Gestión de datos personales: guía práctica, riesgos y cumplimiento

Inicio >> Guías y Tutoriales >> Gestión de datos personales: guía práctica, riesgos y cumplimiento

La gestión de datos personales se ha convertido en uno de los temas que más preocupan a empresas, administraciones públicas y ciudadanía. No se trata solo de cumplir el Reglamento General de Protección de Datos (RGPD), sino de asumir que cualquier organización vive de la confianza que generan sus procesos y de cómo protege la información de las personas con las que se relaciona.

Cuando la gestión de datos se deja en piloto automático, llegan los problemas: brechas de seguridad, sanciones económicas, pérdida de reputación y conflictos con clientes y usuarios. Por el contrario, cuando se trabaja la privacidad de forma activa, documentada y transparente, la protección de datos se convierte en una ventaja competitiva real y en un elemento clave de responsabilidad social.

Qué se entiende por datos personales y por gestión de datos

En términos legales, se consideran datos personales cualquier información que identifique o pueda identificar a una persona física. Esto abarca desde los datos más evidentes como nombre, apellidos o dirección, hasta otros menos intuitivos como una dirección IP, un identificador online o un dato médico asociado a un historial clínico.

Algunos ejemplos habituales de datos personales tratados a diario son: nombre y apellidos, domicilio, correo electrónico, número de documento de identidad o pasaporte, nivel de ingresos, perfil cultural, datos de contratación laboral, historial académico o información sanitaria custodiada por hospitales y profesionales médicos.

Dentro de esta categoría general, el RGPD define también las llamadas categorías especiales de datos, especialmente sensibles, que por regla general no se pueden tratar salvo en supuestos muy tasados. Aquí entran datos sobre origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, orientación sexual, así como datos genéticos, biométricos o de salud, y los relativos a condenas e infracciones penales.

Cuando hablamos de gestión de datos personales nos referimos a todo el ciclo de vida del dato: cómo se recogen, con qué finalidad, en qué sistemas se almacenan, quién accede a ellos, a quién se comunican, durante cuánto tiempo se conservan y cómo se eliminan, anonimizan o seudonimizan. Es decir, un conjunto de prácticas técnicas, organizativas y documentales orientadas a garantizar un tratamiento lícito, seguro y respetuoso con los derechos de las personas.

Ámbito de aplicación del RGPD y figuras clave en el tratamiento

El Reglamento General de Protección de Datos se aplica a cualquier empresa u organización que trate datos personales y tenga su establecimiento en la Unión Europea, con independencia de dónde estén situados físicamente los servidores o sistemas en los que se procesan esos datos.

Además, también se aplica a empresas establecidas fuera de la UE cuando ofrecen bienes o servicios (gratuitos o de pago) a personas que se encuentran en la Unión, o cuando monitorizan su comportamiento, por ejemplo mediante cookies, analítica avanzada o perfiles de comportamiento online. En estos casos, el RGPD exige que la entidad designe un representante en la UE.

El RGPD no se aplica cuando los datos se refieren a personas jurídicas (por ejemplo, información puramente corporativa de una sociedad mercantil), cuando los datos pertenecen a personas ya fallecidas (aunque pueda haber reglas especiales en el derecho nacional) o cuando el tratamiento lo realiza una persona física en el marco estrictamente personal o doméstico, ajeno a actividades empresariales o profesionales.

Dentro de una organización, la norma distingue dos figuras principales: el responsable del tratamiento, que decide los fines y medios del tratamiento de datos personales (qué se trata, para qué y cómo), y el encargado del tratamiento, que trata los datos por cuenta del responsable, siguiendo sus instrucciones, como puede ser un proveedor de alojamiento, un servicio de nóminas o una plataforma de gestión de clientes.

En determinados supuestos, las entidades deben designar un delegado de protección de datos (DPD o DPO). Este perfil tiene la función de supervisar el cumplimiento interno, asesorar al responsable y al encargado, formar y orientar al personal que maneja datos, cooperar con la autoridad de control y actuar como punto de contacto para la ciudadanía.

Están obligadas a nombrar DPD, entre otros casos, las organizaciones cuya actividad principal implique una observación habitual y sistemática de personas a gran escala, aquellas que traten categorías especiales de datos o datos de condenas e infracciones penales a gran escala, así como buena parte de las administraciones públicas. El DPD puede ser personal interno o una persona u organización externa contratada mediante un servicio especializado.

