Derecho de las Nuevas Tecnologías - Protección de datos. [5/6]

5).- Obligaciones del responsable de un fichero privado.

Las personas, empresas o entidades privadas de cualquier tipo que pretendan crear legítimamente ficheros que contengan datos de carácter personal, deben cumplir una serie de formalidades que son las siguientes:

a).- Notificación e inscripción del fichero. Con carácter previo a la creación de un fichero de datos de carácter personal, la persona que pretenda crearlo debe comunicarlo a la Agencia de Protección de Datos. Por otra parte, una vez creado también debe notificarse a la Agencia cualquier cambio que afecte a la finalidad del fichero, al responsable del mismo o a su ubicación física. Una vez notificado y si cumple lo establecido en la Ley, el fichero quedará inscrito en la Agencia de Protección de Datos.(Ver procedimiento de notificación)

b).- Medidas de Seguridad y redacción del Documento de Seguridad. El Responsable del Fichero y, en su caso, el Encargado del Tratamiento de los datos, deberán adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos, de forma que se evite su alteración, pérdida, tratamiento o acceso no autorizado. Las medidas que se adopten deben ser acordes con el estado de la técnica en cada momento, con la naturaleza de los datos de carácter personal almacenados en los ficheros y con los riegos a que estén expuestos tales datos, ya sean riesgos procedentes de la acción humana o del medio natural.

Las medidas de seguridad que se adopten deben constar en el llamado Documento de Seguridad que debe redactar el Responsable del Fichero.
(Ver guía sobre Documento de Seguridad)

c).- Contrato de autorización de tratamiento de datos por terceros. En aquellos casos en que sea necesario el acceso a los datos de carácter personal por parte de terceras personas distintas del Responsable del Fichero o del Encargado del Tratamiento, como consecuencia de la prestación de un servicio profesional o empresarial que realice dicho tercero a favor del Responsable del Fichero, es necesario que ambas partes (Responsable del Fichero y Tercero) celebren un contrato autorizando dicho acceso así como las condiciones del mismo.(Ver modelo de contrato)

El contrato deberá constar por escrito o por cualquier medio que permita acreditar su celebración y contenido.

El contrato deberá contener al menos las siguientes disposiciones:

• Que el tratamiento de los datos por parte del tercero autorizado se hará siempre conforme a las instrucciones que indique el Responsable del  Tratamiento.

• Que no se utilizarán los datos por el tercero para fines distintos de los que figuren en el propio contrato.

• Que los datos no se comunicarán por el tercero autorizado a ninguna otra persona, ni siquiera para su conservación.

• Que el tercero autorizado debe establecer las medidas de seguridad de los datos que establece la Ley de Protección de Datos de Carácter Personal.

d).- Auditoría bianual. Si se trata de ficheros que exijan medidas de seguridad de nivel medio o alto atendida la naturaleza de los datos almacenados en los mismos, ha de hacerse al menos cada dos años una auditoría interna o externa de los sistemas de información que contienen los datos de carácter personal, así como del grado de cumplimiento de lo dispuesto en el Reglamento de Medidas de Seguridad de los Ficheros. Para los ficheros que requieran medidas de seguridad de nivel bajo la Ley no exije auditoría.