Definición

Según el artículo 2.2 del Reglamento de medidas de seguridad es: «Sujeto o proceso autorizado pare acceder a datos o recursos».

Este personal en el primer caso, que suele estar unido al responsable del fichero por algún tipo de relación laboral, debe estar debidamente clasificado de tal forma que cada uno solo puede acceder a la información que precise pare el trabajo que está desarrollando y a ninguna más.

Aparte de este tipo de usuario que mantiene una determinada relación laboral, existe otro que cobra especial importancia con la incorporación al ámbito de aplicación de la LOPD de los ficheros de partidos políticos, sindicatos y comunidades religiosas. Se trata de aquellos afiliados o fieles que sin ningún tipo de relación jurídica y de forma gratuita colaboran con dichas instituciones, para lo cual tienen acceso a los ficheros de aquellos, cuyos datos suelen ser de nivel alto.

Entendemos que con dicho tipo de usuario se debe formalizar el correspondiente documento que les asimile a los encargados del tratamiento y que, por tanto, sean responsables de sus actos administrativamente con independencia de la sanción penal que les pudiese corresponder en el caso de incurrir en un delito.

Las funciones y obligaciones que vienen a continuación, afectarán a cada uno en función de su puesto de trabajo.

Funciones

• Accederá a los datos de carácter personal a los que esté autorizado, necesarios para la función que realice.
• Realizará funciones propias del puesto de trabajo.

Obligaciones

• Guardar secreto de la información de carácter personal que conozca en el desempeño de su función aún después de haber abandonado el Ayuntamiento (art. 10 Ley).
• Conocer la normativa interna en materia de seguridad, y especialmente la referente a protección de datos de carácter personal. Dicha normativa puede consistir en: normas, procedimientos, reglas y estándares, así como posibles guías.
• Cumplir lo dispuesto en la normativa interna vigente en cada momento.
• Conocer las consecuencias que se pudieran derivar y las responsabilidades en que pudiera incurrir en caso de incumplimiento de la normativa, que podrían derivar en sanciones.
• No intentar saltar los mecanismos y dispositivos de seguridad, evitar cualquier intento de acceso no autorizado a datos o recursos, informar de posibles debilidades en los controles, y no poner en peligro la disponibilidad de los datos, ni la confidencialidad o integridad de los mismos.
• Usar de forma adecuada, según la normativa, los mecanismos de identificación y autenticación ante los sistemas de información, tanto sean contraseñas como sistemas más avanzados: biométricos u otros, y en ambos casos mediante acceso local o a través de redes de comunicaciones, cuando esté así previsto. En el caso de contraseña: cumplir lo recogido en la normativa, especialmente en cuanto a asignación, sintaxis, distribución, custodia y almacenamiento de las mismas, así como el cambio con la periodicidad que se determine.
• No utilizar el correo electrónico u otros medios de comunicación interna o con el exterior para transmitir mensajes que contengan o Ileven adjuntos datos de carácter personal que por sus características, volumen o destinatarios puedan poner en peligro la confidencialidad o la integridad de los datos.
• No realizar transferencias de ficheros con datos de carácter personal entre sistemas o descargas en equipos salvo en los casos expresamente autorizados, y protegiendo después los contenidos para evitar su difusión o copias no autorizadas.
• Dirigir a impresoras protegidas los listados que contengan datos de carácter personal que requieran protección, y recogerlos con celeridad para evitar su difusión, copia o sustracción.
• No sacar equipos o soportes de las instalaciones sin la autorización necesaria, y en todo caso con los controles que se hayan establecido.
• Proteger los datos personales responsabilidad del tratamiento que excepcionalmente tuvieran que almacenarse o usarse fuera del lugar de trabajo: en el propio domicilio o en otras instalaciones alternativas tanto en sistemas fijos como en portátiles.
• Salir de los ordenadores personales o terminales cuando vaya a estar ausente de su puesto durante un tiempo superior al fijado en los procedimientos para cada caso, de modo que el sistema le pida alguna clave.
• Entregar cuando se le requiera por sus superiores jerárquicos, y especialmente cuando vaya a causar baja en el Ayuntamiento, las llaves, claves, tarjetas de identificación, material, documentación, equipos, contraseñas y cuantos activos sean propiedad de aquél.