RESPONSABLE DEL FICHERO

La persona física o jurídica de naturaleza pública o privada y órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento vendría definido como “Responsable del Fichero”.

En la persona del responsable del fichero van a recaer todas las obligaciones y por tanto también, todas las sanciones por las infracciones que se cometan.

Cuestiones que tiene que conocer el responsable del fichero

a).- Informar al interesado de quién es el responsable del fichero en el que se van a incorporar los datos que se le recaban a tal fin de poder ejercer sus derechos de cancelación, acceso, rectificación y oposición. El interesado debe conocer en todo momento quien es el responsable del fichero.

b).- Realizar un registro de actividades, para que cualquier persona, recabando la información oportuna de dicho registro, pueda conocer la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del fichero.

c).- Al mismo tiempo, ese registro tendrá expuesta la titularidad del responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, etc…

d).- Deberá comunicar también a la Agencia Protección de Datos, cualquier brecha de seguridad según el art. 33 del RGPD y que describimos en nuestro Manual de Seguridad.

Deberes del responsable del fichero

a).- Deberá adoptar las medidas de índole técnica y organizativa necesarias, que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

b).- No registrará datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a la de los centros de tratamiento, locales equipos, sistemas y programas.

c).-Establecer los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos.

Obligaciones para el responsable del fichero

a).- Autorizar la ejecución del tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero.

b).- Elaborar e implantar la normativa de seguridad mediante el manual de seguridad.

c).- Adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

d).- Se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso.

e).- Establecer mecanismos para que un usuario pueda acceder a los datos o recursos con derechos distintos a los autorizados.

f).- Fijar los criterios para conceder, alterar o anular el acceso autorizado sobre los datos y recursos.

g).- Autorizar la salida de soportes informáticos que contengan datos de carácter personal fuera de los locales en los que esté ubicado el fichero.

h).- Verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

i). Establecer un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

j).- Autorizar por escrito la ejecución de los procedimientos de recuperación de los datos.

k).- Adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal.

Al mismo tiempo el responsable del fichero tendrá una serie de responsabilidades de obligado cumplimiento que serán las siguientes:

Deber de secreto

El responsable del fichero está obligado al secreto profesional de cualquier fase en el tratamiento de los datos de carácter personal y al deber de guardarlos, obligaciones que subsistirán, aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

En cuanto a esta última cuestión tendríamos que hacer referencia al articulado del Código Penal y en concreto a los artículos del 198 al 201 en el que vienen a decir lo siguiente:

“El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier otro medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

Se impondrá asimismo, la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que nos hemos referido anteriormente. Será también castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita antes.

Si lo que hemos descrito en el párrafo anterior se realiza por las personas responsables de los ficheros, se impondrá la pena de prisión de tres a cinco años, y si se difunden, ceden o revelan los datos reservados, se impondrá la misma pena.

De la misma manera, cuando se afecte a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o un incapaz, se impondrán las penas descritas anteriormente.

Si los hechos se realizan con fines lucrativos, se impondrán las penas descritas antes. Pero si además, afectan a los datos descritos en el párrafo anteriormente, la pena a imponer será la de prisión de cuatro a siete años.

El Código Penal también hace hincapié que cuando se revelen secretos ajenos, de los que tenga conocimiento por razón de su oficio o de sus relaciones laborales, será castigado con la pena de prisión de uno a tres años y multa de seis a doce meses. Al mismo tiempo se resalta que el incumplimiento de un profesional con su obligación de sigilo o reserva, divulgue los secretos de otra persona, será castigado con la pena de prisión de uno a cuatro años, multa de doce a veinticuatro meses e inhabilitación especial para dicha profesión por tiempo de dos a seis años.

Deber de rectificación y cancelación de datos personales

El responsable del fichero tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación en el plazo de diez días.

Deber de información al cesionario

En el Código Penal también se da una gran importancia a que si los datos rectificados o cancelados han sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien haya recibido la comunicación, quien deberá proceder a la cancelación.

Deber de comunicación

La cancelación de los datos dará lugar a su bloqueo y deberán ser conservados durante los plazos previstos.

Derecho de indemnización

Los interesados que, como incumplimiento de lo dispuesto en la ley sobre las obligaciones del responsable del fichero, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados. Dichas acciones se ejercitarán ante los órganos de la jurisdicción ordinaria.

Derecho de información al afectado

El responsable del fichero deberá informar de forma expresa, precisa e inequívoca cuando los datos de carácter personal no hayan sido recabados del interesado, dentro de los tres meses siguientes al registro de los datos, salvo que se hubiera informado con anterioridad del contenido del tratamiento, de la procedencia de los datos, etc…

Comunicación de la cesión de los datos

El mismo responsable del fichero, cuando se efectúe la primera cesión de los datos deberá informar de ello a los afectados, indicando la finalidad del fichero, la naturaleza de los datos que han sido cedidos, y el nombre y dirección del cesionario.

Deber de cooperación con la Agencia Española de Protección de Datos

La cooperación con la Agencia Española Protección de Datos se puede obtener de las diferentes infracciones que se puedan cometer como no proporcionar la información que solicite la Agencia Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.

Otra infracción, de tipo grave, sería no remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.

Una infracción, no menos, grave sería la obstrucción de la función inspectora.

El responsable del fichero estará obligado a permitir el acceso a los locales en los que se hallen los ficheros y los equipos informáticos previa exhibición del funcionario actuante de la autorización expedida por el Director de la Agencia. Cuando dichos locales tengan la consideración legal de domicilio, la labor inspectora deberá ajustarse además a las reglas que garantizan su inviolabilidad.

En resumen y para finalizar con la exposición de las infracciones podemos indicar que éstas pueden ser de tres tipos: civil, penal y administrativa.

Muchas veces oímos decir que las sanciones no son tan excesivas porque no se va a la cárcel por ello, aunque esto es una verdad a medias, ya que efectivamente, si se comete un delito contra el derecho a la intimidad según el RGPD, la Agencia Española Protección de Datos, en su defecto su Directora/or sólo puede proponer sanción de tipo administrativo. Pero si con independencia de lo anterior la infracción conlleva la comisión de un delito tipificado en el Código Penal (como lo expuesto anteriormente), la sanción fuera del ámbito del RGPD, será la que corresponde según este.