Normas de cumplimiento: protección de datos, prevención de blanqueo de capitales, ética y transparencia, seguridad de la información y ciberseguridad
Protección de datos: RGPD y LOPDGDD
El Reglamento General de Protección de Datos (RGPD), de aplicación directa en toda la UE desde el 25 de mayo de 2018, establece el marco jurídico para el tratamiento de datos personales de personas físicas. Complementa a este reglamento, en el ámbito nacional, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que adapta el RGPD al ordenamiento jurídico español y añade disposiciones específicas para sectores como el laboral o el educativo.
Para Correos, el cumplimiento de esta normativa es especialmente relevante porque la empresa trata a diario datos de millones de clientes: datos de remitentes y destinatarios, datos de tráfico postal, datos financieros y datos derivados de los servicios digitales. El principio de minimización de datos exige recoger únicamente los datos estrictamente necesarios para cada finalidad, y el principio de limitación de la finalidad prohíbe usar esos datos para fines distintos de los que justificaron su recogida.
Los empleados de Correos, incluyendo los carteros, tienen obligación de mantener el secreto postal y de no acceder, divulgar ni utilizar datos de los envíos más allá de lo necesario para el servicio. El incumplimiento puede acarrear sanciones administrativas a la empresa y consecuencias disciplinarias o penales para el empleado.
Datos clave
- RGPD: aplicable desde el 25 de mayo de 2018 en toda la UE.
- LOPDGDD (LO 3/2018): adaptación española del RGPD; incluye derechos digitales.
- Autoridad de control en España: la Agencia Española de Protección de Datos (AEPD).
- Principios clave: licitud, minimización, limitación de finalidad, exactitud, integridad.
- El secreto postal es una obligación del empleado derivada del marco de protección de datos.
Prevención del blanqueo de capitales y la financiación del terrorismo
La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (PBCyFT), transpone las directivas europeas en esta materia y establece las obligaciones que deben cumplir los sujetos obligados, entre los que se encuentran las entidades financieras y también los operadores postales cuando prestan servicios de giro o transferencia de fondos.
Correos, a través de Correos Servicios Financieros (Correos Cash y otros productos), está sujeto a las obligaciones de esta ley. Las medidas de diligencia debida incluyen la identificación y verificación de la identidad del cliente antes de establecer una relación de negocio o ejecutar una operación de importe significativo, la conservación de documentación durante al menos 10 años y la comunicación al Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC) de cualquier operación sospechosa.
Los empleados que trabajan en servicios financieros de Correos deben conocer las señales de alerta que pueden indicar una operación de blanqueo: transacciones en efectivo de importe elevado sin justificación económica aparente, fragmentación de operaciones para eludir umbrales de comunicación, uso de terceros para realizar transacciones, etc. La formación en esta materia es obligatoria para los empleados en puestos con riesgo.
Datos clave
- Ley 10/2010: ley española de prevención del blanqueo de capitales y financiación del terrorismo.
- El organismo supervisor es el SEPBLAC (Servicio Ejecutivo de la Comisión de PBC).
- Obligaciones: identificar al cliente, conservar documentación 10 años, comunicar operaciones sospechosas.
- Correos está sujeto como sujeto obligado cuando presta servicios de giro/transferencia.
- Las operaciones en efectivo de importe elevado (umbral 1.000 EUR en efectivo para identificación obligatoria) requieren especial atención.
Código ético y canal de denuncias
Correos dispone de un Código Ético que recoge los principios y valores que deben guiar la conducta de todos sus empleados y directivos: integridad, transparencia, respeto, orientación al cliente y responsabilidad social. Este código es de cumplimiento obligatorio y su incumplimiento puede dar lugar a consecuencias disciplinarias. Complementa el marco legal aplicable en materia laboral, penal y de la función pública.
El Código Ético de Correos regula, entre otros aspectos, la gestión de conflictos de interés, la prohibición de aceptar regalos o beneficios que puedan condicionar el ejercicio del cargo, el uso adecuado de los recursos de la empresa, la protección de la información confidencial y el respeto por la diversidad y la no discriminación en el entorno laboral.
Para facilitar la comunicación de posibles incumplimientos éticos o legales, Correos cuenta con un canal de denuncias (canal ético o canal de alertas), que permite a los empleados y terceros notificar conductas irregulares de forma confidencial y, en su caso, anónima. Este canal está regulado, en el ámbito europeo, por la Directiva 2019/1937 sobre protección de denunciantes, transpuesta en España por la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Datos clave
- El Código Ético de Correos es de cumplimiento obligatorio para todos los empleados.
- Regula conflictos de interés, regalos, uso de recursos, confidencialidad y no discriminación.
- El canal de denuncias permite notificar irregularidades de forma confidencial o anónima.
- Directiva 2019/1937 (UE) y Ley 2/2023 (España) regulan la protección de denunciantes.
- Las represalias contra quien denuncia de buena fe están expresamente prohibidas.
Seguridad de la información en Correos
La seguridad de la información tiene como objetivo proteger la confidencialidad, integridad y disponibilidad de los datos y sistemas de Correos frente a accesos no autorizados, alteraciones indebidas o pérdidas. Para una empresa que gestiona datos postales, financieros y logísticos de millones de clientes, esta protección es crítica tanto desde el punto de vista legal como reputacional.
Correos aplica políticas de seguridad de la información alineadas con estándares internacionales como la norma ISO/IEC 27001, que proporciona un marco para implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). Estas políticas regulan el acceso a los sistemas de información mediante contraseñas robustas y perfiles de usuario con permisos limitados al principio del mínimo privilegio.
