Una de las figuras de mayor importancia en la Ley de Protección de Datos (LOPD) es la del responsable de seguridad. Esta persona es una pieza clave en la preservación de los datos y en la correcta ejecución de la comunicación a los propietarios de los mismos en caso de filtración o vulneración.
No obstante, esta figura sigue siendo muy desconocida para el grueso de la población, por lo que en este artículo vamos a explicarte algo mejor en qué consiste y cuáles son sus funciones.
¿Qué es el responsable de seguridad?
La definición oficial del responsable de la protección de los datos se recoge en el artículo 95 del RDLOPD. (Reglamento de Desarrollo de la antigua LOPD). Así pues, podríamos decir que:
El responsable de seguridad es aquella persona o grupo de personas que son designados para establecer y controlar las medidas de seguridad que se van a aplicar a los diferentes ficheros de datos.
Algo destacable es que puede ser un único responsable o puede asociarse un responsable para cada uno de los ficheros o sistemas de tratamiento que se utilicen. Todo ello deberá recogerse en el documento de seguridad de la empresa en cuestión.
Dentro de cada empresa, este responsable de la preservación de los datos debe ser informado de cualquier incidencia que se refiera a la seguridad de aquellos.
Algunas de estas incidencias son el acceso a ficheros que contengan datos personales por parte de personas que no tengan la autorización necesaria, o también los accesos o intentos de acceso a los servidores donde se encuentren estos datos.
Por último, debes saber y tener muy claro que aunque se designe a esta persona, el responsable del fichero será aquella sobre la que recaiga toda la responsabilidad. Es decir, que no por designar un encargado de la seguridad van a poder eludirse las responsabilidades legales en caso de que ocurra cualquier incidente.
Realización del informe de seguridad
Una de las partes más importantes para preservar la seguridad de los datos es la realización del documento de seguridad.
Siempre que tu empresa recoja y trate datos personales de personas físicas tendrá que atenerse a la LOPD. Por tanto, será obligatorio que realices un documento de seguridad en el que se recojan diferentes aspectos de la forma y método de protección de datos.
¿Qué debe incluir este documento?
El contenido de este documento se regula en el artículo 88.3 de la LOPD. No obstante, vamos a explicártelo paso a paso para que lo puedas entender mucho mejor:
1. Identificación de la empresa: es decir, los servicios que ofrece, los datos de la misma y el ámbito de aplicación que tendrá el documento en cuestión.
2. Los ficheros que la empresa reúne: habrá que incluir los de los clientes, pacientes, trabajadores, cámaras de seguridad… También habrá que hacer referencia a su estructura y especificar cuál es su nombre, el origen de los datos y la forma de tratamiento.
Por otro lado, habrá que especificar qué tipo de información se recoge, el nivel de seguridad que necesita cada fichero y la empresa que se encarga de su gestión (solo en caso de que la hubiese).
3. Especificación de las medidas de seguridad que tomará la empresa para preservar los ficheros. Así pues, en este apartado tendrás que incluir:
– Armarios o despachos que se cierren con llave.
– Destructoras de papel en los despachos que contienen documentación impresa.
– Contraseñas personales de los ordenadores con acceso a los datos protegidos y su caducidad.
– Procedimiento por el cual se llevan a cabo las copias de seguridad.
– Dónde se guardan estas copias y su periodicidad.
– Procedimiento que se llevará a cabo si ocurriese cualquier incidencia en cuanto a la protección de datos.
4. Información de los encargados del tratamiento. En este caso, tendrás que especificar qué empresas tienen acceso a estos datos personales.
5. Inventario de todos los soportes que tienen acceso a los datos y dónde se realizan copias de seguridad.
6. Información identificativa de todo el personal que tiene acceso a los datos.
7. Información identificativa del responsable de la protección de los datos y designación de sus funciones.
Funciones del responsable de la salvaguarda de los datos
La persona que asuma esta responsabilidad tendrá una serie de funciones muy específicas. Como hemos mencionado ya, estas funciones estarán recogidas en el documento de seguridad y dependerán de las necesidades de la empresa.
No obstante, para que tengas una idea general de las acciones que pueden llevar a cabo estos encargados, vamos a poner algunos ejemplos.
Actualización del documento de seguridad
Es decir, cada vez que se tenga que actualizar este fichero, será esta figura la encargada de ello. Así pues, deberá actualizar, por ejemplo, la lista de usuarios que tienen acceso a los datos personales, además de los nuevos ficheros que se creen.
Análisis de los informes de auditorías de protección de datos
La principal finalidad de una auditoría es la consecución de una visión general y resumida que permita detectar los fallos y los aspectos que deben mejorar.
Pues bien, el encargado de la seguridad también tendrá que analizar estos datos para idear e implantar las medidas necesarias de cara a mejorar la salvaguarda de la información personal.
Revisión de la información de registro
Como sabrás, para aquellos datos que necesiten de una seguridad de alto nivel será necesario implantar sistemas de acceso que registren los usuarios que entran y las actividades que lleven a cabo.
La revisión de estos registros será tarea del encargado de seguridad, ya que solo así se podrá garantizar la buena praxis y el acceso justificado a los datos.
Comunicación de posibles mejoras
A pesar de ser una figura importante, este responsable no puede aplicar por su propia cuenta las medidas que crea oportunas para mejorar la seguridad. Por el contrario, tendrá que realizar un informe y hacérselo llevar al responsable o responsables de los ficheros. Cuando estos autoricen los cambios, se podrán aplicar.
Consultoría de protección de datos: la mejor forma de orientarse
No es ningún secreto que la aplicación de todas estas medidas es sumamente complicada. Por ello, para designar al responsable de seguridad puedes acudir a una consultoría de protección de datos que analice los perfiles de tus trabajadores y te oriente en el camino correcto en tu elección.