Principios y bases jurídicas del tratamiento de datos

El núcleo del cumplimiento del RGPD son los principios básicos del tratamiento. Toda organización debe asegurarse de que sus tratamientos respetan, como mínimo, la licitud, lealtad y transparencia; la limitación de la finalidad; la minimización de datos; la exactitud; la limitación del plazo de conservación; y la integridad y confidencialidad de la información.

Esto implica que los datos se recojan para fines concretos, explícitos y legítimos, que no se usen para objetivos incompatibles; que solo se soliciten los datos estrictamente necesarios; que se mantengan actualizados; que no se conserven más tiempo del imprescindible, y que estén protegidos frente a accesos no autorizados, pérdida, destrucción o alteración accidental o ilícita mediante medidas técnicas y organizativas adecuadas al riesgo.

Para que un tratamiento de datos personales sea lícito, debe apoyarse en alguna de las bases jurídicas previstas por el RGPD. Las más habituales son: el consentimiento previo, libre, específico, informado e inequívoco del interesado; la necesidad del tratamiento para la ejecución de un contrato; el cumplimiento de una obligación legal; la protección de intereses vitales; el desempeño de una misión realizada en interés público o en el ejercicio de poderes públicos; o el interés legítimo del responsable o de un tercero, siempre que no prevalezcan los derechos y libertades del interesado.

En el ámbito público, muchos tratamientos se amparan en normas con rango de ley que atribuyen competencias y funciones concretas a un ministerio u organismo. En estos casos, no suele ser necesario pedir consentimiento, al bastar la base de misión en interés público o ejercicio de poderes públicos, siempre documentando la legitimación conforme al artículo 6.1.e del RGPD.

Cuando el tratamiento se basa en el consentimiento, este debe solicitarse con lenguaje claro y sencillo, evitando tecnicismos innecesarios, y expresarse mediante una acción afirmativa (marcar voluntariamente una casilla en un formulario, firmar un documento, pulsar un botón de aceptación…). Además, debe ofrecerse de forma fácilmente accesible la posibilidad de retirarlo en cualquier momento, sin consecuencias negativas indebidas para la persona.

Transparencia, información y normas específicas para menores

La obligación de informar de forma transparente es una pieza central del RGPD. En cada punto de recogida de datos, ya sea online, en papel, por teléfono o presencialmente, debe facilitarse información clara sobre quién es el responsable, cuáles son las finalidades, cuál es la base jurídica, quiénes serán los destinatarios o categorías de destinatarios, si hay transferencias internacionales y durante cuánto tiempo se conservarán los datos.

En determinados casos, también se deben incluir datos de contacto del DPD, una explicación de los intereses legítimos si esa es la base jurídica, las garantías aplicadas en caso de transferir datos fuera de la UE, una descripción de los derechos de las personas en materia de protección de datos (acceso, rectificación, supresión, limitación, oposición, portabilidad, etc.), la posibilidad de retirar el consentimiento, si la comunicación de datos es un requisito legal o contractual, y, cuando existan decisiones automatizadas, información sobre la lógica aplicada y las posibles consecuencias.

Cuando el tratamiento afecta a menores de edad y se basa en el consentimiento (por ejemplo, en redes sociales, servicios online o apps de contenido), se exige la obtención de autorización parental hasta una determinada edad que suele oscilar entre los 13 y los 16 años según la legislación nacional. Esto puede implicar el envío de una notificación al padre, madre o tutor, o el uso de mecanismos de verificación de la patria potestad.

Esta transparencia debe trasladarse también a la política de cookies y a los servicios de analítica web, informando de forma comprensible sobre las cookies usadas, sus finalidades, su duración y la forma de configurarlas o rechazarlas, recordando que muchas cookies no son estrictamente necesarias para la navegación básica y que su uso requiere consentimiento informado.

Transferencias internacionales y decisiones automatizadas

Cuando una organización necesita transferir datos personales fuera de la UE, la protección que ofrece el RGPD debe acompañar a esos datos. Para que una transferencia sea legítima, debe existir una decisión de adecuación de la Comisión Europea respecto al país de destino, o bien aplicarse garantías adecuadas como las cláusulas contractuales tipo, normas corporativas vinculantes u otros mecanismos equivalentes.

