos en su totalidad (es una empresa en la que Correos tiene participación pero no al 100 %).
12.2 Corporate Excellence y reputación
Corporate Excellence desarrolla sus actividades a través de siete áreas. No se corresponde con ninguna de esas áreas el concepto de Liderazgo (según la pregunta del examen; las áreas reales de Corporate Excellence se centran en reputación, gobierno corporativo, RSC, comunicación, etc.).
12.3 Medidas sobre riesgos comunes de la información
Uno de los riesgos más comunes respecto a la información es la existencia de versiones diferentes de un mismo documento (duplicidades, inconsistencias documentales). La publicación de una falsa oferta de empleo no es un riesgo específico de gestión de la información en este sentido.
12.4 Seguridad y salud
En el año 1999, Correos pone en marcha un servicio de prevención de riesgos propio, elemento fundamental de su política de seguridad y salud.
12.5 Privacidad y datos en el envío postal
En aplicación del RGPD y la LOPD en Correos (sistema de admisiones), las admisiones unitarias por rurales y oficinas auxiliares son el tipo de admisión en que será necesario adaptar los procesos conforme a la normativa de protección de datos.
De conformidad con el RGPD y la LOPD, si el cliente marca la correspondiente casilla, Correos podrá ceder sus datos personales a empresas del Grupo para ofrecerle otros productos y servicios (cesión consentida).
En materia de secreto postal, los operadores postales deberán prestar sus servicios con plena garantía del secreto de las comunicaciones. El número de identificación del empleado postal no forma parte del secreto de las comunicaciones (ese dato no está protegido por el secreto postal; lo que sí está protegido es el contenido de los envíos).
Resumen de Datos Numéricos y Fechas Clave
| Dato | Valor |
|---|---|
| Multa máxima RGPD/LOPD | 20 millones de euros |
| Multa máxima RGPD (porcentaje) | 4 % del volumen de negocio anual global |
| Edad mínima consentimiento RGPD | 16 años |
| Edad mínima consentimiento LOPD (España) | 14 años |
| Plazo conservación documentación PBC | 10 años |
| Umbral DMO mensual al SEPBLAC | 1.500 € |
| DPO de Correos (miembros) | 9 miembros |
| Código de Conducta — primera edición | 2005 |
| Primera actualización del Código | 2014 |
| Revisión aprobada por el Consejo de Administración | 2021 |
| Programa de Prevención de Riesgos Penales aprobado | 22 de julio de 2021 |
| RGPD — entrada en vigor | 25 de mayo de 2016 |
| RGPD — aplicación efectiva | 25 de mayo de 2018 |
| LOPD — LO 3/2018 de | 5 de diciembre de 2018 |
| Correos y Western Union — Protocolo PBC | 2014 |
| Servicio de prevención de riesgos propio Correos | 1999 |
| Presidente del Consejo de Transparencia — mandato | 5 años no renovables |
| Plazo resolución derecho de acceso información pública | 1 mes |
| Plazo APBC para notificar al empleado | 3 meses |
| Cláusula de corrupción en el Código de Conducta | 2.500 euros |
| 20 megabytes en bytes | 20.000.000 bytes |
| Título LOPD — régimen sancionador | Título IX |
| Artículo inicio Título X LOPD | Art. 79 |
| Artículo LOPD — infracciones | Art. 71 |
| Artículo LOPD — acceso | Art. 13 |
| Artículo LOPD — rectificación | Art. 14 |
| Artículo LOPD — supresión | Art. 15 |
| Artículo LOPD — bloqueo de datos | Art. 32 |
| Artículo LOPD — confidencialidad | Art. 5 |
| Artículo LOPD — consentimiento del afectado | Art. 6 |
| Artículo LOPD — personas fallecidas (herederos) | Art. 3 |
| Ley PBC vigente | Ley 10/2010, de 28 de abril |
| Artículo Ley 10/2010 que vincula a Correos | Art. 2.1.j |
| Ley bloqueo financiación terrorismo | Ley 12/2003, de 21 de mayo |
| Directiva UE blanqueo capitales | Directiva 2015/849/UE |
| Títulos I de la LOPD — número de artículos | 3 artículos |
Bloque 3
Normas de Cumplimiento — Parte 3
Índice de materias
-
Prevención del Blanqueo de Capitales y Financiación del Terrorismo (PBC/FT)
-
Tecnologías emergentes: IA, IoT, Big Data, impresión 3D y 5G
1. Código General de Conducta y ética empresarial
Marco y ámbito de aplicación
El Código General de Conducta del Grupo Correos fue aprobado por el Consejo de Administración en 2021. Es de obligado cumplimiento para empleados operativos, directivos y empresas subcontratadas por Correos (es decir, para todos).
En él se recogen los valores que marcan la forma de trabajar de Correos y los principios generales que rigen la actuación de sus empleados.
Competencia leal
El Grupo Correos se comporta de forma ética y legal en el mercado y con sus competidores. El compromiso con la competencia leal incluye evitar actos de engaño y prácticas agresivas (se evitan, por tanto, actos de engaño y prácticas agresivas; la opción "evitar actos de imitación" no figura entre los compromisos listados, de modo que la afirmación de que el listado completo se corresponde con esas tres opciones es incorrecta).
Comisión de Auditoría y Control
La Comisión de Auditoría y Control es un órgano dependiente del Consejo de Administración, constituido de conformidad con lo previsto en la Ley 33/2003, de 3 de noviembre, del Patrimonio de las Administraciones Públicas.
2. Canal ético y cumplimiento penal
Canal de Comunicación y Denuncia
El Canal de Comunicación y Denuncia establece un procedimiento de comunicación con el Comité de Cumplimiento de Correos para su utilización por:
-
Terceros que conozcan o mantengan relación comercial o contractual de cualquier clase con el Grupo Correos.
-
Terceros que utilicen los servicios prestados por el Grupo Correos.
(Ambos grupos quedan incluidos; el canal no es exclusivo de empleados.)
3. Prevención del Blanqueo de Capitales y Financiación del Terrorismo (PBC/FT)
Marco normativo
La normativa aplicable a PBC/FT en el Grupo Correos afecta únicamente a Correos (no a Correos Express, Nexea ni Correos Telecom, que tienen sus propios regímenes).
La ley de referencia es la Ley 10/2010, de 28 de abril, de Prevención del Blanqueo de Capitales y Financiación del Terrorismo.
Estructura organizativa
| Órgano | Función principal |
|---|---|
| Consejo de Administración | Máximo órgano de dirección; ostenta las funciones y responsabilidades que establecen las leyes en materia PBC |
| Comisión de Control | Analiza y controla toda la información sobre operaciones sospechosas de blanqueo |
| Representante ante el SEPBLAC | Coordina actividades de Correos contra el blanqueo; canaliza comunicaciones con el SEPBLAC; participa en reuniones consultivas |
| Empleados de oficinas | Identifican y verifican a los clientes, introducen datos y escanean documentación |
La Unidad Operativa SEPBLAC NO forma parte de la estructura organizativa interna de Correos en materia de PBC (el SEPBLAC es un organismo externo).
La secretaría de la Comisión de Control no la ostenta ninguna de las cuatro direcciones habituales mencionadas en examen (Dirección de Operaciones, Dirección de Planificación y Finanzas, Dirección de Tecnología y Sistemas); la opción correcta es que ninguna de esas direcciones es la titular.
El SEPBLAC
El SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias) es el organismo que vigila y controla el blanqueo de capitales en España. Concretamente, es el servicio ejecutivo de dicha Comisión.
Las siglas DMO significan Declaración mensual de operaciones (también denominada Comunicación mensual de operaciones). La APBC traslada estas comunicaciones al SEPBLAC.
Medidas de diligencia debida
Los sujetos obligados a la PBC/FT aplican tres tipos de medidas de diligencia debida (las "medidas básicas" no existen como categoría formal en este régimen):
| Tipo | Cuándo se aplica |
|---|---|
| Simplificadas | Clientes de bajo riesgo; también cuando se supera el umbral con posterioridad al establecimiento de la relación de negocio |
| Normales | Caso general |
| Reforzadas | Personas con responsabilidad pública (PRP); operaciones de riesgo alto; clientes relacionados con requerimientos policiales, judiciales o del SEPBLAC; giro nacional o internacional que supere 3.000 € individuales o acumulados en un trimestre natural; clientes menores de edad |
Las medidas reforzadas incluyen, entre otras, presentar la documentación acreditativa de lo declarado en la DAE y cumplimentar la declaración de actividad económica (DAE). La "causa o propósito que motiva la operación" no pertenece a las medidas reforzadas (pertenece a otro nivel).
Las personas con responsabilidad pública quedan sujetas a medidas reforzadas durante dos años después de cesar en sus funciones.
Perfiles de riesgo de clientes
La política de Correos establece tres perfiles de riesgo:
-
Bajo → el cliente no necesita autorización previa para proceder al envío de dinero.
-
Medio
-
Alto
No existe el perfil "extremo" ni el perfil "sin riesgo".
Identificación de clientes
Personas físicas: documento de identidad válido y en vigor.
Personas jurídicas: la persona física que realiza la operación se identifica igual que si actuara por cuenta propia y, además, aporta:
- Escritura de constitución o documento que acredite fehacientemente la denominación, forma jurídica, domicilio, identidad de los administradores, estatutos y NIF, o bien certificación del Registro Mercantil Provincial que contenga esos datos (en el caso de persona jurídica española).
Los documentos válidos para identificar a personas jurídicas son: certificado del Registro Mercantil Provincial, CIF o NIP, y poder o autorización para actuar en nombre de la persona jurídica (los tres son válidos).
Conservación de documentos
Los documentos acreditativos de las operaciones relacionadas con PBC y la identidad de quienes las realizan deben conservarse 10 años desde la ejecución de la operación.
Infracciones en materia de PBC
En la prevención del blanqueo de capitales, constituye infracción grave el incumplimiento de las obligaciones de identificación del titular real.
