En la presente entrada a nuestro blog, queremos hoy profundizar en algunos conceptos básicos, que en el desarrollo de nuestros servicios de consultoría en materia LOPD, hemos notado que en ocasiones suelen confundirse. Es por ello que vamos a ver algunas de las figuras o cargos relacionados con la protección de datos, definiendo y detallando las obligaciones, responsabilidades y características de cada uno de ellos.
Responsable del fichero o tratamiento:
En primer lugar nos encontramos con el Responsable del fichero o tratamiento, que se puede definir de la siguiente manera técnica:
Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.
En realidad, este responsable no es otro que el propietario de la entidad, puede ser el gerente, dueño, socio, administrador, comunero, pueden ser varios a la vez, pero en definitiva, lo que nos tiene que quedar claro es que esta figura es la propietaria de los datos personales, el que ordena y decide sobre dicha información.
Responsable de seguridad:
Técnicamente se puede definir como persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.
Suele ser un trabajador de la entidad, normalmente coincide con el responsable informática, o responsable de Administración, o responsable RRHH, incluso algunas empresas están contratando figuras específicas con perfiles formativos destinados a cubrir este puesto, se llaman DPO, «data protection officer», y están especializados en el cumplimiento normativo en materia LOPD dentro de la empresa.
En relación a esta figura, queremos indicar que dicho responsable de seguridad vela por el cumplimiento de la LOPD en la empresa, participando en las implantación de las medidas de seguridad, y revisando periódicamente que se están haciendo correctamente. También es el encargado de recibir y gestionar cualquier problema o incidencia en materia LOPD, así como atender el ejercicio de derechos de los interesados.
Queremos dejar claro que esta figura del responsable de Seguridad, no es responsable de los posibles incumplimientos o sanciones que la entidad para la que trabaja reciba o sufra, ya que el responsable último siempre será la entidad, nunca el trabajador que ostenta el cargo de responsable de seguridad.
Encargado del tratamiento:
Tenemos que definirla como la persona física o jurídica, pública o privada, u organismo administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.
Dicho llanamente, es aquella empresa o profesional externa/o que maneja datos personales propiedad de la empresa que lo contrata, para prestarle un servicio continuado en el tiempo, y que supone que periódicamente va a manejar esa información.
Esta figura jurídica es muy común en nuestra labor, y para poder comprenderla mejor, pondremos algunos ejemplos de encargado del tratamiento:
Asesoría Laboral
Asesoría Fiscal
Empresa de Mantenimiento Hardware Informático
Empresa de Informática del Programa de Gestión, Facturación, ERP,
Auditores
Laboratorios protésicos, análisis, etc…
Empresas que gestionan las cámaras de seguridad
Profesionales Autónomos Independientes
Abogados
Recordamos que en relación a esta figura siempre se deberá firmarse con ellos un contrato de acceso a datos por cuenta de terceros, en virtud de lo establecido por el art. 12 de la LOPD, que regulará las condiciones, finalidades y medidas de seguridad para dichos accesos y tratamientos de datos personales.
Afectado o interesado:
Es la persona física titular de los datos que sean objeto de tratamiento. Hemos dicho, que la propiedad de los ficheros de la entidad es del Responsable del Fichero o Tratamiento, pero es que originalmente, nos encontramos que existe el principal titular de dicha información, que no es otro que el propio interesado.
Puede ser un cliente, un contacto, un trabajador, un proveedor, todas estas personal tienen derecho absoluto para decidir sobre sus datos personales y por lo tanto podrán en todo momento ejercitar sus derechos ante la entidad responsable del fichero.
Usuario:
Será todo aquella persona autorizada para acceder a datos o recursos. El ejemplo claro es el de los trabajadores de las empresas, que manejan y acceden a la información de los clientes de las empresas o entidades para las que trabajan.
En materia de LOPD, suelen firmar modelos de información al trabajador y compromisos de confidencialidad que regulan sus responsabilidades, obligaciones y derechos como trabajadores de la entidad.
José Luis Fernández Peña
Auditor / Consultor en GrupoIWI Protección de Datos
