La responsabilidad del responsable de seguridad en LOPD

3229

No se trata de hacer un trabalenguas, sino de aclarar una duda que surge con cierta frecuencia cuando una empresa, o cualquier otro tipo de entidad obligada, comienza el proceso de adaptación al cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) y nombra a uno de sus empleados “Responsable de Seguridad” (generando en ocasiones un cierto “susto” en el agraciado).

La cuestión es: ¿cuál es el grado de responsabilidad legal de tal figura?

La definición del término corresponde al artículo 5.2.l del Reglamento de desarrollo de la LOPD:

Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.

La descripción se extiende y aclara sus límites en el Artículo 95. Responsable de seguridad:

En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad.

En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento.

Entre sus funciones destacan analizar los informes de auditoría y elevar al responsable del fichero las recomendaciones y medidas correctoras oportunas, mantener el control de los registros de acceso, revisión de los registros de incidencias, y actualización del documento de seguridad

En resumen: el responsable del seguridad no es responsable a efectos de la imposición del régimen sancionador previsto en la LOPD, recayendo tal responsabilidad sobre el responsable del fichero y el encargado del tratamiento.

La responsabilidad del responsable de seguridad en LOPD
Vota este artículo

6 Comentarios

  1. Jesús,
    Podrías publicar un “post” a modo de relación las obligaciones del responsable del fichero y las del responsable de seguridad?
    Gracias,
    Clara

  2. Clara, en realidad las obligaciones del responsable del fichero son todas las que se marquen en la ley, siempre en función del nivel de protección exigido al tipo de datos que mantenga. Y además de forma acumulativa.

  3. Estimado Jesús, mil gracias por el aporte pero creo que existe una confusión solo de señalamiento. En realidad, el Reglamento de desarrollo de la LOPD, en su articulo 95 indica que “En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo….”. Por lo que ya no está vigente el articulo 16 del anterior Reglamento de Medidas de Seguridad (Real Decreto 994/1999), ¿o estoy equivocado?. Corrígeme si es así. Saludos

  4. Buenos días Jesús.

    Somos una empresa que tiene un fichero declarado de nivel alto. Se trata del seguimiento de accidentes laborales, que se tramitan después a la mutua y a las autoridades laborales. En él se describen las circunstancias de un accidente laboral (caída, golpe, inhalación de gases…) y las consecuencias en la persona (herida, torcedura, irritación, desvanecimiento…). Nuestros asesores en LOPD nos insisten en que el fichero debe tratarse como de nivel alto, si bien nosotros no estamos de acuerdo. Entendemos que los datos de salud a los que se refiere la ley son otros y no estos, y las consecuencias prácticas de esta calificación en nuestros procedimientos son muy engorrosas, además de la obligatoriedad de la auditoría de LOPD asociada a la existencia del fichero de nivel alto. Por otra parte, si así fuera, muchísimas empresas tendrían ficheros declarados como de nivel alto, y no creo que sea el caso.

    ¿Cuál es tu opinión al respecto?

    Gracias y saludos.

    • Buenos días Gonzalo,
      Considero que ese fichero sí debe considerarse de nivel alto ya que, en el momento en que se habla de las consecuencias de un accidente para el afectado, ya se tratan datos de salud. Y es mejor cumplir la normativa por exceso que por defecto. Gracias a ti por leer el blog y por tu consulta

Dejar respuesta