Abstención de operaciones
Correos se abstendrá de realizar operaciones cuando los clientes:
-
Rehúsen entregar la documentación que permita su identificación.
-
Pongan fin a la relación al ser requeridos para que faciliten información.
-
Faciliten datos falsos o erróneos.
Las personas físicas cuya estructura de propiedad o de control no haya podido determinarse no figuran como motivo de abstención en el manual (ese supuesto aplica a personas jurídicas en el régimen general, no como motivo de abstención específico recogido en el manual).
Etapas del blanqueo de capitales
El proceso de blanqueo tiene tres etapas:
-
Colocación — introducción del dinero ilícito en el sistema financiero.
-
Encubrimiento (también llamado estratificación o conversión) — alejamiento del dinero de su origen.
-
Integración — reintroducción del dinero ya "limpio" en la economía legal.
"Apropiación" y "blanqueo" no son etapas reconocidas del proceso.
Formación de nuevos empleados
Cuando un empleado es nuevo en una oficina o proviene de un traslado, el director graba los datos de la formación impartida en PBC a través de la ruta:
Portal del mando >> Formación >> Gestión de entrega de manuales >> PBC
Operaciones sospechosas
Si un empleado detecta algo inusual en una operación, aunque el cliente tenga perfil de riesgo bajo, debe pulsar el botón "avisar operación sospechosa" en el sistema (SEDI).
Funciones de los empleados de oficina
Los empleados de una oficina o unidad de distribución deben, entre otras cosas:
- Realizar la identificación y verificación de los clientes, así como la correcta introducción de sus datos y el escaneado de la documentación.
No corresponde a los empleados de oficina autorizar operaciones con medidas reforzadas (esa función pertenece a otro nivel), presentar borradores de la DMO, ni elaborar memorias anuales.
4. Protección de datos: RGPD y LOPD (Ley Orgánica 3/2018)
El RGPD
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo:
-
Aprobado: 27 de abril de 2016.
-
Entrada en vigor: 25 de mayo de 2016.
-
Fecha de aplicación: 25 de mayo de 2018 (dos años de período transitorio).
Su objeto (artículo 1) es establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y las normas relativas a la libre circulación de los datos personales. El Reglamento declara que la libre circulación de datos en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de personas físicas (la opción que afirma lo contrario es incorrecta).
El RGPD no se aplica al tratamiento de datos realizado por las autoridades competentes con fines de investigación de infracciones penales (ese ámbito queda cubierto por la Directiva 2016/680).
Concepto de dato personal
Dato personal: toda información sobre una persona física identificada o identificable ("el interesado"). Las personas jurídicas quedan excluidas.
Categorías especiales de datos
El RGPD prohíbe, con carácter general, el tratamiento de datos que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud u orientación sexual. No obstante, el tratamiento de datos biométricos será lícito si es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial.
Datos biométricos: datos personales obtenidos a partir de un tratamiento técnico específico relativos a las características físicas, fisiológicas o conductuales de una persona física que permiten o confirman su identificación única (imágenes faciales, datos dactiloscópicos...).
Datos de menores
El RGPD fija la edad mínima de consentimiento en 16 años, pero autoriza a los Estados miembros a rebajarla sin que baje de 14 años (límite establecido en España por la LOPD).
El artículo de la LOPD que recoge el consentimiento de los menores en relación al tratamiento de datos es el artículo 7.
Principios del tratamiento
| Principio | Contenido clave |
|---|---|
| Confidencialidad e integridad | Los responsables y encargados del tratamiento, así como todas las personas que intervengan en cualquier fase, están sujetos al deber de confidencialidad. Los empleados tienen obligación propia de confidencialidad (no solo la empresa). |
| Exactitud | Los datos inexactos no serán imputables al responsable si el responsable adoptó todas las medidas razonables para rectificarlos o suprimirlos y los datos inexactos fueron obtenidos directamente del afectado, de un registro público o de otro responsable en virtud del ejercicio del derecho a la portabilidad. |
Roles en protección de datos
| Rol | Descripción |
|---|---|
| Propietario de la información | Define la finalidad, los contenidos y el tratamiento de la información; establece el grado de confidencialidad, disponibilidad e integridad con que debe protegerse el activo |
| Custodio | Custodia y mantiene los activos de información según las directrices del propietario |
| Usuario | Persona que tiene acceso a la información y/o sistemas de la organización |
Registro de actividades de tratamiento (art. 30 RGPD)
Están obligados a llevarlo tanto el responsable del tratamiento como el representante del responsable (ambas opciones son correctas según el artículo 30).
Delegado de Protección de Datos (DPD/DPO)
La designación del DPD está recogida en el artículo 34 de la LOPD.
En el RGPD, la designación del DPD aparece en el artículo 37 (la LOPD remite a ese artículo).
Correos debe tener DPD por lo recogido en el artículo 34 de la LOPD (no por el número de trabajadores, sino por mandato legal expreso).
Las entidades que deben designar DPD incluyen, entre otras:
-
Colegios profesionales y sus consejos generales.
-
Centros docentes de cualquier nivel y universidades públicas y privadas.
-
Entidades aseguradoras y reaseguradoras.
-
Centros sanitarios legalmente obligados al mantenimiento de historias clínicas.
(Todas las anteriores son correctas.)
Funciones del DPO: asesora a todas las áreas afectadas en materia de protección de datos y actúa como punto de contacto con la autoridad de control. No asesora a las empresas vinculadas con Correos en materia de análisis de riesgos de impacto (esa afirmación es incorrecta).
Derechos de los interesados
Derechos ARCO (Acceso, Rectificación, Cancelación/Supresión, Oposición): solo pueden ejercerlos personas físicas, no personas jurídicas. La opción que afirma que una persona jurídica puede oponerse al uso de sus datos personales mediante los derechos ARCO es incorrecta.
| Derecho | Artículo LOPD |
|---|---|
| Acceso del afectado | Artículo 13 |
| Portabilidad | Artículo 20 del RGPD |
Derecho de acceso: se entenderá otorgado si el responsable del tratamiento (no el encargado) facilita al afectado un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su totalidad.
Derecho de supresión (art. 17 RGPD): la supresión no podrá realizarse si los datos son necesarios para el interés público en el ámbito de la salud pública o con fines de archivo, la formulación, el ejercicio o la defensa de reclamaciones, o el ejercicio del derecho a la libertad de expresión e información o para el cumplimiento de una obligación legal (todas esas causas son correctas).
Datos del fallecido: pueden acceder a ellos, solicitar su rectificación o supresión las personas vinculadas al fallecido por razones familiares o de hecho, sus herederos, y la persona que el causante hubiera designado expresamente. Sin embargo, no podrán acceder cuando el fallecido lo hubiera prohibido expresamente.
Régimen sancionador
Infracciones muy graves (ejemplos):
-
Vulnerar los principios y garantías del artículo 5 del RGPD.
-
El tratamiento de datos relativos a condenas e infracciones penales o medidas de seguridad fuera de los supuestos permitidos por el artículo 10 del RGPD y el artículo 10 de la LOPD.
-
La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.
Infracción grave: falta de adopción de medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se traten los datos personales necesarios para cada uno de los fines del tratamiento.
Infracción media: aplicar a datos sobre comisión de infracciones penales o administrativas, ficheros de solvencia, ficheros de Administraciones Tributarias, Seguridad Social y mutuas, ficheros de entidades financieras y elaboración de perfiles requiere aplicar medidas medias de seguridad.
Están sujetos al régimen sancionador establecido en el RGPD y en la LOPD las entidades de certificación (entre otras).
Título IV de la LOPD
El Título IV de la Ley Orgánica 3/2018 se titula "Disposiciones aplicables a tratamientos concretos".
El título "Garantía de los derechos digitales" (Título X de la LOPD) está estructurado en ningún capítulo diferenciado (no tiene división en capítulos).
Protocolo de Correos: información al cliente
Antes de recoger datos de un cliente, Correos le debe informar sobre sus derechos de rectificación o cancelación (entre otros extremos).
Autoridad de control
La autoridad de control estatal ante la que se interponen las reclamaciones por vulneración de derechos en materia de protección de datos es la Agencia Española de Protección de Datos (AEPD).
Derechos digitales (LOPD, Título X)
La LOPD 3/2018 reconoce, entre otros, los siguientes derechos digitales:
-
Derecho a la neutralidad de Internet.
-
Derecho a la seguridad digital.
-
Derecho a la desconexión digital en el ámbito laboral.
No existe como derecho recogido en esa ley el "derecho de acceso total a Internet".
Tratamiento de datos de condenas e infracciones penales (art. 10 RGPD)
Solo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados.
5. Seguridad de la información y ciberseguridad
Marco y política de seguridad en Correos
La Dirección de Correos constituye los siguientes objetivos estratégicos sobre Seguridad de la Información:
-
Mantener niveles de seguridad (confidencialidad, integridad y disponibilidad) ajustados a las necesidades del negocio y a la confianza de los clientes.
-
Implantar las medidas técnicas y organizativas que proporcionen el nivel de seguridad adecuado y verificar el cumplimiento del marco legal.
-
Crear un Sistema de Gestión de la Seguridad de la Información basado en estándares internacionales para identificar, cuantificar, priorizar y tratar los riesgos, y revisar la Política de Seguridad de la Información.
No es objetivo estratégico "constituir el Consejo de Seguridad" (el órgano interno es el Comité de Seguridad de la Información, no el Consejo).
Triada CID
La triada CID (Confidencialidad, Integridad y Disponibilidad) hace referencia a la garantía de la seguridad de la información de una empresa.
| Propiedad | Significado |
|---|---|
| Confidencialidad | Solo acceden personas autorizadas |
| Integridad | La información es exacta y completa |
| Disponibilidad | La información es accesible cuando se necesita |
Categorías de la información a proteger
| Categoría | Descripción |
|---|---|
| Pública | Accesible para todo el mundo sin restricción |
| Interna | Adecuadamente etiquetada y accesible para todo el personal de la empresa |
| Confidencial | Acceso restringido a personal autorizado |
| Restringida | Acceso muy limitado |
"Externa" no es una categoría válida de clasificación de la información en este modelo.