Los empleados tienen responsabilidades concretas en materia de seguridad de la información: no compartir credenciales de acceso, bloquear el equipo al ausentarse del puesto de trabajo, no instalar software no autorizado, no conectar dispositivos externos no aprobados y reportar cualquier incidente o comportamiento sospechoso al equipo de seguridad TI. El incumplimiento de estas normas puede suponer un riesgo grave para la empresa y consecuencias disciplinarias para el empleado.
Datos clave
- Tres pilares de la seguridad de la información: confidencialidad, integridad y disponibilidad.
- Estándar de referencia: ISO/IEC 27001 (Sistema de Gestión de la Seguridad de la Información).
- Principio del mínimo privilegio: cada empleado accede solo a los sistemas que necesita.
- El empleado debe reportar incidentes de seguridad al equipo TI.
- Compartir credenciales de acceso está expresamente prohibido.
Ciberseguridad: amenazas y buenas prácticas
La ciberseguridad es la rama de la seguridad de la información centrada en la protección de los sistemas informáticos, redes y datos frente a ataques digitales. Las principales amenazas que puede enfrentar una organización como Correos incluyen el phishing (correos o mensajes fraudulentos que intentan engañar al empleado para que revele credenciales o descargue malware), el ransomware (software malicioso que cifra los datos y pide un rescate), el robo de identidad y los ataques de denegación de servicio.
El phishing es la amenaza más frecuente en el entorno laboral. Los atacantes suelen suplantar la identidad de organismos oficiales, proveedores o la propia empresa para engañar al empleado. Las buenas prácticas incluyen verificar siempre la dirección del remitente, no hacer clic en enlaces sospechosos, no abrir adjuntos de origen desconocido y contactar con el equipo de TI ante la menor duda.
En España, el Centro Nacional de Ciberseguridad (CNN-CERT, dependiente del Centro Criptológico Nacional) y el INCIBE (Instituto Nacional de Ciberseguridad) son los organismos de referencia en materia de ciberseguridad. Las empresas tienen la obligación de notificar determinados incidentes de seguridad a la AEPD cuando afecten a datos personales, en un plazo máximo de 72 horas desde que tienen conocimiento de la brecha.
Datos clave
- Principales amenazas: phishing, ransomware, robo de identidad, denegación de servicio.
- El phishing es la táctica de ingeniería social más frecuente en el entorno laboral.
- Ante un correo sospechoso: no hacer clic, no abrir adjuntos, reportar al equipo TI.
- Brecha de datos personales: notificación obligatoria a la AEPD en máximo 72 horas.
- Organismos de referencia en España: CCN-CERT (sector público) e INCIBE (sector privado/ciudadano).
Transparencia y buen gobierno en Correos
La transparencia es un principio fundamental en la gestión de las empresas con participación pública. Correos, como sociedad anónima cuyo capital es íntegramente estatal (dependiente de la SEPI, Sociedad Estatal de Participaciones Industriales), está sujeta a las obligaciones de transparencia derivadas de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno. Esta ley obliga a las entidades del sector público a publicar información relevante sobre su actividad, organización, presupuesto y contratación.
La transparencia activa implica que Correos debe publicar de oficio, sin necesidad de que nadie lo solicite, información relevante como sus cuentas anuales, la retribución de sus directivos, los contratos formalizados por encima de ciertos umbrales y las subvenciones otorgadas o recibidas. Esta información se pone a disposición del público a través del portal de transparencia de la empresa y del Portal de Transparencia del Estado.
El buen gobierno corporativo de Correos se articula a través de su Consejo de Administración, la Dirección de Cumplimiento Normativo (o equivalente), la política anticorrupción y los mecanismos internos de control. Los empleados contribuyen a la transparencia al actuar con honestidad, evitar conflictos de interés y utilizar correctamente los recursos públicos que gestionan.
Datos clave
- Ley 19/2013: ley española de transparencia, acceso a la información pública y buen gobierno.
- Correos pertenece al sector público empresarial (capital 100% estatal, a través de la SEPI).
- Transparencia activa: publicación de oficio de información relevante (cuentas, contratos, retribuciones).
- El Portal de Transparencia del Estado centraliza la información de las entidades públicas.
- El buen gobierno incluye la política anticorrupción y la Dirección de Cumplimiento Normativo.
El secreto postal y de las comunicaciones
El secreto de las comunicaciones es un derecho fundamental reconocido en el artículo 18.3 de la Constitución Española, que protege específicamente la correspondencia postal. Este derecho implica que nadie, salvo la autoridad judicial mediante resolución motivada, puede abrir, retener, detener o reproducir la correspondencia que circula por los canales postales. Para el cartero o empleado de Correos, el respeto al secreto postal no es solo una obligación ética sino un deber legal cuya infracción puede constituir delito.
La Ley 43/2010, de 30 de diciembre, del Servicio Postal Universal, establece que todos los operadores postales y su personal están obligados a guardar secreto sobre las comunicaciones postales que tramiten. Esta obligación se extiende no solo al contenido de los envíos sino también a los datos del remitente, del destinatario, la existencia del envío y cualquier circunstancia relativa al mismo.
En la práctica, el secreto postal obliga al empleado a no abrir paquetes salvo autorización judicial, no comunicar a terceros los datos de los envíos que tramita, no fotografiar ni copiar contenido de los envíos, y abstenerse de cualquier acto que suponga una intromisión en la intimidad del remitente o destinatario. La vulneración del secreto postal puede ser constitutiva de un delito tipificado en el Código Penal.
Datos clave
- Artículo 18.3 CE: el secreto de las comunicaciones es un derecho fundamental.
- Solo una resolución judicial motivada puede levantar el secreto postal.
- Ley 43/2010 del Servicio Postal Universal: obliga a todo el personal postal a guardar secreto.
- La obligación abarca contenido, datos del remitente/destinatario y circunstancias del envío.
- Vulnerar el secreto postal puede constituir delito tipificado en el Código Penal.