Las entidades de todo tipo: empresas, fundaciones, asociaciones, comunidades de propietarios y una larga tipología de entes que por su actividad precisan tratar datos personales para desarrollar sus finalidades legítimas.
El nuevo Reglamento Europeo de Protección de Datos establece dos necesidades distintas relativas a los tratamientos de estos datos:
- Gestionar la privacidad de los interesados
- Gestionar la confidencialidad de los datos de estos.
Además de ajustarse a los criterios legales la norma exige además estar en condiciones de demostrar su cumplimiento.
Particularidades del Responsable de Seguridad y Privacidad
Para ello nuestra experiencia nos ha llevado a promover dentro de la mayoría de estas Entidades la implementación del cargo de "encargado de los datos" o más técnicamente RESPONSABLE DE SEGURIDAD Y PRIVACIDAD (RSP) y que es una evolución del cargo de RESPONSABLE DE SEGURIDAD.
Se trata, claro está, de un nombramiento voluntario ya que si algo caracteriza la nueva normativa es dar la más absoluta libertad a las empresas de organizar sus sistemas de cumplimiento como entiendan más adecuado, pero como por otra parte se exige prácticamente una obligación de resultado, de la que derivaría en la mayoría de los casos una responsabilidad empresarial si este resultado no se alcanza, aparece la necesidad de nombrar una persona responsable de esta tarea.
Esta será frecuente en empresas o microempresas que no estén obligadas a disponer de un Delegado de Protección de Datos pero que sin embargo realicen actividades que generen un numero relevante de tratamiento de datos personales, aunque sean de los calificados de "bajo riesgo", lo que incluye a numerosísimas Entidades de todo tipo.
El Responsable de Seguridad y Privacidad, que habitualmente en estas empresas compartirá dicha posición con otros cometidos dentro de la Entidad, se diferencia claramente de otras figuras que define la normativa: nos referimos al Delegado de Protección de datos y al Responsable del Tratamiento.
El Responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
El Delegado de Protección de Datos es un cargo designado por este responsable del tratamiento a fin de que participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales, facilitándole los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos.
Sin embargo una vez nombrado tiene independencia en el desempeño de dichas funciones sin que pueda ser destituido ni sancionado por el responsable o el encargado por dicho desempeño.
El RESPONSABLE DE PRIVACIDAD Y SEGURIDAD no es un Delegado de Protección de Datos porque su figura depende directamente de la Dirección de la Entidad y además se rige por principios de conveniencia empresarial, pudiendo ser un miembro de la plantilla o un profesional contratado, mientras que el nombramiento del Delegado de Protección de Datos puede ser obligatorio y tampoco es el responsable del tratamiento ya que el RSP nunca responderá de los incumplimientos de la Entidad a la que pertenezca en esta materia, si bien podrá ser cesado, sancionado o incluso despedido en el caso de que no realice sus funciones a plena satisfacción del responsable de la Entidad.
Documentar su nombramiento proporciona a la Entidad la indudable ventaja de acreditar ante la Agencia Española de Protección de Datos que ha adoptado una medida indudablemente efectiva para cumplir la normativa de protección de datos.
Funciones del Responsable de Privacidad y Seguridad
Las funciones que debe desempeñar el Responsable de Privacidad y Seguridad (RSP) son al menos las siguientes:
1.- Promover que el tratamiento de los datos personales efectuados por la Entidad se efectúe de forma respetuosa con la normativa
2.- Desde el punto de vista de la seguridad y teniendo en cuenta el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables deberá velar por que se garantice una seguridad adecuada de los datos personales y determinar las medidas de seguridad concretas que tendrá que proponer al responsable del tratamiento.
3.- Documentar debidamente las actuaciones descritas en los puntos anteriores a fin de que la Entidad se encuentre siempre en condiciones de demostrar el cumplimiento de la normativa de protección de datos.
De esta última función va a depender minimizar o incluso excluir de responsabilidad a la Entidad de un eventual incumplimiento de la normativa de protección de datos.
Para ello, al igual que el Delegado de Protección de Datos, el RSP deberá participar de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales y el acceso a los datos personales y a las operaciones de tratamiento. Sin embargo a diferencia del Delegado de Protección de Datos carece de independencia y deberá atender las instrucciones de la Entidad, que será siempre la responsable del tratamiento y quien en definitiva asume todas las responsabilidades que pudiera exigirle una Autoridad de Control, en nuestro país la Agencia Española de Protección de Datos.