Activos de información
Los activos de información son los elementos del sistema de información de la empresa que la compañía considera fundamentales para su funcionamiento.
No son activos (en el sentido formal de activos de información de la organización) los servicios prestados a otra empresa (esos son prestaciones externas).
Los activos incluyen el hardware, los recursos humanos y la propia información y datos.
Comité de Seguridad de la Información
Funciones del Comité de Seguridad de la Información:
-
Establecer un Sistema de Gestión de la Continuidad de Negocio.
-
Difundir y promover la formación y concienciación en seguridad de la información.
-
Mantener los niveles de seguridad de la información (confidencialidad, integridad y disponibilidad).
No es función del Comité (sino del equipo técnico): controlar la seguridad mediante la evaluación y gestión del riesgo en los procesos de Correos (eso corresponde al ejecutor/propietario del activo).
Roles de seguridad técnica
| Rol | Función |
|---|---|
| Auditores | Evalúan el nivel de efectividad y cumplimiento de los requisitos y sistemas de gestión relacionados con la seguridad de la información; pueden ser internos o externos |
| Ejecutor de la información | Responsable de proponer posibles soluciones técnicas para abordar riesgos que afecten a los sistemas y plataformas |
| Propietario del activo | Define el nivel de protección requerido |
Artículo 18 de la Constitución Española (seguridad de la información)
El artículo 18 CE recoge:
-
Inviolabilidad del domicilio.
-
Secreto de las comunicaciones.
-
Libertad informática / derecho a la protección de datos personales.
No recoge el "derecho al honor, intimidad y buena imagen" en los términos exactos que se plantean en examen (el art. 18 CE reconoce el honor, la intimidad personal y familiar y la propia imagen, pero el derecho a la protección de datos se desarrolló jurisprudencialmente en el art. 18.4 CE).
Buenas prácticas en el puesto de trabajo (seguridad)
Medidas correctas:
-
Utilizar un salvapantallas protegido con contraseña.
-
Bloquear el ordenador cuando se abandone el puesto de trabajo.
-
Apagar el ordenador cuando la ausencia vaya a ser prolongada.
-
Para bloquear el ordenador: CTRL + ALT + SUPR (y a continuación seleccionar "Bloquear equipo").
Incorrecto: "No apagar el ordenador cuando la ausencia sea prolongada" es una práctica incorrecta y contraria al decálogo de seguridad.
Al final de la jornada laboral, el empleado debe apagar su equipo (no solo bloquearlo ni activar el salvapantallas).
Decálogo de seguridad de Correos
Forman parte del decálogo de seguridad, entre otros:
-
Proteger las contraseñas.
-
Conocer la normativa de seguridad expuesta en Conecta (intranet de Correos).
-
Cerrar y bloquear la sesión cuando el empleado no esté en su puesto de trabajo.
No pertenece al decálogo: "Emplear en el puesto de trabajo los recursos informáticos que consideres más útiles aunque no te los haya proporcionado Correos".
Contraseñas
Los tipos de contraseña se categorizan en:
-
Soft o débiles / Hard o robustas (clasificación por fortaleza).
-
En la terminología anglosajona: Weak (débil) / Strong (fuerte).
Las contraseñas débiles (soft) se caracterizan por estar formadas por pocos caracteres, fácilmente reconocibles.
Recomendaciones de Correos para contraseñas:
-
Personales e intransferibles.
-
No usar contraseñas comunes o fáciles de adivinar.
-
No anotar la contraseña en ningún lugar.
Incorrecto: "Cambiar la contraseña cada seis meses" no es recomendación oficial de Correos (la recomendación es cambiarla al menos una vez al año).
Pausa en el puesto de trabajo
Lo más conveniente desde el punto de vista de la ciberseguridad cuando un empleado hace una pausa es bloquear el equipo o cerrar sesión.
Si recibe una solicitud de usuario y contraseña de un compañero: no debe proporcionarlos, ya que el usuario y la contraseña son personales e intransferibles.
Ante un incidente de seguridad (fraude, malware...), el empleado debe notificarlo a través del buzón de uso exclusivo interno o el botón de su correo electrónico corporativo.
Tipos de malware
| Malware | Descripción |
|---|---|
| Virus informático | Se adjunta a archivos y se replica al ejecutarlos |
| Gusano (Worm) | Realiza copias de sí mismo, puede buscar distribución masiva; es malware (no es un virus exactamente, aunque ambos son malware) |
| Troyano (Caballo de Troya) | Se disfraza de programa legítimo; el correo electrónico es el medio habitual de distribución |
| Ransomware | Cifra archivos hasta que se paga un rescate; también se denomina "secuestro o bloqueo de equipo" |
| Spyware | Recolecta datos del usuario del equipo |
| Adware | Emite publicidad de forma intrusiva; molesto pero poco peligroso |
| Rootkit | Permite acceso privilegiado al sistema ocultando su presencia |
| Keylogger | Registra las pulsaciones del teclado |
| Phishing | Suplantación de identidad por correo electrónico para obtener datos personales o credenciales |
| Smishing | Variante del phishing que utiliza SMS para llegar al teléfono móvil |
| Vishing | Variante del phishing por llamada de voz |
"Lombriz" no es un software malicioso reconocido (no confundir con el gusano o worm).
El correo electrónico es el medio más común para el phishing. El smishing llega mediante SMS y los ciberdelincuentes se hacen pasar por entidades conocidas.
Phishing: ejemplo típico
Recibir un correo del banco indicando que la cuenta ha sido limitada y pidiendo datos a través de un enlace = phishing.
Ingeniería social
La ingeniería social es cualquier acto que influye en una persona para tomar una decisión que puede no ser de su mejor interés. Su fin es engañar a la gente y extraer información personal (contraseñas, datos bancarios...). Todas esas definiciones son correctas conjuntamente.
Hacker vs ciberdelincuente
-
Hacker: experto en seguridad informática que investiga y reporta fallos de seguridad a los fabricantes de dispositivos. También denominado "hacker ético" o "white hat".
-
Ciberdelincuente (cracker): usa las vulnerabilidades con fines ilegales.
Vulnerabilidades de aplicaciones móviles
Las vulnerabilidades de aplicaciones móviles y programas informáticos:
-
Pueden poner en peligro toda la red de una compañía.
-
Pueden ser aliviadas y corregidas por expertos en ciberseguridad.
Afirmación incorrecta: "Actualmente se han conseguido eliminar casi completamente de la red." (Falso; las vulnerabilidades siguen siendo una amenaza constante.)
Afirmación incorrecta: "Siempre serán mayores en un dispositivo Android que en iOS." (No hay tal certeza absoluta.)
Control de acceso a internet
Las medidas de control de acceso a internet incluyen: control por tipos de archivo, acceso a páginas web y examen de archivos alojados en caché web.
No es una medida de control: "filtrado por números clave".
Plataforma SFTP
SFTP (Secure File Transfer Protocol) es la plataforma que se utiliza para el intercambio de información conservando la integridad de los datos y con máxima seguridad.
Navegación privada (modo incógnito)
La navegación privada (modo incógnito) es la forma de navegar por internet sin necesidad de guardar ninguna información en el navegador. Se accede desde cualquier navegador web (no exclusivamente desde Windows o Mac).
En modo incógnito no se guarda el historial ni la caché (la afirmación de que "no se guarda el historial pero sí la caché" es incorrecta).
Navegadores que protegen la privacidad
Los navegadores que evitan que grandes empresas rastreen el tráfico incluyen Hot Spot Shield VPN, Tor Browser y Kaspersky Safe Browser.
Google (Chrome) no protege frente al rastreo por parte de grandes empresas de la misma forma.
Colocar las antenas del router
Colocar las antenas del router en ángulo recto o en posición de V sirve para optimizar la conexión Wi-Fi.
Mobile Connect
Mobile Connect funciona mediante una comprobación en el móvil del usuario: al intentar acceder a un servicio se le pide el DNI y su número de teléfono.
Pop-up
Un pop-up es una nueva ventana que se abre de forma repentina en el navegador con el objetivo de mostrar un contenido complementario.
Fingerprinting (huella digital del dispositivo)
El fingerprinting o huella digital del dispositivo es la recopilación sistemática de información sobre un determinado dispositivo remoto con el objetivo de identificarlo y singularizarlo.
Códigos QR
Los códigos QR son un sistema gráfico creado para almacenar información y visualizarla posteriormente.
Ley de rectificación
La Ley Orgánica reguladora del derecho de rectificación es la LO 2/1984, de 26 de marzo.
6. Transparencia y buen gobierno
Ley 19/2013, de 9 de diciembre
La Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno es aplicable, entre otros, a la Administración General del Estado (sí está sujeta a su aplicación).
El derecho de acceso a la información pública reconocido en esta ley corresponde a todas las personas (no solo a ciudadanos españoles, ni solo a los que motiven su solicitud).
El Consejo de Transparencia y Buen Gobierno:
-
Su Presidente cesará en su cargo por la expiración de su mandato, a petición propia o por separación acordada por el Gobierno.
-
(La afirmación de que es nombrado por un período renovable de cuatro años no es correcta; el mandato tiene las condiciones establecidas en la propia ley.)
Portal de Transparencia de Correos
Correos sí dispone de un Portal de Transparencia, ubicado en su web corporativa.
Sus tres grandes bloques son:
-
Información normativa
-
Información organizativa
-
Información económica
No pertenece al portal de transparencia de Correos el apartado de "Propiedad intelectual e industrial".
Derecho de acceso a la información pública
El derecho de acceso es el que permite a los ciudadanos acceder a la información pública en los ámbitos no cubiertos por la publicidad activa del portal de transparencia.
Este derecho puede ser limitado cuando acceder a la información suponga un perjuicio para (entre otras causas):
-
La seguridad nacional.
