Cuando a una entidad le indicas que debe nombrar a un responsable de seguridad, le surgen muchas dudas al respecto, pues la palabra responsable tiene mucho peso.
Atendiendo a lo anterior, vamos a intentar aclarar, qué es realmente ser responsable de seguridad:
EL RD 1720/2007 en su art. 5L) define al responsable de seguridad como las persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.
Las empresas o cualquier otra entidad tendrá la obligación de nombrar a un responsable de seguridad cuando realice tratamientos de datos de carácter personal a partir del nivel medio, aunque es recomendable que se nombre en todo caso.
El propio RD 1720/2007 establece cómo se ha de llevar a cabo el nombramiento, qué funciones deberá asumir y cuál es la responsabilidad del responsable de seguridad:
1. Nombramiento:
a. La designación de uno o varios responsables deberá constar en el documento de seguridad.
b. La designación podrá ser única para todos los ficheros o diferenciada según los sistemas de tratamientos utilizados, esta casuística deberá constar igualmente en el documento de seguridad.
A modo de ejemplo, algunas entidades nombran un responsable de seguridad para ficheros automatizados y otro para ficheros no automatizados.
2. Funciones:
La función principal es la de coordinar y controlar las medidas de seguridad definidas en el documento de seguridad, de esta función se derivan muchas otras, en su mayoría funciones que pueden ser delegadas por el propio responsable del fichero, a destacar:
a. Actualizar y adecuar el documento de seguridad a la normativa vigente.
b. Adoptar las medidas necesarias para que el personal conozca las normas en materia de seguridad que afectan al desarrollo de sus funciones.
c. Mantener una relación actualizada de los usuarios del sistema, indicando sus derechos de acceso.
d. Analizar los informes como resultado de las auditorías bienales obligatorias, y elevar las conclusiones al responsable del fichero. De esta función se desprende que el responsable de seguridad deberá tener comunicación directa con la dirección de la entidad.
e. Controlar y revisar al menos una vez al mes la información contenida en los registros de acceso y elaborar un informe de las revisiones realizadas y problemas detectados.
f. Verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y recuperación de los datos.
3. Responsabilidades:
Un aspecto importante a aclarar es que el nombramiento del responsable de seguridad, en ningún caso, supone una exoneración de la responsabilidad que corresponde al responsable del fichero, es decir, no es responsable a efectos sancionadores por parte de la Agencia Española de Protección de Datos.