Definición

En esta Unidad vamos a estudiar los distintos aspectos de la LOPD con respecto al tratamiento de datos que, recordemos, se definía como: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Funciones

Nivel básico

• Decidir sobre la finalidad, contenido y uso del tratamiento (art. 3.d Ley).
• Autorizar la ejecución del tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero (art. 6 Reg. Seguridad).
• Elaborar el Documento de Seguridad (art. 8.1 Reg. Seguridad).
• Adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así coma las con secuencias a que daría lugar su incumplimiento (art. 9.2 Reg. Seguridad).
• Se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al Sistema de Información (art. 11.1 Reg. Seguridad).
• Establecer los procedimientos de identificación y autentificación para dicho acceso (art. 11.1 Reg. Seguridad).
• Establecer mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados (art. 12.2 Reg. Seguridad).
• Establecer los criterios con que el personal autorizado para ello concede, altere o suprima el acceso a los ficheros que contengan datos de carácter personal y recursos (art. 12.4 Reg. Seguridad).
• Será quien, únicamente, pueda autorizar la salida, fuera de los locales en que esté ubicado el fichero, de soportes informáticos que contengan datos de carácter personal (art. 13.2 Reg. Seguridad).
• Verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y recuperación de datos (art. 14.1 Reg. Seguridad).
• Resolver sobre la petición de acceso en el plazo de un mes a contar desde la recepción de la solicitud (art. 12.3 Reg. Desarrollo).
• Resolver sobre la petición de rectificación o cancelación en el plaza de diez días a partir de la recepción de la solicitud (art. 15.2 Reg. Desarrollo modificado por el artículo 16.1 de la Ley).
• Proceder al bloqueo de los datos en los casos en que, siendo procedente su cancelación, no sea posible su extinción física, tanto por razones técnicas como por causa del procedimiento o soporte utilizado (art. 16 Reg. Desarrollo).
• Formular las alegaciones que considere pertinentes cuando la Agencia Española de Protección de Datos le de traslado de la reclamación de un afectado (art. 17.3 Reg. Desarrollo).

Nivel medio

• Designar uno o varios responsables de seguridad (art. 16 Reg. Seguridad).

Obligaciones

Nivel básico

• Excluirá del tratamiento los datos relativos al afectado que ejercite su derecho de oposición (art. 6.4 Ley).
• Adoptará las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural (art. 9 Ley).
• Estará obligado al secreto profesional y al deber de custodia, respecto de los datos de carácter personal de la instalación (art. 10 Ley).
• Hará efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días (art. 16.1 Ley).
• Si los datos rectificados o cancelados hubieran sido comunicados previamente, deberá notificar la rectificación o cancelación efectuada a quien se haya comunicado, en el caso de que se mantenga el tratamiento para este último, que deberá proceder a la rectificación o cancelación, en su caso (art. 16.4 Ley).
• En el momento en que se efectúe la primera cesión de datos, deberá informarse a los afectados (art. 27.1 Ley).

Nivel medio

• Adoptará las medidas correctoras adecuadas según las deficiencias detectadas en la auditoría (art. 17.3 Reg. Seguridad).
• Establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y Ia verificación de que está autorizado (art. 18.1 Reg. Seguridad).
• Autorizará por escrito la ejecución de los procedimientos de recuperación de datos (art. 21.2 Reg. Seguridad).

En muchos de estos casos podrá existir delegación de la función, pero en ningún supuesto, de Ia responsabilidad que, en cualquier caso, corresponde al responsable del fichero.