-
La protección del medioambiente.
-
La política económica y monetaria.
No figura como causa de limitación "las relaciones interiores" (la ley habla de relaciones exteriores, no interiores).
7. Igualdad y violencia de género
Ley Orgánica 1/2004
A través de la Ley Orgánica 1/2004 se articula un conjunto integral de medidas encaminadas a reforzar los servicios sociales de información, atención, emergencia, apoyo y recuperación integral para las víctimas de violencia de género, y se establece un sistema de coordinación de los servicios existentes a nivel municipal y autonómico.
8. Sostenibilidad y medioambiente
Plan General de Sostenibilidad de Correos
Todos los empleados deben tener un comportamiento responsable con el medioambiente. Los objetivos del Plan General de Sostenibilidad incluyen la economía circular (no el "aumento de emisiones" ni el "valor comercial" de forma genérica).
Conferencia de Copenhague (2009)
La conferencia sobre cambio climático de 2009 se celebró en Copenhague y estableció el compromiso de reducción de un 20 % de las emisiones.
9. Transformación digital e identidad digital
Iniciativas de Correos para la transformación cultural y digital
-
Programa "Soy Digital" y uso de herramientas colaborativas como Teams.
-
Creación de "CorreosLabs" y nuevas metodologías de trabajo.
Identidad digital
La identidad digital es toda la información que existe sobre una persona en internet, independientemente de quién la publique (uno mismo, terceros...).
Se construye a partir de múltiples elementos: nick, avatar, servicios que se usan (Twitter, Instagram, Gmail...), imágenes, noticias, comentarios, gustos, amistades, aficiones...
No forma parte de la identidad digital:
-
La "información de otros que comparten datos con nosotros" (en cuanto aportación ajena que no genera traza propia nuestra).
-
"Gestionar documentos digitales en Windows" de forma local (sin conexión a internet).
-
Pedir comida a domicilio por teléfono (sin dejar traza digital).
Características de la identidad digital:
-
Es dinámica (evoluciona constantemente).
-
Es social (se construye en interacción con otros).
-
Es real (la información generada puede producir efectos positivos y/o negativos en el mundo "offline").
-
Es compuesta (suma de múltiples fuentes y elementos).
La característica que explica que la información generada puede producir efectos en el mundo offline es que es real.
Mejora de la identidad digital
La mejora de la identidad digital se puede afrontar desde tres perspectivas:
-
Visibilidad
-
Reputación
-
Privacidad
Huella digital
La huella digital es el rastro que deja el uso y tratamiento de nuestra identidad en internet.
Redes sociales profesionales
-
LinkedIn es la red social más adecuada para crear una red de contactos profesionales.
-
Yammer es una herramienta para gestionar una red social corporativa (interna).
Bulos, hoaxes y fake news
| Término | Definición |
|---|---|
| Hoax | Falsedad articulada de manera deliberada para que sea percibida como verdad; mistificación o broma |
| Bulo | Equivalente en español de hoax |
| Fake news | Noticias falsas difundidas como si fueran reales |
Los tres términos se solapan conceptualmente y en examen suelen considerarse todos correctos como respuesta conjunta. Un "vídeo viral" no hace referencia a un riesgo derivado de la capacidad de dispersión de información falsa (es simplemente contenido de gran difusión, sin implicar falsedad por definición).
Privacidad digital: recomendaciones para gestionar la identidad
-
Pensar si el contenido a subir es apropiado para difundir en público.
-
Pedir permiso a las personas que aparecen en fotos o vídeos antes de subirlas.
-
Utilizar los buscadores para controlar periódicamente la información disponible sobre uno mismo.
No es recomendación: "No actualizar demasiado los equipos informáticos para no borrar información importante de tu identidad digital." (Los equipos deben mantenerse actualizados por razones de seguridad.)
Brecha digital
La brecha digital hace referencia a la desigualdad entre las personas que pueden tener acceso o conocimiento en relación a las nuevas tecnologías y las que no.
Navegación segura y privada
Las imágenes libres de derechos de autor y de descarga gratuita pueden obtenerse en plataformas como Pixabay (no Shutterstock, que es de pago, ni Pinterest, que no es un repositorio de libre uso).
10. Tecnologías emergentes: IA, IoT, Big Data, impresión 3D y 5G
Inteligencia Artificial (IA)
Aplicaciones de la IA en logística: selección de las rutas de transporte y los desplazamientos más eficientes (no sustituye la empatía o la explicación oral al cliente, que son habilidades humanas).
Un chatbot es un tipo de bot que interactúa con el usuario y es capaz de mantener conversaciones (sencillas o complejas según su nivel de desarrollo).
Internet de las Cosas (IoT)
Mediante la tecnología IoT (Internet of Things / Internet de las cosas), cualquier objeto puede conectarse a internet a través de un pequeño sensor para realizar mediciones, controlar un dispositivo o hacer tratamiento inteligente de la información.
IoT se basa en tres capas:
-
Hardware (dispositivos físicos, sensores)
-
Infraestructura (redes de comunicación)
-
Software (plataformas y aplicaciones)
Malware no es una capa de IoT.
Aplicaciones del IoT en entornos urbanos (Smart City):
-
Gestión de tráfico y aparcamiento.
-
Gestión de residuos.
-
Eficiencia energética.
(Las tres son aplicaciones correctas de IoT en el contexto de Correos y su entorno.)
Big Data
El Big Data se caracteriza por su capacidad para extraer información de grandes volúmenes de datos en tiempo real procedentes de fuentes muy diversas.
Conceptos clave del Big Data:
| Concepto | Definición correcta |
|---|---|
| Clustering | La tecnología de clústeres posibilita que varios ordenadores se agrupen a través de redes de alta velocidad y funcionen como uno solo |
| Huella digital | Rastro que deja el uso y tratamiento de nuestra identidad en internet |
| Open Data | Movimiento que reclama mayor transparencia y que ciertos datos sean públicos y estén disponibles libremente |
| Query | Pregunta que se lanza a una base de datos para extraer información de valor |
| Velocidad | Rapidez en la que los datos son creados, almacenados y procesados en tiempo real |
| Estrategia | Utilización de los datos analizados en determinadas decisiones y acciones fiables |
Definición incorrecta de Big Data: XML como "Extensive Market Language" que permite realizar copias no autorizadas de archivos. (XML son las siglas de Extensible Markup Language, un lenguaje de marcado para estructurar datos.) La opción que lo define así es incorrecta.
Hoax no es una clave del Big Data (es un concepto de desinformación digital).
Riesgo del Big Data: la enorme cantidad de datos almacenados puede ser objetivo de ciberataques; existe riesgo real de vulneración de la privacidad de los usuarios (afirmar lo contrario es incorrecto).
Impresión 3D
Elementos necesarios para una impresión 3D:
-
Un programa de modelado.
-
Una impresora 3D.
-
Material de impresión (filamento, resina...).
El sector que más se ha beneficiado de la impresión 3D es la medicina: permite crear prótesis totalmente personalizadas y adaptadas al cuerpo del paciente a bajo coste.
Tipos de impresoras 3D existentes:
-
FDM (Fused Deposition Modeling).
-
Estereolitografía (SLA).
-
Impresoras digitales (DLP, etc.).
"Impresora médica" no es un tipo específico de impresora 3D.
Tecnología 5G
El 5G se diferencia del 4G principalmente en la velocidad de transferencia (descargas múltiples significativamente más rápidas) y la latencia (extremadamente baja, no alta).
El aspecto más relevante sobre el 5G es que acorta los tiempos en las descargas múltiples.
11. Modelos de negocio digital y cliente digital
Modelos de negocio digital
| Modelo | Descripción |
|---|---|
| Freemium | Servicio básico gratuito con versión de pago premium (Spotify, por ejemplo) |
| Suscripción | Pago periódico por acceso a contenido o servicio (Netflix, Spotify, Filmin) |
| Peer to Peer (P2P) | Intercambio entre particulares de bienes o servicios a cambio de compensación pactada; también llamado economía colaborativa |
| Plataformas de comparadores online | Sitio web que aglutina ofertas en un sector específico |
| e-learning | Formación online |
| Marketing de leads | Captación de clientes potenciales |
| Código abierto | Software cuyo código fuente es accesible públicamente |
"Keylogger" no es un modelo de negocio digital (es un tipo de malware).
Las empresas que optan por el modelo freemium deben asegurarse de:
-
Un embudo de conversión optimizado para cambiar usuarios gratuitos en pagados.
-
Una infraestructura tecnológica que pueda manejar una amplia base de usuarios gratuitos.
-
Una base sólida de clientes empresariales.
No es requisito del freemium: "gran distribución a través de licencias libres de su software" (eso corresponde al modelo de código abierto).
Metodología Lean Startup
El ciclo metodológico Lean Startup incluye:
-
Ideación de un nuevo producto o servicio y definición del segmento de clientes.
-
Creación del MVP (Producto Mínimo Viable; en español suele citarse como PMV, no "PNV").
-
Testeo de la versión de prueba con clientes potenciales.
-
Análisis de los datos recogidos para identificar lo que aporta valor al cliente.
No pertenece al ciclo Lean Startup: "crear la versión mínima del nuevo producto llamado PNV" (el término correcto es MVP/PMV, no PNV).
Economía colaborativa y economía compartida
La economía colaborativa (también conocida como economía compartida) es el sistema por el cual existe un intercambio entre particulares de bienes o servicios a cambio de una compensación o repartición pactada entre ambos. Ambas denominaciones son correctas.
Start up
Una start up es una empresa de reciente creación que busca un crecimiento exponencial en un corto plazo.
El cliente digital
Características del cliente digital:
-
Comparte sus experiencias y está informado (más del 60 % de los usuarios utiliza las redes sociales a menudo para informarse de un servicio o producto).
-
Es consciente y activo en la búsqueda de información.
"El cliente digital se informa y es informado" hace referencia a que: es un profesional de la compra online, sabe buscar las "mejores" ofertas y vive en el mundo de la inmediatez, donde cualquier retraso interfiere negativamente en la experiencia de cliente.
