|
Responsable, privado o público
Es responsable, según el artículo 3. 1 LOPD, la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que decida sobre la finalidad, contenido y uso del fichero y su tratamiento. Es deudor de las sanciones por las infracciones que realicen sobre los ficheros o tratamientos de los que sea responsable. Dice el artículo 43. 1 LOPD que "los responsables de los ficheros y los encargados de tratamiento están sujetos al régimen sancionador ".
Responsabilidades de la empresa privada
Informar a los titulares previamente a la creación de los ficheros
Notificación a la AEPD previamente de la creación de ficheros
Identificación pública como responsable a través del RGPD
Obligación de adoptar medidas de seguridad
Obligación de evitar la alteración, pérdida, tratamiento, o acceso no autorizado a datos de carácter personal
Obligación de secreto profesional
Deber de rectificación y de cancelación de datos personales
Deber de información al cesionario
Deber de comunicación y conservación
Deber de indemnización
Deber de información al afectado
Deber de cooperación con AEPD
Funciones establecidas en el Reglamento de medidas de seguridad:
a) Asignar al responsable o responsables de seguridad formalmente la función de coordinar y controlar las medidas de seguridad aplicables
b) Autorizar la ejecución del tratamiento de datos de carácter personal fuera de los locales donde se ubiquen los ficheros
c) Elaborar e implantar la normativa de seguridad mediante un documento de obligado cumplimiento para el personal
d) Definir y documentar las funciones y obligaciones de cada una de las personas (por cuenta propia o ajena) con acceso a datos o sistemas de información
e) Adoptar las medidas necesarias para que el personal de la empresa conozca las normas de seguridad que afectan al desarrollo de sus funciones así como las consecuencias en que pudieran incurrir en caso de incumplimiento
f) Se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso
g) Establecer mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados
h) Fijar los criterios para conceder, alterar o anular el acceso autorizado sobre los datos y recursos
i) Autorizar la salida de soportes informáticos que contengan datos de carácter personal fuera de los locales en los que esté ubicado el fichero o los ficheros
j) Verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos de carácter personal
k) En medidas medias y altas, designar al responsable o responsables de seguridad
l) En ficheros con medidas altas y medias, adoptar las medidas correctoras adecuadas en función de las conclusiones que el responsable de seguridad obtenga una vez analizados los informes de auditoría
m) Establecer un mecanismo, en ficheros con medidas altas y medias, que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado
n) Autorizar por escrito, en ficheros con medidas altas y medias, la ejecución de los procedimientos de recuperación de los datos de carácter personal
Responsable de seguridad de la empresa privada
Funciones del responsable de seguridad (uno o varios), según el Reglamento de medidas de seguridad:
a) Coordinar y controlar las medidas definidas en el documento de seguridad
b) Analizar los informes de auditoría y elevar las conclusiones del análisis al responsable del fichero para que adopte las medidas oportunas
c) Controlar directamente los mecanismos que permiten el registro de accesos
d) Revisar periódicamente la información de control de accesos registrada
e) Elaborar un informe mensual de las revisiones realizadas en el registro de accesos y los problemas detectados
|