En ausencia de esas garantías, solo en casos excepcionales se puede recurrir a excepciones específicas, como el consentimiento explícito de la persona informada de los riesgos, la necesidad de la transferencia para la ejecución de un contrato o por importantes razones de interés público. En todo caso, el responsable debe analizar y documentar los riesgos y las medidas para mitigarlos.

Por otra parte, el RGPD reconoce el derecho de las personas a no ser objeto de decisiones basadas únicamente en tratamientos automatizados, incluida la elaboración de perfiles, que produzcan efectos jurídicos sobre ellas o les afecten significativamente de forma similar. Existen excepciones (por ejemplo, cuando lo permite una ley o hay consentimiento explícito), pero incluso en esos supuestos la organización debe informar a la persona, permitir que pueda solicitar la intervención humana y ofrecerle la posibilidad de impugnar la decisión automatizada.

Ejemplos típicos de decisiones automatizadas son algunos sistemas de concesión de créditos en entidades financieras, procesos de scoring automático, o ciertos filtros y evaluaciones masivas. En estos casos, la transparencia sobre la lógica utilizada, dentro de lo razonable y sin revelar secretos comerciales críticos, es esencial.

Derechos de las personas: acceso, rectificación, supresión y otros

La ciudadanía conserva en todo momento el control sobre sus datos mediante una serie de derechos reconocidos por el RGPD. Entre los más importantes se encuentran el derecho de acceso, rectificación, supresión, limitación del tratamiento, oposición, portabilidad y el derecho a no ser objeto de decisiones únicamente automatizadas.

El derecho de acceso permite a cualquier persona solicitar confirmación de si una organización trata datos que le conciernen, conocer qué datos concretos maneja, con qué fines, cuáles son las categorías de datos, los destinatarios, el plazo de conservación y, en su caso, el origen de la información. Además, el responsable debe facilitar una copia de los datos personales en un formato accesible y, cuando proceda, de lectura mecánica.

El derecho de rectificación faculta a la persona a corregir datos inexactos o incompletos sin demora indebida. Cuando se rectifican datos que ya se han comunicado a terceros, el responsable debe informar, en la medida de lo posible, a todos los destinatarios para que actualicen o corrijan también la información que obre en su poder.

El derecho de supresión (o derecho al olvido) permite solicitar la eliminación de datos personales cuando ya no sean necesarios para la finalidad que motivó su recogida, cuando se retire el consentimiento y no exista otra base jurídica, cuando los datos se hayan tratado ilícitamente, o cuando se deban suprimir para cumplir una obligación legal. Sin embargo, este derecho no es absoluto: el responsable puede conservar los datos, por ejemplo, para cumplir una obligación legal, para el ejercicio o defensa de reclamaciones, por motivos de salud pública, investigación científica o histórica o para proteger la libertad de expresión e información.

El derecho a la limitación del tratamiento permite que, en determinadas circunstancias (por ejemplo, cuando se impugna la exactitud de los datos o se ha presentado una oposición), el responsable solo pueda conservar los datos y no utilizarlos para otras finalidades hasta que se resuelva la controversia. Durante la limitación, únicamente se pueden tratar los datos con el consentimiento de la persona o para reclamaciones legales, protección de terceros o por razones de interés público importante.

El derecho de oposición posibilita que una persona se oponga al tratamiento cuando este se base en el interés legítimo del responsable o en una misión de interés público, siempre que concurran los requisitos del artículo 21 del RGPD. En el campo de la mercadotecnia directa, la oposición implica que la entidad debe cesar en el envío de comunicaciones comerciales sin más demora.

También existe el derecho de portabilidad, que permite a la persona recibir sus datos en un formato estructurado, de uso común y lectura mecánica, o que se transmitan directamente a otro responsable cuando el tratamiento se base en el consentimiento o en un contrato y se realice por medios automatizados. En el ámbito de ciertos servicios públicos, este derecho puede no proceder según el artículo 20.3 del RGPD.

Además, se reconoce el derecho a revocar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo a la retirada. Cuando la persona considere que sus derechos no han sido debidamente atendidos, puede presentar reclamaciones ante la autoridad de protección de datos competente, como la Agencia Española de Protección de Datos (AEPD).