Durante el último año en España, más del 60 % de la gente ha utilizado el móvil para comprar.
Canales directos
Los canales directos son de tipo virtual o presencial y permiten a las empresas llegar al cliente final sin intermediarios.
Herramienta para respuestas en tiempo real
El teléfono es el medio que permite respuestas en tiempo real a los clientes.
Herramientas de gestión de proyectos colaborativos
-
Trello: organiza proyectos colaborativos mediante tableros.
-
Stormboard: herramienta para brainstorming o lluvia de ideas colaborativas.
-
Office 365 / G-Suite / Google Drive: herramientas para entornos de trabajo colaborativos en línea.
Networking / conectividad de redes
La conectividad de redes (networking) hace referencia a una actividad socioeconómica en la que profesionales y emprendedores se reúnen para formar relaciones empresariales. También crea y desarrolla oportunidades de negocio, comparte información y busca clientes; se dio con la aparición de internet y su uso globalizado en las empresas.
Trabajo colaborativo remoto
El trabajo colaborativo remoto es una forma de trabajo en la que se potencia el talento. No se realiza exclusivamente desde el hogar; permite trabajar en equipo a personas dispersas geográficamente.
Líder social networker
El aspecto más relevante del líder social networker es que se focaliza en el talento colectivo (no en su desempeño personal ni en el número de seguidores).
Habilidades digitales
Las grandes áreas de habilidades digitales son:
-
Información y comunicación.
-
Creación de contenido.
-
Resolución de problemas.
-
(Seguridad digital y otras competencias específicas.)
"Accesibilidad y Protección" no es una de las grandes áreas estándar de habilidades digitales.
La habilidad de aprendizaje continuo está relacionada con gestionar la propia capacitación digital.
La habilidad de trabajo en red es la capacidad para trabajar, colaborar y cooperar en entornos digitales.
Las compañías que gestionen de manera efectiva las tecnologías digitales, según el informe del MIT, obtendrán (respuesta incompleta en el chunk; en general: mayores beneficios y ventajas competitivas).
MOOC
MOOC es el acrónimo en inglés de Massive Open Online Courses (cursos online masivos y abiertos). Existen catálogos amplios y gratuitos de diversas entidades de prestigio y en varios idiomas.
Robots en entornos industriales
Los robots mejoran la productividad porque reducen tiempos y se adaptan mejor a las necesidades de la línea de fabricación y montaje, en entornos estandarizados.
Informe MIT sobre transformación digital
Según el informe del MIT, las compañías que gestionen de manera efectiva las tecnologías digitales obtendrán ventajas significativas (la respuesta completa estaba cortada en el archivo; en cualquier caso, el mensaje clave es que la gestión digital efectiva implica mejores resultados de negocio, no mayores costes operativos).
TIC
Las TIC son las Tecnologías de la Información y las Comunicaciones.
12. Herramientas de ofimática y trabajo colaborativo
Excel: opciones de visualización
Las diferentes opciones de visualización en Excel 2010 son:
-
Vista normal.
-
Vista diseño de página.
-
Vista previa del salto de página.
-
Vista pantalla completa.
-
Vista preliminar.
(En total, cinco vistas disponibles.)
Excel: líneas de división (cuadrícula)
Las líneas de división entre celdas de la hoja de cálculo en Excel no se imprimen por defecto (hay que activarlas explícitamente en las opciones de impresión).
Excel: compatibilidad con versiones anteriores
Para que usuarios de versiones anteriores de Excel puedan abrir un libro de trabajo, debe guardarse como "Libro de Excel 97-2003" (formato .xls).
Excel: columna con ancho "0"
Si se establece el ancho de una columna como "0" en Excel, la columna queda oculta.
Excel: buscar y reemplazar
Para acceder a la ventana "Buscar y reemplazar" en Excel: combinación de teclas CTRL + B.
Excel: desplazamiento de cursor
Para desplazar el cursor desde abajo hacia arriba en el rango deseado: combinación de teclas CTRL + MAYUS + tecla de dirección.
Excel: formatos condicionales
Para ver todos los formatos condicionales de la hoja de cálculo:
Inicio > Formato condicional > Administrar reglas
Autorrecuperación en Office
Para activar la "autorrecuperación" en Microsoft Office:
Menú Archivo > Opciones > Guardar > Guardar información de autorrecuperación
Formato de imagen digital
La elección del formato en el que guardaremos la imagen digital de un documento depende de la aplicación que vayamos a utilizar para visualizar las imágenes (no del peso ni de la universalidad del formato únicamente).
Mac: roles de usuario
En un sistema Mac existen 3 roles de usuario: administrador, estándar y solo compartir.
Modelo P2P (redes)
El modelo P2P (Peer to Peer) es el modelo de comunicaciones entre sistemas o servicios en el que todos los extremos son iguales, tienen la misma capacidad y cualquiera de ellos puede iniciar la comunicación.
Sistema Cl@ve
El sistema Cl@ve es el sistema complementario que unifica el acceso a la mayor parte de los servicios de Administración Electrónica.
13. Propiedad intelectual e industrial
Propiedad intelectual
La propiedad intelectual protege las creaciones en las que queda plasmada la personalidad del autor, tratándose de creaciones únicas, no producidas industrialmente o en serie.
Derechos de propiedad industrial e intelectual
Los derechos de propiedad industrial e intelectual protegen, entre otros: procesos, diseños, marcas, patentes, obras literarias y artísticas, etc.
No protegen los precios (eso queda fuera del ámbito de estos derechos). La afirmación de que "todas las respuestas anteriores son incorrectas" (cuando se incluyen procesos y diseños) es la que resulta incorrecta.
Imágenes libres de derechos
Plataformas para descargar imágenes libres de derechos de autor de forma gratuita: Pixabay.
(Shutterstock es de pago; Pinterest no es un repositorio de imágenes de libre uso.)
Bloque 4
Normas de Cumplimiento — Parte 4
1. Prevención del Blanqueo de Capitales y Financiación del Terrorismo (PBC/FT)
1.1 Marco normativo aplicable a Correos
La normativa básica que todo empleado de Correos debe conocer en esta materia es:
| Norma | Descripción |
|---|---|
| Ley 10/2010, de 28 de abril | Prevención del blanqueo de capitales y de la financiación del terrorismo (publicada en BOE el 29/04/2010) |
| Real Decreto 304/2014, de 5 de mayo | Reglamento de desarrollo de la Ley 10/2010 |
| Ley 12/2003, de 21 de mayo | Bloqueo de la financiación del terrorismo |
| Orden EHA/2619/2006, de 28 de julio | Desarrollo de obligaciones de prevención para sujetos que realicen actividades de cambio de moneda o gestión de transferencias con el exterior |
Nota crítica: La Ley «304/2018, de 5 de mayo» no existe y no forma parte de esta normativa. La «Ley 12/2000» tampoco forma parte del paquete normativo aplicable (la correcta es la Ley 12/2003, de 21 de mayo).
Correos queda sujeto a la Ley 10/2010 como sujeto obligado exclusivamente por los servicios postales relativos a actividades de giro o transferencia (no por paquetería, carta certificada internacional ni productos filatélicos).
Los sujetos obligados al cumplimiento de la LPBC se enumeran en su artículo 2 (no en el 1, 3 ni 4).
1.2 Organismos clave
-
GAFI (Grupo de Acción Financiera Internacional): organismo internacional de referencia que establece las recomendaciones en materia de PBC. En su revisión de febrero de 2012 adoptó un total de 40 recomendaciones.
-
SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias): unidad de inteligencia financiera española receptora de las comunicaciones de operaciones sospechosas.
-
APBC (Área de Prevención del Blanqueo de Capitales de Correos): unidad interna responsable de canalizar las comunicaciones al SEPBLAC.
1.3 Perfiles de riesgo y medidas de diligencia debida
Correos establece tres perfiles de riesgo para sus clientes:
| Perfil | Medida aplicable |
|---|---|
| Riesgo bajo | Medidas simplificadas |
| Riesgo medio | Medidas normales |
| Riesgo alto | Medidas reforzadas |
Atención: el enunciado del examen puede formular la pregunta indicando que las medidas reforzadas se aplican a clientes de «riesgo medio» (la respuesta correcta según el material de Correos es B: riesgo medio; en algunos enunciados la opción "riesgo alto" también aparece pero la formulación interna de Correos clasifica las reforzadas bajo «medio»). Revisar el enunciado exacto con atención.
Medidas simplificadas: clientes a los que NO se aplican
No se aplican medidas simplificadas a los clientes de giro internacional que envíen o reciban fondos con países designados por el ordenamiento jurídico y realicen operaciones que, acumuladas con las del último mes natural, no superen los 1.500 €. Este supuesto exige medidas normales o reforzadas según el riesgo-país.
Sí se aplican medidas simplificadas, entre otros, a:
-
Sucursales o filiales de entidades financieras de la UE o terceros países equivalentes (sometidas a procedimientos de PBC por la matriz).
-
Giros para el pago del propio Servicio Postal con origen y destino en Correos.
-
Entidades de derecho público de la UE o países terceros equivalentes.
Medidas normales: qué incluyen y qué NO incluyen
Las medidas normales incluyen:
-
Identificación del titular real y comprobación de su identidad.
-
Conocimiento del propósito e índole de la operación.
-
Seguimiento continuado de la relación de negocio.
No es una medida normal «reducir la periodicidad del proceso de revisión documental» (es justo lo contrario de lo que exige la diligencia debida).
Clientes en función del umbral de 3.000 €
-
Clientes de giro nacional o internacional que actúan en su propio nombre (remitentes o destinatarios en oficina) y no superan los 3.000 € individuales o acumulados en un trimestre → se aplican medidas normales.
-
Cuando los giros superan los 3.000 € en 90 días → se debe cumplimentar la Declaración de Actividad Económica (DAE).
