Responsable del fichero, Encargado del tratamiento y otras personas con responsabilidad en protección de datos

3665

Los datos de carácter personal que maneja cualquier entidad no son exclusivamente responsablidad de una persona, sino que son varios los actores que pueden llegar a intervenir en su tratamiento:

  1. Responsable del fichero
  2. Encargado del tratamiento
  3. Responsable de seguridad
  4. Usuarios
  5. Otros terceros

Responsable del fichero
El responsable del fichero es la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Sus deberes son declarar los ficheros de datos personales ante el RGPD y atender las peticiones de los ciudadanos sobre las consultas relacionadas con el ejercicio de sus derechos, además de las relacionadas con la seguridad de los datos, que vienen especificadas en el artículo 9 de la LOPD:

El responsable de ficheros, y en su caso el encargado del tratamiento, deberá adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a los que estén expuestos ya provengan de la acción humana o del medio físico o natural.

Encargado del tratamiento
La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.
Estos servicios deberán estar regulados por escrito o en alguna forma que permita acreditar su celebración y contenido, especificando las instrucciones del responsable del fichero de acuerdo con lo establecido en el artículo 12 de la LOPD (véase el artículo sobre El contrato de tratamiento de datos).

Responsable de seguridad
Se trata de la persona a la que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Podrán existir varios responsables de seguridad, en cuyo caso se delimitarán los ficheros y tratamientos asignados a cada uno de ellos. El nombramiento de este responsable se establece como obligatorio solamente en el caso de existir ficheros de nivel de seguridad medio o alto.

Usuarios
Los usuarios son las personas que utilizan los ficheros de datos de carácter personal en su trabajo diario para introducir datos, consultarlos o elaborar informes. Son el colectivo más numeroso, y quizás el menos concienciado, por eso es necesario prestarles una mayor atención en su formación en materia de protección de datos, especialmente en los aspectos de seguridad.

Otros terceros
Con “otros terceros” nos estamos refiriendo a aquellas personas que por motivo de su desempeño profesional puedan potencialmente tener acceso a la información de carácter personal, como personal de empresas externas encargadas del mantenimiento de software o hardware, personal de limpieza, vigilancia, consultores, etc. Estas personas podrán ser propias o ajenas a la organización, pero, en cualquier caso, se deberá limitar su acceso a los datos de carácter personal. Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio.

Responsable del fichero, Encargado del tratamiento y otras personas con responsabilidad en protección de datos
4.8 (95%) 4 votos

10 Comentarios

  1. Repecto a esto a ver si me pueden aclarar algo con esta duda que tengo: Una Fundación que tiene una residencia, le cede la gestión de la misma a otra ASociación. En este caso la Asociación es encargado de tratamiento ¿NO?. Pero la Asociación tiene sus propios ficheros por la gestión de esa residencia debidamente inscritos. ¿ es correcto?

    • Hola Carolina: efectivamente la Asociación será encargada del tratamiento, pero no tendrá que inscribir los ficheros de la residencia, sólo el responsable del fichero debe hacerlo. En caso contrario una asesoría, por ejemplo, se vería en la obligación de dar de alta cientos de ficheros puesto que es encargada del tratamiento de todos sus clientes.

  2. Buenos dias,

    El responsable de seguridad puede ser la misma persona que el responsable del fichero ¿cierto?. Si eres autónomo y tratas ficheros de nivel alto, ambas figuras recaeran en la misma persona ¿correcto?.

    Otra cuestión, ¿qué opinas sobre el contenido del siguiente enlace?:

    http://www.icjusticia.blogspot.com.es/2013/07/prohibido-grabar-y-fotografiar.html

    Creo que las imágenes que capten las cámaras de vigilancia deberían servir como prueba si existen irregularidades. Pienso que se llega al absurdo al no permitir tal circunstancia ¿no crees?

    Muchas gracias y un cordial saludo

    • Natalia: efectivamente responsable del fichero y de seguridad pueden ser una sola persona.

      Sobre el enlace me parece muy razonable el informe de la Agencia. No se habla de cámaras de videovigilancia, sino de que cualquiera pueda filmar en cualquier momento a cualquier funcionario del INEM con cualquier dispositivo incluyendo su móvil personal. Autorizar eso sería entrar en un Gran Hermano de verdad.

  3. Hola Jesús,

    Estoy ayudando a un amigo abogado a adaptarse a la LOPD y tengo una duda parecida a la de natalia (aunque no la misma exactamente): el encargado del tratamiento (en ese caso un compañero de despacho) podría ser también encargado de seguridad? Entiendo que al trabajar en el despacho (no es externo), podría ser ambas cosas.

    El tema es: El responsable del fichero es la propia empresa, por lo que es una persona jurídica. Sin embargo, habrá una persona encargada del tratamiento en general, y también se encargaría de la seguridad. Eso sería correcto, no? O estoy interpretando algo mal?

    Muchas gracias por la respuesta y por tu página, que es muy ilustrativa y fácil de entender.

    Un saludo.

  4. Hola,

    le doy las gracias de antemano por la ayuda que nos presta. Soy una doctora que colabora en diferentes centros médicos, no tengo personal y no guardo datos de ningún paciente, los guardan en las clínicas. Mi pregunta es tengo que adaptarme a la Ley de Protección de Datos?

    Un saludo.

  5. Loli: si realmente actúa siempre como una profesional externa, en tal caso ocupa la figura que en LOPD se denomina “encargada del tratamiento”. Por ello debería tener suscrito un contrato de tratamiento de datos con cada centro (o haber incorporado las cláusulas correspondientes en el contrato de servicios que haya firmado), en el que se expliciten las condiciones de uso de los datos de los pacientes.
    La responsabilidad es mayor para cada uno de los centros, como responsables del fichero que son, pero en el caso de que usted utilizara los datos al margen de las instrucciones citadas, entonces podría ser declara responsable también y ser sancionada como tal.

  6. En ese caso no necesito adaptarme a la LOPD no? ya que los datos los recaba y almacena el Responsable del Fichero que es el Centro Médico no?
    Simplemente con firmar el contrato correspondiente las dos partes estaríamos cumpliendo con la LOPD.
    Gracias

Dejar respuesta