Documentos y políticas clave para una buena gestión de datos

Una gestión sólida exige acompañar la práctica diaria con una documentación bien estructurada que refleje cómo se cumplen las obligaciones del RGPD. No hay un listado único válido para todas las organizaciones, pero sí un conjunto de documentos habituales que sirven como columna vertebral del sistema de protección de datos.

Entre ellos destaca la política interna de protección de datos personales, donde se describen los principios que rigen el tratamiento, los roles y responsabilidades dentro de la entidad, los procedimientos para la atención de derechos, las medidas de seguridad aplicadas y la forma de realizar auditorías y revisiones periódicas. Es un documento vivo, que debe actualizarse cuando cambian procesos, tecnologías o marcos normativos.

Igualmente relevantes son los avisos o políticas de privacidad dirigidos a las personas usuarias, clientes, empleados o cualquier interesado. En estos textos se explica de forma clara cómo se recogen, usan, almacenan y comparten sus datos, quién es el responsable del tratamiento, cómo contactar con él y cómo ejercer los derechos. Suele ser necesario contar con versiones diferenciadas para la plantilla y para otros colectivos.

Los formularios de consentimiento constituyen otro elemento fundamental cuando la base jurídica es el consentimiento. Deben detallar la finalidad concreta del tratamiento, indicar de forma expresa que el consentimiento es libre, específico, informado e inequívoco, y explicar cómo se puede retirar sin dificultad. Para menores de edad es necesario disponer de modelos específicos de consentimiento paterno o del tutor, y para ciertas categorías especiales de datos pueden requerirse formularios reforzados.

La política de retención de datos define los plazos máximos de conservación y los criterios de eliminación o anonimización. Normalmente se apoya en una herramienta o matriz en la que se listan las categorías de datos, sus finalidades, el período exacto o criterio de conservación y los métodos de destrucción segura (borrado seguro, trituración de documentos, seudonimización, etc.). Esta política debe encajar con las normas de archivo y documentación aplicables.

Otros documentos esenciales son el registro de actividades de tratamiento (RAT), obligatorio para responsables y encargados salvo excepciones muy limitadas; el registro de evaluaciones de impacto en protección de datos (EIPD) cuando procedan; los procedimientos documentados de gestión de brechas de seguridad y notificación a la autoridad y a los afectados; y, en el sector público, formularios y canales específicos de quejas y sugerencias relacionados con el tratamiento de datos.

Herramientas y guías para gestionar el riesgo: ejemplo de GESTIONA_RGPD

Para apoyar a responsables, encargados del tratamiento y delegados de protección de datos, algunas autoridades han desarrollado herramientas gratuitas de apoyo orientadas a facilitar el análisis de riesgos y la elaboración de la documentación mínima necesaria. Un ejemplo es GESTIONA_RGPD, diseñada para ayudar a gestionar el Registro de Actividades de Tratamiento y la evaluación de riesgo asociada.

Esta clase de herramientas permite gestionar de forma integrada hasta numerosos tratamientos distintos, incorporar funcionalidad de análisis de riesgo y, en su caso, valorar la obligación o conveniencia de realizar una EIPD. Además, suelen sugerir medidas de privacidad y seguridad en función de los factores de riesgo identificados, así como medidas organizativas y políticas para reforzar el cumplimiento.

Una característica importante es que la gestión se realiza en el propio navegador del usuario, sin transmitir datos personales a la autoridad, y permitiendo guardar la información en ficheros locales para su posterior recuperación, versiones y actualizaciones. Estas herramientas acostumbran a generar informes en varios formatos (doc, html, csv) que sirven como punto de partida documental para la organización.

Es clave entender, no obstante, que el uso de GESTIONA_RGPD u otras soluciones similares no supone, por sí solo, que la entidad haya cumplido todas sus obligaciones. La documentación producida es de carácter inicial y orientativo, pensada para facilitar la comprensión del RGPD y ayudar a arrancar el proceso de cumplimiento, pero siempre requiere una adaptación específica a la realidad de cada tratamiento y a los riesgos concretos para los derechos y libertades de las personas.