El umbral de 3.000 € en una sola operación no es por sí solo motivo de comunicación de operación sospechosa; sería incorrecto comunicar al SEPBLAC únicamente por ese motivo.
1.4 Obligación de comunicar operaciones sospechosas
Correos está obligado a comunicar operaciones sospechosas cuando, entre otros indicios:
-
El cliente carece de documentación justificante del domicilio permanente o temporal en España.
-
El cliente trata de eludir las medidas de diligencia debida.
-
Existen indicios o certeza de que los clientes no actúan por cuenta propia (intentan ocultar al titular real).
No es en cambio motivo automático de comunicación la simple pretensión de enviar 3.000 € en una sola operación, si no concurren otros indicios.
1.5 Abstención de operaciones: clientes inadmisibles
En ningún caso se admitirán clientes que:
-
Pongan fin a la relación al ser requeridos para que faciliten información.
-
Oculten al titular real.
-
Faciliten datos falsos o erróneos.
Las tres condiciones son causas de abstención (respuesta «todas las anteriores»).
1.6 El sistema SEDI
SEDI es el sistema informático creado por Correos para dotar de mayor seguridad a las operaciones de admisión y pago de giros. Los documentos que exija SEDI en relación con el envío y recepción de dinero deben archivarse y conservarse durante 10 años.
1.7 Plazos de conservación y comunicación
| Concepto | Plazo |
|---|---|
| Conservación de documentación con fuerza probatoria e identificación de clientes | 10 años |
| Documentos exigidos por SEDI (envío y recepción de dinero) | 10 años |
| Plazo del APBC para acusar recibo de una comunicación de operación sospechosa | 5 días desde la recepción |
| Periodicidad con que el APBC traslada al SEPBLAC una DMO (declaración mensual de operaciones) | Mensualmente |
1.8 Formulario F19-1 y comunicación al SEPBLAC
Cuando el APBC eleva operaciones sospechosas al SEPBLAC, lo hace mediante el formulario F19-1 denominado «Comunicación por indicio de operatividad sospechosa». Dicho formulario debe contener:
-
Exposición de las circunstancias.
-
Actividad del cliente.
-
Investigación realizada.
(La respuesta correcta es «todas las anteriores».)
1.9 Sujetos que pueden participar en un hecho ilícito (programa de prevención de Correos)
| Figura | Definición |
|---|---|
| Autor | Ejecuta directamente el hecho ilícito |
| Inductor | Persuade a otro para que cometa el hecho |
| Cooperador necesario | Colabora de forma esencial en la comisión del hecho |
| Cómplice | Ayuda a cometer el hecho, pero de forma poco importante |
1.10 Documentos válidos para identificación de personas físicas
El NIS (Número de Identificación de Sailor/Marinero) no es válido como documento de identificación para todos los envíos. Los documentos válidos admitidos en la operativa de Correos son los denominados DOI (Documento de Identificación): DNI, NIE, pasaporte, permiso de conducir o tarjeta de residencia.
El Seamansbook (Libreta Marítima) es un documento de identificación de embarque válido que acredita al marinero.
2. Protección de Datos (RGPD y LOPD)
2.1 Normativa vigente
| Norma | Descripción |
|---|---|
| RGPD — Reglamento (UE) 2016/679 | Publicado en el Diario Oficial de la UE el 4 de mayo de 2016; entró en vigor el 25 de mayo de 2018 |
| LO 3/2018, de 5 de diciembre (LOPD-GDD) | Ley Orgánica de Protección de Datos Personales y Garantías de los Derechos Digitales; ley vigente en España |
| LO 15/1999 | Derogada; fue la LOPD anterior |
Importante: El Real Decreto-ley 5/2021, de 31 de julio, no rige la protección de datos (trata medidas urgentes de otro ámbito, concretamente apoyo a empresas en crisis por COVID). No confundir.
2.2 Estructura del RGPD (Reglamento 2016/679)
-
Capítulos totales: 11
-
Los actos delegados y actos de ejecución se regulan en el Capítulo X (no en el VIII ni en el XI).
2.3 Estructura de la LOPD (LO 3/2018)
| Elemento | Dato |
|---|---|
| Títulos | 10 |
| Título III | Arts. 11 al 18 |
| Título V | Regula el responsable y el encargado del tratamiento |
| Disposiciones adicionales | 22 |
| Infracciones leves | Art. 74 |
| Infracciones graves | Art. 73 |
| Infracciones muy graves | Art. 72 |
| Objeto de la LOPD | Art. 1 |
| Datos de personas fallecidas | Art. 3 |
| Categorías especiales de datos (art. 9) | Ver apartado 2.5 |
| Deber de confidencialidad (art. 5) | Remite al art. 5.1.f del RGPD |
| Tratamiento por obligación legal / interés público | Art. 8 de la LOPD (remite al art. 6.1.e del RGPD) |
| Registro de actividades de tratamiento | El responsable y, en su caso, su representante (art. 30 RGPD) |
2.4 Consentimiento
-
Cuando el tratamiento se basa en el consentimiento del interesado, el responsable (no el encargado) debe poder demostrar que el afectado consintió.
-
La retirada del consentimiento no afecta retroactivamente a lo ya realizado (no anula el tratamiento anterior a la retirada).
-
El consentimiento puede darse en el contexto de una declaración escrita referida a otros asuntos.
-
Para que el tratamiento de datos de un menor sea lícito: la edad de referencia según el RGPD es 16 años; los Estados miembros pueden rebajarla, pero nunca por debajo de 13 años. En España, la LOPD la fija en 14 años.
-
Los titulares de la patria potestad pueden ejercitar en cualquier caso los derechos del menor de 14 años.
2.5 Categorías especiales de datos (art. 9 LOPD / art. 9 RGPD)
Son categorías especiales (datos sensibles) todos los siguientes:
-
Origen racial o étnico.
-
Orientación sexual.
-
Afiliación sindical.
-
Ideología, religión, creencias.
-
Datos biométricos y genéticos que permitan identificar a una persona.
-
Datos de salud.
El mero consentimiento del afectado no basta por sí solo para levantar la prohibición de tratamiento de datos cuya finalidad principal sea identificar ideología, afiliación sindical, religión, etc. Se requieren condiciones adicionales.
2.6 Derechos de los ciudadanos
Derechos ARCO (derechos clásicos recogidos en la LOPD anterior):
Acceso — Rectificación — Cancelación — Oposición
La LOPD-GDD amplía el catálogo añadiendo:
-
Derecho a la portabilidad de los datos.
-
Derecho al olvido (supresión).
-
Derecho a limitar el tratamiento.
El derecho de cualificación no existe en la normativa vigente.
Derecho de supresión: cuándo NO procede la obligación de suprimir
El responsable no está obligado a suprimir los datos «por obligación legal debida al tratamiento lícito de los datos»; en este caso la obligación legal justifica precisamente el mantenimiento de los datos. Sí procede la supresión cuando:
-
El interesado retira el consentimiento.
-
Los datos ya no son necesarios para el fin para el que se recogieron.
-
Se trata de datos de menores de 14 años.
2.7 Delegado de Protección de Datos (DPD/DPO) en Correos
-
Las siglas DPD significan en inglés Data Protection Officer (aunque en español se usa DPD = Delegado de Protección de Datos).
-
Correos ha incorporado la figura del DPO al grupo empresarial. De los miembros que forman parte de este órgano, 2 son miembros de Nexea y Correos Express.
2.8 Niveles de seguridad sobre ficheros
Las medidas de seguridad sobre ficheros se clasifican en tres niveles:
Básico — Medio — Alto
2.9 Infracciones de la LOPD
| Tipo | Artículo LOPD | Ejemplo |
|---|---|---|
| Leve | Art. 74 | Incumplimientos formales menores |
| Grave | Art. 73 | Crear ficheros privados con finalidad distinta del objeto legítimo de la entidad |
| Muy grave | Art. 72 | Tratamiento de datos especialmente protegidos sin concurrir los supuestos legales |
2.10 Normas técnicas internacionales de seguridad de la información
Las referencias internacionales son las normas ISO 27001 (sistema de gestión de la seguridad de la información) e ISO 27002 (código de buenas prácticas). No son la Ley 15/1999 ni el RD 1720/2007 (éstas son normas nacionales ya derogadas o en proceso de actualización).
3. Transparencia y Buen Gobierno
3.1 Ley 19/2013, de 9 de diciembre
La Ley 19/2013 de Transparencia, Acceso a la Información Pública y Buen Gobierno fue aprobada en el año 2013 (no en 2014, 2000 ni 2012) y tiene triple alcance:
-
Publicidad activa: incrementa y refuerza la transparencia en la actividad pública; obliga a todas las administraciones y entidades públicas a publicar información relevante.
-
Acceso a la información: reconoce y garantiza el derecho de acceso a la información pública como derecho de amplio ámbito.
-
Buen gobierno: establece las obligaciones que deben cumplir los responsables públicos y las consecuencias jurídicas de su incumplimiento.
No forma parte de su objeto proponer leyes para la lucha contra el blanqueo de capitales.
3.2 Portal de Transparencia de Correos
La Sociedad Estatal Correos y Telégrafos sí está obligada a tener Portal de Transparencia (la afirmación de que «no está obligada» es incorrecta). El portal:
-
Ofrece información sobre la actividad de la sociedad.
-
Incluye datos de gestión económica y financiera, resultados de calidad del servicio e información corporativa y organizativa.
-
Pone a disposición canales de solicitud de información pública en los términos de la Ley 19/2013.
Los apartados del portal de transparencia de Correos no incluyen el «Derecho de rectificación» (que es un derecho de protección de datos, no una sección del portal de transparencia). Sí incluye, entre otros: Derecho de acceso, Información económica, Información normativa.
Los derechos fundamentales de los ciudadanos se recogen en la Constitución Española (no en el Código Civil, el Reglamento de Protección de Datos ni el Código de Sociedad Mercantil).
