Correos Personal Laboral Indefinido Grupo IV | Tema 12

Normas de cumplimiento en Correos: protección de datos, blanqueo de capitales y ética empresarial

Este tema agrupa las principales obligaciones normativas que afectan al personal de Correos en su actividad diaria: protección de datos personales, prevención del blanqueo de capitales y financiación del terrorismo, y cumplimiento del Código General de Conducta. Son materias frecuentes en el examen y exigen dominar definiciones, plazos y procedimientos concretos.

Protección de datos: RGPD y LOPDGDD

La protección de datos personales es un derecho fundamental reconocido en el artículo 18.4 de la Constitución Española y en el artículo 8 de la Carta de los Derechos Fundamentales de la UE. La normativa aplicable se articula en dos niveles: el Reglamento (UE) 2016/679 (RGPD), directamente aplicable en todos los Estados miembros, y la Ley Orgánica 3/2018 (LOPDGDD), que adapta y completa el RGPD en el ordenamiento español.

Conceptos fundamentales

Datos personales son toda información sobre una persona física identificada o identificable (nombre, DNI, dirección IP, matrícula de vehículo). Tratamiento abarca cualquier operación sobre esos datos, incluida la mera visualización. La seudonimización transforma los datos para que no puedan atribuirse sin información adicional, pero el dato sigue siendo personal y protegido. El responsable del tratamiento determina los fines y medios del tratamiento; el encargado trata datos por cuenta del responsable. Correos actúa como responsable respecto a los datos de clientes en sus servicios postales.

Principios del artículo 5 RGPD

El RGPD recoge siete principios: licitud, lealtad y transparencia; limitación de la finalidad (los datos solo se usan para el fin informado); minimización (solo los datos estrictamente necesarios); exactitud; limitación del plazo de conservación (no se pueden guardar indefinidamente); integridad y confidencialidad (medidas de seguridad adecuadas); y responsabilidad proactiva (el responsable debe poder demostrar el cumplimiento).

Bases legítimas y consentimiento

El tratamiento solo es lícito si concurre al menos una base del artículo 6 RGPD: consentimiento, ejecución de contrato, obligación legal, interés vital, interés público o interés legítimo. El RGPD elimina el consentimiento tácito: ahora debe ser libre, específico, informado e inequívoco, mediante acto afirmativo claro. El silencio o las casillas premarcadas no constituyen consentimiento válido. Retirar el consentimiento debe ser tan fácil como otorgarlo.

Derechos de los interesados

Son derechos personalísimos con plazo de respuesta de un mes (prorrogable dos meses más). Incluyen acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición. El derecho de portabilidad exige que el tratamiento esté basado en consentimiento o contrato y se efectúe por medios automatizados (ambas condiciones acumulativas). El derecho de oposición al tratamiento con fines de mercadotecnia directa es absoluto: no cabe ponderar intereses.

Obligaciones de las empresas

Correos ha designado un delegado de protección de datos (DPD), obligatorio para organismos públicos y entidades que traten datos a gran escala. El DPD asesora, supervisa y coopera con la AEPD, pero no es responsable de las infracciones. Las violaciones de seguridad deben notificarse a la autoridad de control en un máximo de 72 horas y, si suponen alto riesgo, comunicarse al interesado sin dilación. Las sanciones pueden alcanzar 20 millones de euros o el 4 % del volumen de negocio global.

Prevención de blanqueo de capitales

El blanqueo de capitales es el proceso de integrar bienes de origen delictivo en el sistema económico legal. Se estructura en tres fases: colocación (introducir dinero en el sistema financiero), encubrimiento (multiplicar transacciones para borrar el rastro) e integración (reintroducir los fondos con apariencia lícita).

Correos es sujeto obligado por el artículo 2.1.j de la Ley 10/2010 respecto a sus actividades de giro y transferencia. Su normativa interna incluye el Manual de PBC, aprobado por la Comisión de Control, y el sistema informático SEDI/PBC.

Diligencia debida y niveles de medidas

La identificación del cliente con documento fehaciente y en vigor es obligatoria antes de cualquier operación de giro. Para españoles solo es válido el DNI; para extranjeros, la tarjeta de residencia, el pasaporte o el documento de identidad europeo. El permiso de conducir y el pasaporte español no son documentos válidos para PBC.