Asimismo, estas herramientas no pueden sustituir la implantación de medidas de seguridad adecuadas bajo el artículo 32 del RGPD, para lo que suele ser recomendable apoyarse en estándares técnicos reconocidos en el mercado y en asesoramiento especializado cuando el entorno tecnológico o los tratamientos son complejos.

Evaluación de impacto, análisis de riesgos y mantenimiento de registros

El RGPD impone un enfoque basado en el análisis y gestión del riesgo. Antes de iniciar tratamientos especialmente sensibles o que puedan suponer un alto riesgo para las personas, el responsable debe valorar no solo las ventajas del tratamiento, sino también su necesidad y proporcionalidad, y las posibles consecuencias negativas para la privacidad.

Siempre que un tratamiento pueda generar un alto riesgo para los derechos y libertades, resulta obligatorio realizar una Evaluación de Impacto en la Protección de Datos (EIPD). Esto se da, por ejemplo, cuando se emplea elaboración de perfiles y decisiones automatizadas para evaluar aspectos personales, cuando se monitorizan zonas de acceso público a gran escala (como sistemas de videovigilancia extensiva) o cuando se tratan categorías especiales de datos o datos de condenas penales también a gran escala.

Las autoridades de protección de datos suelen publicar listas orientativas de tratamientos que requieren EIPD, de acuerdo con el artículo 35.4 del RGPD. Aunque el tratamiento no figure en esas listas, el responsable puede decidir realizar una EIPD si, a la vista de la naturaleza, el alcance, el contexto o las finalidades del tratamiento, considera que los riesgos pueden ser significativos.

Si tras la EIPD persisten altos riesgos que no pueden mitigarse con las medidas previstas, el responsable deberá consultar a la autoridad de control antes de poner en marcha el tratamiento. De este modo, se garantiza un examen previo y una posible recomendación de medidas adicionales o, en casos extremos, la recomendación de no llevar a cabo el tratamiento.

Paralelamente, las organizaciones deben demostrar que cumplen el principio de responsabilidad proactiva, manteniendo registros detallados de sus actividades de tratamiento. Estos registros incluyen la identificación de la entidad, los fines del tratamiento, las categorías de interesados y de datos, los destinatarios, las transferencias internacionales, los plazos de conservación y una descripción de las medidas de seguridad técnicas y organizativas aplicadas.

Junto a los registros, conviene conservar y revisar de forma periódica directrices internas, instrucciones y procedimientos, y asegurarse de que el personal los conoce y aplica. Esa documentación sirve también durante inspecciones o requerimientos de la autoridad para acreditar el cumplimiento del RGPD y de la normativa complementaria, como la LOPDGDD en España.

Protección de datos desde el diseño, gestión de brechas y errores frecuentes

La protección de datos desde el diseño y por defecto obliga a que, al plantear cualquier nuevo proyecto, servicio o tratamiento, la organización tenga en cuenta desde el principio los principios del RGPD. Esto supone seleccionar solo los datos estrictamente necesarios, limitar los accesos, aplicar técnicas como la seudonimización y configurar las opciones más respetuosas con la privacidad como valores predeterminados.

Por ejemplo, si una plataforma ofrece distintas configuraciones de privacidad, se considera buena práctica que la opción por defecto sea aquella que minimiza la exposición de datos a terceros, obligando a una acción consciente y voluntaria de la persona usuaria para ampliar la visibilidad de su información.

En cuanto a las violaciones de seguridad de datos, el RGPD las define de forma amplia, incluyendo no solo filtraciones y accesos no autorizados, sino también la pérdida temporal de disponibilidad o la alteración no autorizada de los datos. Si una brecha entraña un riesgo para los derechos y libertades de las personas, el responsable debe notificarla a la autoridad de control competente en un plazo máximo de 72 horas desde que tenga constancia de ella, salvo que sea improbable que represente tal riesgo.

Cuando el riesgo sea alto para las personas afectadas, puede ser necesario además informar individualmente a los interesados, explicando de forma clara qué ha ocurrido, qué datos se han visto comprometidos, qué consecuencias puede tener y qué medidas se han adoptado para corregir la situación y reducir los daños.

En la práctica, muchos incumplimientos se deben a errores cotidianos más que a grandes catástrofes tecnológicas. Entre los fallos más repetidos se encuentran no mantener actualizado el registro de actividades de tratamiento cuando cambian procesos o proveedores, utilizar cláusulas obsoletas heredadas de normativa anterior, informar de manera incompleta en los formularios de recogida de datos o asumir que el consentimiento es válido cuando no se han cumplido todos los requisitos formales.