4. Compliance y Código General de Conducta
4.1 Comité de Cumplimiento
-
El Consejo de Administración debe ser informado por el Comité de Cumplimiento, al menos semestralmente, sobre:
-
Las necesidades económicas, humanas y materiales para el desempeño de las obligaciones de cumplimiento.
-
Las necesidades derivadas del Plan de Comunicación y Formación.
-
Las consultas, denuncias y comunicaciones recibidas a través del Canal de Comunicación y Denuncias de Correos.
(Las tres opciones son correctas; la respuesta es «todas las anteriores».)
- La Comisión de Auditoría y Control debe ser informada con una periodicidad mínima semestral sobre el contenido y resultado de los dictámenes de conclusiones emitidos por el Comité de Cumplimiento, así como del estado del Sistema de Compliance, con carácter previo a reportar al Consejo de Administración.
4.2 Ámbito de aplicación del Código General de Conducta
El Código General de Conducta de Correos se aplica a las sociedades subcontratistas, intermediarios, agentes y comisionistas cuando carezcan de procedimientos internos o de códigos de conducta equivalentes a los implantados en el Grupo Correos. No se limita exclusivamente a los directivos del Grupo ni a las Direcciones de Correos Express.
4.3 Prevención de Riesgos Laborales
La Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales fue modificada por la Ley 54/2003, de 12 de diciembre (no por la 43/2010, 24/1998 ni 14/2000).
5. Ciberseguridad
5.1 Tipos de malware
| Malware | Descripción |
|---|---|
| Virus | Se adjunta a un archivo legítimo y se propaga al ejecutarse |
| Troyano | Se disfraza de programa legítimo para engañar al usuario |
| Gusano | Se replica automáticamente por la red sin necesidad de intervención del usuario |
| Spyware | Recopila información del usuario sin su conocimiento |
| Adware | Muestra publicidad no deseada al usuario; molesto pero poco peligroso en sí mismo |
| Keylogger | Captura las pulsaciones del teclado para obtener contraseñas e información sensible |
| Ransomware | Cifra los archivos del equipo y pide un rescate económico para recuperarlos; puede infectar un equipo vulnerable sin necesidad de descargar ningún archivo |
| Rootkit | Conjunto de herramientas que permite acceso privilegiado y oculta su presencia en el sistema |
| Botnet | Conjunto de ordenadores controlados remotamente por un atacante, usados para actividades maliciosas coordinadas |
Virus, troyano, spyware y gusano tienen en común que son malware (software malicioso); todos se incluyen bajo ese término.
5.2 Ataques y amenazas frecuentes
| Ataque | Descripción |
|---|---|
| Ingeniería social | Cualquier acto que influye en una persona para que tome una acción que puede no ser en su mejor interés |
| Phishing | Estafa que suplanta la identidad de una entidad de confianza para obtener datos confidenciales; el canal más habitual es el correo electrónico |
| Smishing | Los ciberdelincuentes se hacen pasar por entidades conocidas y envían un mensaje de texto (SMS) avisando de un premio u oferta (variante del phishing por SMS) |
| Vishing | Phishing mediante llamada de voz |
| Spoofing | Técnicas de hacking para suplantar la identidad de entidades o personas en la red, con intención de obtener información privada o acceder con credenciales falsas |
| Spam | Correo electrónico no solicitado, de remitente desconocido, enviado masivamente |
| Vulnerabilidad | Error en una aplicación que puede permitir la entrada de un ciberdelincuente |
| Hoax | Bulo o noticia falsa cuyo objetivo es influir en la opinión del ciudadano (no causar daño técnico directo) |
El 90 % de los emails que se envían incluyen acciones maliciosas relacionadas con la ingeniería social.
Cómo actuar ante el phishing: conducta DAS
Detectar → Avisar → Suprimir
No se responde al mensaje ni se ofrecen datos; no se lleva directamente al juzgado de guardia.
5.3 Decálogo de seguridad de la información en Correos
Entre las obligaciones del decálogo figuran:
-
Emplear los recursos solo para uso profesional.
-
Comunicar cualquier incidente de seguridad al CAU (Centro de Atención al Usuario), no al jefe directo.
-
Proteger las contraseñas, manteniéndolas en secreto.
No corresponde al decálogo informar al jefe ante cualquier sospecha para que él decida qué hacer: la obligación es comunicar directamente al CAU.
5.4 Contraseñas seguras en Correos
Una contraseña segura en el entorno general exige:
-
Mínimo 8 caracteres.
-
Letras mayúsculas y minúsculas, números y caracteres especiales.
En Correos se ha establecido el estándar en:
- Mínimo 10 caracteres, con letras mayúsculas y minúsculas, números y caracteres especiales.
5.5 Área de Seguridad de la Información de Correos
Sus funciones son:
-
Implantar medidas técnicas que velen por la seguridad de los sistemas e información.
-
Marcar recomendaciones generales para desarrollar buenas prácticas en el puesto de trabajo.
No le corresponde custodiar datos para evitar que se compartan (eso es responsabilidad de todos los empleados), ni comunicar incidentes a todos los empleados.
5.6 Clasificación de la información en Correos
| Nivel | Descripción |
|---|---|
| Pública | Puede conocerse libremente por cualquier persona |
| Interna | Solo para uso dentro de la organización |
| Privada | Acceso restringido a empleados con necesidad funcional |
| Confidencial | Especialmente sensible; acceso restringido únicamente a la Dirección y a quienes la necesiten para desempeñar sus funciones |
5.7 Cuentas de usuario en Windows
Las cuentas de usuario en Windows se clasifican en tres tipos:
-
Administrador — control total del equipo.
-
Estándar — uso habitual sin privilegios de administración.
-
Invitado — permite que cualquier persona acceda al equipo sin acceso a archivos personales.
La «cuenta principal» no es una clasificación de Windows; la opción «root» es propia de sistemas Linux/Unix.
5.8 Seguridad en redes Wi-Fi
-
Conectarse a una Wi-Fi pública abierta expone datos personales, el tráfico y la identidad de forma casi total, con mayor riesgo si se intercambia información confidencial.
-
Para proteger la clave Wi-Fi: modificar frecuentemente el nombre de la red y la clave Wi-Fi (no guardar la clave en el ordenador personal, que sería un riesgo).
-
Medidas de seguridad para redes Wi-Fi: cifrado WPA o WPA2.
5.9 Acciones preventivas contra el malware
Conjunto de medidas correctas:
-
Instalar un antivirus.
-
Mantener el sistema operativo actualizado.
-
Usar cifrado WPA o WPA2 para la red Wi-Fi.
(Las tres son correctas.)
5.10 Descargas de fuentes no seguras
Descargar archivos de fuentes no seguras pone en peligro tanto la seguridad informática del equipo personal como la de toda la red de la organización (ambas opciones son correctas).
5.11 Certificado digital
-
Es un software instalable que almacena protocolos para autenticar a una persona.
-
Se utiliza para la autenticación de personas físicas.
-
No se renueva anualmente (la periodicidad habitual es de 2 a 3 años dependiendo del tipo).
-
Puede instalarse en varios dispositivos informáticos.
-
La afirmación de que «se deberá renovar de forma anual» es incorrecta.
5.12 Análisis de riesgos e inventario de activos
Un análisis de riesgos incluye:
-
Un inventario de bienes informáticos.
-
La estimación del peso del riesgo.
No forma parte del análisis de riesgos, como elemento propio, «el personal que trabaja en la empresa» (las personas son agentes que interactúan con los activos, no activos informáticos en sí mismos en este contexto).
El inventario de activos es una herramienta de mejora para la empresa (no un simple documento, ni un hito que aporte poco valor).
5.13 Normas ISO de referencia en seguridad de la información
-
ISO 27001: sistema de gestión de la seguridad de la información (SGSI).
-
ISO 27002: código de buenas prácticas para la gestión de la seguridad de la información.
Son las normas técnicas de ámbito internacional utilizadas como referencia.
5.14 Big Data y ciberseguridad
El Big Data puede mejorar la ciberseguridad realizando predicciones de posibles ataques y reduciendo el tiempo de reacción ante una amenaza.
6. Transformación Digital e Internet
6.1 Presencia digital corporativa
Los medios y canales desarrollados con la evolución de Internet para la presencia digital corporativa son:
-
Web corporativa.
-
Blog corporativo (complementa a la página web).
-
Canales sociales.
(Las tres son correctas; la respuesta es «todas».)
6.2 Internet de las Cosas (IoT)
IoT (del inglés Internet of Things = «Internet de las cosas») hace referencia a la interconexión digital de objetos cotidianos con Internet. Las tecnologías habitualmente asociadas al IoT son:
Wi-Fi, Bluetooth, NFC y RFID
Las funciones principales de los sensores IoT son:
-
Captar información del entorno o del objeto donde están integrados.
-
Desencadenar una acción en función de esa información.
-
Emitir una señal de geolocalización.
No es una función principal «operar con algoritmos» (eso corresponde a la capa de procesamiento, no al sensor).
6.3 Modelos de negocio digital
| Modelo | Descripción |
|---|---|
| Freemium | Servicio básico gratuito con ingresos por publicidad, buscando que el cliente acabe contratando un servicio de pago |
| Premium | Servicio de pago completo desde el inicio |
| Código abierto (Open Source) | Software cuyo código fuente es accesible públicamente |
| Peer to Peer (P2P) | Los negocios están muy atentos a las demandas del mercado; intercambio directo entre usuarios |
| Crowdfunding | Financiación colectiva; plataformas como Verkami y Kickstarter |
Un modelo de negocio digital es aquel que aprovecha la tecnología para mejorar sus servicios y aplica formas de negocio en el mundo digital (las dos afirmaciones son correctas).
6.4 Canales de llegada al cliente
| Tipo de canal | Descripción |
|---|---|
| Nuevos canales | Suelen tener un papel de apoyo frente al resto y cuentan con soporte en nuevas tecnologías |
| Canales directos | La empresa llega directamente al cliente sin intermediarios |
| Multicanalidad | Uso de varios canales de forma independiente |
| Estrategia omnicanal | Integración de todos los canales para ofrecer una experiencia unificada |
6.5 Web 2.0
La Web 2.0 es el fenómeno social surgido a partir del desarrollo de diversas aplicaciones en Internet que permiten la interactividad y la participación de los usuarios.
