Las nuevas funciones del responsable del fichero de datos

29 enero, 2018 - 9 minutes read

Fichero de datos

Conoce las funciones del responsable del fichero de datos según el nuevo reglamento general de protección de datos

El Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y será aplicable a partir de mayo de 2018. Es una norma directamente aplicable, como en repetidas ocasiones se está insistiendo desde estas líneas, que no requiere normas internas para su transposición como venía sucediendo hasta ahora con la Directiva 95/46, siendo la normativa nacional de aplicación la Ley 15/1999 (LOPD), el Reglamento que la desarrolla y cualesquiera otras disposiciones creadas al efecto y que son de obligado cumplimiento.
El nuevo RGPD establece nuevas obligaciones y realiza algunas modificaciones respecto a la normativa actual que iremos desgranando desde ahora.

Funciones y obligaciones del responsable del fichero

Sobre el responsable del tratamiento recaen las principales obligaciones. El RGPD amplía dichas obligaciones que actualmente son:

  • Establecer las bases de legitimación para el tratamiento de datos. Obtener el consentimiento para el tratamiento de los datos personales.
  • Informar a los interesados, a los titulares de los datos personales en la recogida de éstos.
  • Establecer el procedimiento para el ejercicio de derechos de acceso, olvido, limitación de tratamiento y portabilidad.
  • Regular las relaciones con los encargados del tratamiento.
  • Implantar medidas de responsabilidad activa.
  • Establecer garantías para las transferencias internacionales y tratamientos de datos de menores cuando se realicen y gestionen según la actividad de la empresa.
  • Elaborar e implantar la normativa de seguridad creando el Documento de Seguridad, de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.
  • Adoptar las medidas de índole técnica y organizativas que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a los que estén expuestos, ya provengan de la acción humana o del medio físico o natural.
  • Adecuar y actualizar en todo momento el contenido del presente Documento de Seguridad a las disposiciones vigentes en materia de protección de datos, así como garantizar y promover su difusión.
  • Designar al Responsable de Seguridad encargado de controlar y coordinar las medidas de seguridad definidas en el presente Documento de Seguridad.
  • Establecer las funciones y obligaciones del personal y adoptar las medidas necesarias para que éste conozca las normas de seguridad que afecten al desarrollo de sus funciones y las consecuencias en que pudiera incurrir en caso de incumplimiento.
  • Establecer un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información, así como la verificación de que está autorizado.
  • Cuando el mecanismo de autenticación se base en la existencia de contraseñas deberá controlar periódicamente que todos los usuarios autorizados para acceder a los ficheros tengan un código de usuario único, asociado a la contraseña correspondiente, la cual podrá ser conocida por el propio usuario, siendo cambiada con la periodicidad que determine el Documento de Seguridad.
  • Mantener una relación actualizada de usuarios que tengan acceso autorizado al sistema de información.
  • Establecer mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados.
  • Establecer los criterios para conceder, alterar o anular el acceso autorizado sobre los datos y recursos en los que se traten datos de carácter personal. Asimismo deberá determinarse en el presente Documento de Seguridad las personas autorizadas para conceder, modificar o cancelar accesos a datos de carácter personal.
  • Autorizar expresamente la salida de soportes informáticos que contengan datos de los ficheros de carácter personal fuera de los locales en los que estén ubicados los mismos.
  • Verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de datos, siendo necesaria la autorización por escrito del Responsable del Fichero para la ejecución de los procedimientos de recuperación de los mismos.
  • En el supuesto de que una auditoría de seguridad concluyera que es necesario realizar algún tipo de actuación, deberá adoptar las medidas correctoras necesarias a fin de garantizar la adecuación a la normativa de seguridad vigente.
  • La utilización de los sistemas para cualquier fin ajeno a la actividad habitual, requerirá la autorización previa del Responsable del Fichero.
  • Autorizar la ejecución del tratamiento de los datos de carácter personal fuera de los locales de la ubicación de los ficheros. La autorización deberá ser expresa.
  • Inscribir los ficheros ante el Registro General de Protección de Datos.
  • Asegurarse que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.
  • Garantizar el cumplimiento de los deberes de secreto y seguridad.
  • Cumplir cuando proceda, con lo dispuesto en la legislación sectorial que le sea de aplicación.
  • En su relación con los Encargados del tratamiento, según el RGPD, el responsable deberá adoptar medidas apropiadas, incluida la elección de encargados, de forma que garantice y esté en condiciones de demostrar que el tratamiento se realiza conforme al RGPD (Principio de responsabilidad activa). Los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento. Esta previsión se extiende también a los encargados cuando subcontraten operaciones de tratamiento con otros sub-encargados. La responsabilidad última sobre el tratamiento la sigue teniendo el responsable que es quien determina el tratamiento y su finalidad. La relación entre el responsable y el encargado del tratamiento debe establecerse a través de un contrato escrito que debe incluir las cláusulas establecidas en el Art. 28 del RGPD.
    En particular debe contener:
    – Las instrucciones del responsable del tratamiento respecto del encargo realizado.
    – El deber de confidencialidad.
    – Las medidas de seguridad (art. 32 RGPD).
    – El Régimen de la subcontratación.
    – Los Derechos de los interesados.
    – La colaboración en el cumplimiento de las obligaciones del responsable.
    – El destino de los datos al finalizar la prestación.
    – La colaboración con el responsable para demostrar el cumplimiento.

El RGPD se aplica a cualquier actividad de un establecimiento del encargado en la Unión, independientemente de que el tratamiento sea dentro o fuera de la Unión Europea, y al tratamiento de datos personales de interesados que residan en la Unión realizado por un encargado no establecido en la Unión cuando sean actividades relacionadas con la oferta de bienes o servicios a dichos interesados, o el control de su comportamiento, en la medida en que tenga lugar en la Unión.

[/pivot_section_title][/vc_column][/vc_row]