También son habituales la falta de contratos de encargo de tratamiento con proveedores que acceden a datos en nombre del responsable, la ausencia de evaluaciones de impacto cuando serían necesarias, políticas de seguridad que existen solo en papel pero no en la práctica (claves compartidas, ausencia de control de accesos, copias de seguridad inadecuadas) y la escasa formación del personal, que deja la puerta abierta a ataques de ingeniería social o a respuestas inadecuadas a solicitudes de ejercicio de derechos.

Otro error crítico es no notificar brechas de seguridad por miedo a las consecuencias, cuando precisamente el silencio y la ocultación pueden agravar mucho más la sanción y el daño reputacional. A ello se suma la tendencia a considerar la privacidad como un trámite que se resuelve una vez y ya no se revisa, lo cual conduce a que las medidas se queden obsoletas y dejen de reflejar la realidad operativa de la organización.

Gestión de datos en el sector público, quejas y papel del DPD

En el ámbito de la administración, la gestión de datos personales está estrechamente vinculada a la prestación de servicios y a la tramitación de procedimientos administrativos. Ministerios y otros organismos recaban datos de la ciudadanía para gestionar solicitudes, programas y prestaciones, responder a consultas y desarrollar las competencias que les atribuye el ordenamiento jurídico.

En este contexto, las notas informativas suelen detallar la finalidad del tratamiento, la base jurídica (normalmente la misión en interés público y las leyes sectoriales aplicables), los plazos de conservación ajustados a la normativa de archivos, así como los cauces para ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y, cuando proceda, portabilidad.

Las personas interesadas pueden dirigirse a la sede electrónica de los ministerios para presentar solicitudes de ejercicio de derechos y obtener información más detallada. Si no quedan satisfechas con la respuesta recibida o consideran que el tratamiento vulnera la normativa, pueden presentar reclamaciones tanto ante el propio organismo como ante la AEPD.

El delegado de protección de datos de los ministerios y grandes organismos actúa como figura clave de supervisión, contacto y asesoría. A través de sus datos de contacto, normalmente un correo electrónico institucional y una dirección postal, la ciudadanía puede trasladar consultas, dudas o preocupaciones sobre el uso de sus datos personales, mientras que internamente el DPD promueve buenas prácticas y vela por la correcta integración del RGPD en los procedimientos administrativos.

Dimensión empresarial: cumplimiento, reputación y servicios profesionales

En el entorno empresarial, especialmente entre pymes, la gestión de datos personales se ha consolidado como un factor determinante de la continuidad del negocio. El RGPD prevé sanciones que pueden alcanzar los 20 millones de euros o el 4 % de la facturación global anual, pero más allá de la multa económica, una brecha grave o un incumplimiento reiterado puede erosionar la confianza de clientes, proveedores y colaboradores.

Cumplir la normativa no debería verse solo como un lastre burocrático, sino como una oportunidad para diferenciarse. Una política de privacidad clara, procesos de atención a derechos ágiles y un enfoque honesto y transparente respecto al uso de la información pueden convertirse en un auténtico valor añadido frente a la competencia.

Muchas empresas optan por apoyarse en servicios profesionales de gestión documental y de protección de datos, que les ayudan a diseñar e implantar políticas internas, clasificar y retener correctamente la documentación, automatizar parte de los flujos de trabajo y validar de forma humana los procesos críticos, reduciendo errores y reforzando el cumplimiento normativo.

Este tipo de servicios no solo simplifican tareas y liberan recursos internos, sino que, cuando se integran en proyectos de responsabilidad social corporativa, pueden tener además un impacto social positivo, por ejemplo mediante la creación de empleo inclusivo para personas en situación de vulnerabilidad, lo que refuerza el compromiso de la empresa con la sociedad y con los derechos de la ciudadanía.

En un escenario en el que los datos son uno de los activos más valiosos, tratar la privacidad con seriedad, dotarse de buena documentación, invertir en formación y revisar periódicamente procesos y riesgos se convierte en una condición imprescindible para proteger el negocio, cumplir con la ley y mantener la confianza de las personas usuarias, clientes y trabajadores.