6.6 Big Data
El Big Data hace referencia a la información masiva generada por los usuarios a través de redes sociales, plataformas y servicios online, que genera datos sobre sus patrones de actividad.
Las 5 V del Big Data:
-
Volumen: la cantidad de datos generados cada segundo, minuto y día.
-
Velocidad: reúne la información de forma casi instantánea.
-
Variedad: información desestructurada proveniente de diversas fuentes.
-
Veracidad: hace referencia a la incertidumbre de los datos (no todos los datos son fiables).
-
Valor: capacidad de extraer conocimiento útil.
Según IDC (International Data Corporation), hay aproximadamente 5 gigabytes de información en la red por cada usuario.
Una query es la pregunta que se lanza a una base de datos para extraer información de valor.
6.7 Inteligencia Artificial (IA)
Los aspectos fundamentales de la IA son:
-
Los algoritmos.
-
El Machine Learning (aprendizaje automático).
-
Los mecanismos de pensamiento humano (base de la IA).
No es un aspecto fundamental la «supervisión humana constante» (la IA opera precisamente de forma autónoma).
6.8 Realidad aumentada vs. realidad virtual
-
Realidad aumentada: combina dimensión virtual y física; ofrece experiencias interactivas al usuario a partir de la combinación entre entorno real y elementos digitales superpuestos.
-
Realidad virtual: simulación computarizada de espacios nuevos, normalmente a través de un dispositivo de visualización inmersivo (gafas VR).
Son conceptos distintos (la realidad aumentada y la virtual no son lo mismo).
6.9 Tecnología 5G
La 5G es la nueva tecnología móvil que ha permitido aumentar la velocidad de conexión y reducir al mínimo la latencia (no el GPS, el 4G ni el 4K).
6.10 Wearables
Los wearables son dispositivos tecnológicos portátiles. No son exclusivamente relojes inteligentes; los hay de muchos otros tipos: gafas inteligentes, anillos, bolsos tecnológicos, etc.
6.11 Almacenamiento en la nube
Servicios de almacenamiento en la nube más habituales:
-
Drive (Google Drive).
-
iCloud (Apple).
-
OneDrive (Microsoft).
(Las tres son correctas.)
6.12 Tráfico audiovisual en Internet
El tráfico audiovisual representa al menos el 78 % de todo el tráfico de Internet, con tendencia al alza.
6.13 Eye tracking
El eye tracking es una tecnología de seguimiento ocular que permite conocer los comportamientos visuales del usuario cuando visita una web o interactúa con una interfaz.
6.14 Herramientas digitales relevantes
| Herramienta | Uso |
|---|---|
| Klout y Easy Social Media Monitoring | Analizan la presencia de personas o empresas en redes sociales (Twitter, Facebook, Tumblr…) |
| Ydray | Enviar archivos online de gran tamaño |
| CRM | Solución de gestión de las relaciones con clientes |
| OCR | Software que convierte una imagen de texto escaneado en texto digital editable |
| Roboform / ClaveSegura | Generador de contraseñas encriptadas bajo SSL |
| Airbnb | Plataforma de turismo colaborativo (alquiler de alojamiento entre particulares) |
| Chatbot | Permite ahorrar costes en formación y personal del departamento de atención al cliente |
6.15 Navegación privada
La navegación privada permite navegar sin guardar ninguna información en el navegador (historial, cookies, datos de formularios). No impide que la actividad sea visible para el proveedor de Internet o el administrador de red.
6.16 Digitalización de documentos
Cualquier tipo de documento puede ser digitalizado: imágenes, libros de texto completos, vídeos. Correos:
-
Puede digitalizar los justificantes de recepción de los envíos entregados y no entregados.
-
Asocia a cada documento el número de caja y un número secuencial para su localización posterior.
-
Puede comprobar que ha enviado respuesta para todas las imágenes y proceder a la grabación correspondiente.
El software OCR es el que permite convertir una imagen de texto en formato de texto digital editable.
El formato RAW es el más recomendado para preservar documentos de imagen digital en alta calidad (sin compresión destructiva). El JPG es el más comprimido y pierde calidad; el PNG es sin pérdida pero más pesado que RAW en imágenes fotográficas.
El píxel es la menor unidad homogénea en color que forma parte de una imagen digital.
El terabyte tiene el símbolo TB.
6.17 Identidad y reputación digital
Características de la identidad digital:
-
Es dinámica: cambia con el tiempo.
-
Es social: se construye en relación con otros.
-
Es compuesta: se construye por las aportaciones de la propia persona y de otras, sin que sea necesario el consentimiento de esa persona.
-
Es valiosa: tiene impacto real en la vida personal y profesional.
No es una característica de la identidad digital «ser estática».
La visibilidad digital de una persona o empresa se puede medir a través del número de contactos, seguidores o comentarios en publicaciones (todas son formas válidas).
Si un usuario deja un mal comentario en la red sobre un establecimiento, esa acción afecta a la identidad digital y a la reputación de dicho establecimiento (ambas son correctas).
La huella digital es el rastro de actividades en la red que queda registrado: visitas a webs, clics en enlaces publicitarios, dejar opiniones sobre establecimientos, etc. (todas las actividades mencionadas forman parte de la huella/identidad digital).
6.18 Secreto de las comunicaciones en Correos
Están amparados por el secreto de las comunicaciones los envíos postales cerrados (cartas, paquetes con contenido íntimo, apartados postales, Paq Premium…).
No está amparado por el secreto de las comunicaciones la Bandeja tipo A (contenedor de distribución sin carácter de envío postal personal).
6.19 Propiedad industrial e intelectual de Correos
La política de propiedad industrial e intelectual de Correos prohíbe:
-
La divulgación, obtención de copias o utilización del contenido para obtener un beneficio personal.
-
La cesión a terceros sin autorización previa y expresa del Grupo Correos.
-
El empleo de software sin la correspondiente licencia.
No prohíbe: el uso no comercial del logo de buena fe.
6.20 Marketing digital y analítico
-
Marketing analítico: su principal beneficio es reducir costes internos de las campañas de marketing (además de ofrecer mayor conocimiento del consumidor y aplicar Big Data).
-
Líder social networker: se caracteriza por gestionar emociones colectivas en las redes (no simplemente por felicitar cumpleaños o publicar a diario).
-
El blog corporativo complementa a la página web como elemento de presencia digital.
-
La pirámide de Maslow tiene 5 niveles: necesidades básicas, seguridad, sociales, conocimiento y autorrealización.
7. Ofimática y Herramientas de Productividad
7.1 Microsoft Excel
| Operación | Cómo se hace |
|---|---|
| Introducir horas | Usar los dos puntos (ej.: 14:30) |
| Seleccionar un rango de celdas | Hacer clic en la primera celda, presionar F8 y extender la selección con las teclas de cursor |
| Mostrar columnas ocultas | Combinación de teclas CTRL + MAYUS + "9" |
7.2 Búsqueda avanzada en Google
Los filtros de búsqueda avanzada de Google incluyen: idioma, tipo de archivo, derechos de uso, entre otros. No existe el filtro «Tipografía» en la búsqueda avanzada de Google.
8. Resumen de Datos Numéricos y Fechas Clave
| Dato | Valor |
|---|---|
| Recomendaciones GAFI (2012) | 40 |
| Plazo APBC para acusar recibo de operación sospechosa | 5 días |
| DMO al SEPBLAC | Mensualmente |
| Conservación documentación PBC | 10 años |
| Conservación documentos SEDI | 10 años |
| Umbral de giros en 90 días que exige DAE | Superar 3.000 € |
| Umbral medidas normales en giro (trimestral) | Hasta 3.000 € |
| Miembros DPO de Nexea y Correos Express | 2 |
| Niveles seguridad ficheros LOPD | 3 (básico, medio, alto) |
| Capítulos RGPD | 11 |
| Títulos LOPD 3/2018 | 10 |
| Disposiciones adicionales LOPD | 22 |
| Título III LOPD (arts.) | 11 al 18 |
| Infrac. leves LOPD | Art. 74 |
| Infrac. graves LOPD | Art. 73 |
| Infrac. muy graves LOPD | Art. 72 |
| Edad mínima consentimiento RGPD | 16 años (estados pueden bajar hasta 13) |
| Edad mínima consentimiento LOPD española | 14 años |
| RGPD publicado en DOUE | 4 de mayo de 2016 |
| Ley 19/2013 aprobada | Año 2013 |
| LO 3/2018 LOPD vigente | 5 de diciembre de 2018 |
| Ley 10/2010 PBC | BOE 29 de abril de 2010 |
| Perfiles de riesgo PBC en Correos | 3 (bajo, medio, alto) |
| Contraseña segura Correos | 10 caracteres mínimo + mayúsc./minúsc. + números + especiales |
| Contraseña segura estándar general | 8 caracteres mínimo + mayúsc./minúsc. + números + especiales |
| % emails con acciones maliciosas (ingeniería social) | 90 % |
| Tráfico audiovisual en Internet | Al menos 78 % |
| Información en la red por usuario (IDC) | ~5 GB |
| Actos delegados RGPD | Capítulo X |
| Responsable y encargado del tratamiento LOPD | Título V |
| Objeto LOPD | Art. 1 |
| Datos personas fallecidas LOPD | Art. 3 |
| Categorías especiales LOPD | Art. 9 |
| Deber de confidencialidad LOPD | Art. 5 → remite a art. 5.1.f RGPD |
| Obligación legal/interés público LOPD | Art. 8 → remite a art. 6.1.e RGPD |
| Informes semestral Comité de Cumplimiento al Consejo de Administración | Semestralmente |
| Informe semestral Comisión Auditoría sobre System Compliance | Semestral |