Existen tres niveles de medidas: simplificadas (Administraciones públicas, entidades financieras supervisadas), normales (clientes de giro que no superen 3.000 € trimestrales) y reforzadas (clientes que superen ese umbral, operaciones con países de riesgo que acumulen más de 1.500 € mensuales, menores de edad o personas con responsabilidad pública). Las medidas reforzadas exigen documentar el origen lícito de los fondos antes de ejecutar la operación.

Estructura organizativa en Correos

La Comisión de Control es el órgano de control interno, presidida por el titular de la Subdirección de Compliance y Buen Gobierno. El representante ante el SEPBLAC canaliza todas las comunicaciones con la Unidad de Inteligencia Financiera española. El Área de PBC analiza operaciones sospechosas y elabora el informe anual de autoevaluación del riesgo. Los documentos y registros se conservan 10 años desde la ejecución de la operación.

Obligaciones del empleado

Todo empleado debe identificar y verificar la identidad del cliente, registrar correctamente los datos en el sistema, detectar operaciones sospechosas y comunicarlas al responsable de oficina. La negativa del cliente a cumplimentar la DAE o a aportar documentación impide ejecutar la operación. El deber de confidencialidad prohíbe revelar al cliente que su operación está siendo examinada.

Compromiso ético y transparencia

Correos dispone de un Código General de Conducta desde 2005, revisado en 2021 por el Consejo de Administración. Es de obligado cumplimiento para empleados, directivos, administradores y empresas subcontratistas que carezcan de códigos equivalentes.

Principios rectores

El Código se asienta en tres pilares: respeto e igualdad de trato (tolerancia cero frente al acoso y la discriminación), igualdad de oportunidades (promoción basada en formación, mérito y esfuerzo) y derechos humanos y libertades fundamentales. Se prohíbe la aceptación u ofrecimiento de regalos, sobornos o comisiones ocultas, y se vetan las contribuciones a partidos políticos.

Canal de Comunicación y Denuncias

Es el mecanismo para comunicar al Comité de Cumplimiento conductas presuntamente delictivas o contrarias al Código. Pueden usarlo empleados y terceros, a través de canal verbal, postal, electrónico o web corporativa. Se garantiza la no represalia contra el denunciante de buena fe. El Comité de Cumplimiento, nombrado por el Consejo de Administración, supervisa el Sistema de Compliance, revisa el mapa de riesgos penales y reporta semestralmente al Consejo y a la Comisión de Auditoría y Control.

¿Qué documentos de identificación NO son válidos para la prevención de blanqueo de capitales en Correos?

No son válidos el permiso de conducir, el pasaporte español (solo se admite DNI para nacionales españoles), las cédulas de identidad de países no pertenecientes a la UE o EEE, el certificado de registro de ciudadanos de la Unión (carta verde), la libreta marítima (salvo excepciones del Convenio ONU) ni el carnet consular expedido en tercer país.

¿Cuál es el plazo para notificar una violación de seguridad de datos personales a la autoridad de control según el RGPD?

El responsable del tratamiento debe notificarla sin dilación indebida y, a ser posible, en un máximo de 72 horas desde que tenga constancia de la brecha. Si la notificación se realiza transcurrido ese plazo, debe acompañarse de los motivos de la dilación.

¿Qué requisitos acumulativos exige el RGPD para ejercer el derecho a la portabilidad de los datos?

Se deben cumplir dos condiciones simultáneamente: que el tratamiento esté basado en el consentimiento o en un contrato, y que se efectúe por medios automatizados. Si falta cualquiera de las dos, no procede el ejercicio de este derecho.

¿A partir de qué importe acumulado trimestral se aplican medidas reforzadas de diligencia debida a los clientes de giro en Correos?

Se aplican medidas reforzadas a clientes de giro nacional o internacional, remitentes o destinatarios, que superen 3.000 € individuales o acumulados en un periodo de 90 días. Para giro internacional con países de riesgo, el umbral es 1.500 € acumulados en un mes natural.