Como responsable de un fichero que contiene datos personales se está obligado a cumplir con todos los supuestos incluidos en el Título II de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD). Os los explicamos a continuación:
Calidad de los datos personales
El responsable del fichero solo podrá recabar aquellos datos personales que sean necesarios para la realización de su actividad y realizará un tratamiento de los mismos en función de las necesidades de su actividad. Por tanto, no podrán recabarse datos de manera excesiva y para un finalidad distinta a la que requiere su actividad. En caso de que los datos ya no sean necesarios deberán ser cancelados. Los datos deben ser exactos y estar constantemente actualizados.
Deber de información
Las personas a las que aluden los datos recogidos deben estar informadas con anterioridad de la naturaleza de los datos recogidos, de su finalidad y de su cesión a terceros en caso de que se contemple esta posibilidad. Además debe ponerse en su conocimiento la posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición (ARCO) al tratamientos de dichos datos. En todo momento, el responsable debe acreditar ante los aludidos su identidad y sus datos de contacto.
Consentimiento expreso
Además de informar, el responsable debe asegurarse antes de realizar cualquier tratamiento de los datos que cuenta con el consentimiento del aludido. Este consentimiento debe ser explícito e inequívoco, salvo excepciones marcadas en la LOPD. Estas son: los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7.6 de la LOPD, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
Cesión de datos
En caso de que el responsable del fichero decida ceder los datos de éste a un tercero para su tratamiento, siempre deberá informar de esta cesión y del uso de los datos y debe contar, la cesión, con el consentimiento de la persona. La LOPD establece que no es necesario el consentimiento para la cesión en los siguientes supuestos: “la cesión esté autorizada por una ley; se trate de datos recogidos de fuentes accesibles al público; el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros; la comunicación tenga por destinatario al Defensor del Pueblo, Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas, así como a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas; la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos; la cesión de datos relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica”.
Deber de secreto
El responsable del fichero y el encargado de su tratamiento, incluidos las empresas a las que les han sido cedidos deben cumplir con el secreto profesional, incluso una vez que la relación contractual haya finalizado.
Seguridad de los datos personales
Responsables y personas encargadas de su tratamiento deben tomar las medidas de seguridad necesarias en todos los ámbitos para que los datos no sufran alteración, robo o filtración. Deben permanecer bajo su custodia y en caso de que exista cualquier fuga de datos o fallo de seguridad deben de comunicarlo ante las autoridades de protección datos y fuerzas de seguridad del Estado.
Derechos ARCO
Además de informar de la posibilidad de ejercer sus derechos ARCO deben tomar las medidas necesarias para que puedan ejercerse y ejercerlos cuando sean solicitados.
Inscripción de ficheros
Los responsables están obligados a comunicar a la Agencia Española de Protección de Datos la existencia de estos ficheros, para que sean añadidos al Registro General de Protección de Datos. En el caso de los ficheros de titularidad pública, es preceptiva con carácter previo a la notificación la publicación de la disposición general o acuerdo de creación, modificación o supresión del fichero en el Boletín Oficial del Estado o diario oficial correspondiente.
Deber de colaboración
Además, los responsables de ficheros están obligados a colaborar con la Agencia en todo lo que ella considere necesario para hacer un buen uso y tratamiento del fichero.
Para facilitar la labor de los responsables de ficheros, la Agencia Española de Protección de Datos pone a disposición de los usuarios una guía específica para esta figura. La podéis consultar en este enlace.