La lectura hace pocas semanas en un periódico financiero de la contestación facilitada por un despacho a la presunta pregunta de un lector, nos ha impulsado a escribir las líneas que vienen a continuación.

El desconocimiento en general de la Ley de Protección de Datos de Carácter Personal, es un hecho notorio en nuestro país, a pesar del tiempo transcurrido desde la aparición de la primera Ley: la LORTAD y de los esfuerzos de la Agencia de Protección de Datos por extender su conocimiento a través de todo el territorio nacional.

Pero que ese desconocimiento y confusión alcance a quienes se dedican a asesorar sobre la materia a sus clientes es algo peor.

Vamos a tratar de analizar en este breve artículo el papel que representan los diferentes personajes que aparecen en el Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal (a partir de ahora LOPD) que ha venido a derogar a la LORTAD.

Dichos personajes son los siguientes: responsable del fichero o tratamiento, afectado o interesado, encargado del tratamiento y titular del fichero.

El Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (Real Decreto 994/1999, de 11 de junio) añade otros dos personajes: usuario y responsable de seguridad.

Veamos como definen a cada uno de ellos la LOPD y el Reglamento.

Responsable del fichero o tratamiento:

Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

En un principio hubo cierta confusión en alguno que consideraban que al emplear el legislador en unos casos responsable del fichero y en otros del responsable del tratamiento, se trataba de dos personajes distintos con funciones igualmente distintas.

En algunos casos nos costó mucho trabajo convencer a quien pensaba de esta manera que esto no era así, sino que se trataba del mismo personaje al que el legislador se le había ocurrido nombrar de dos formas diferentes.

En este caso como en otros de la LOPD, como es en cesión o comunicación, parece como si el legislador en lugar de facilitar la posterior aplicación de la Ley, lo que trata es de originar más confusión y en el caso al que nos referimos de una manera burda, como se demuestra en el artículo 27 al tener que volver a emplear la palabra cesión que había tratado de evitar.

Afectado o interesado:

Persona física, titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) de este artículo.

El apartado c) del artículo 3 define el tratamiento de datos como operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Encargado del tratamiento:

La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

Esta es una de las figuras que suele prestar a mayor confusión y a la que dedicaremos más adelante la mayor parte de nuestra exposición.

Titular del fichero:

Este personaje aparece claramente en el artículo 10 de la LOPD cuando se dice: "El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo"

Vemos que según el artículo se refiere a dos posibles personajes: el titular del fichero y el responsable del fichero.

Pues bien, el titular del fichero no aparece entre las definiciones del artículo 3 ni en ningún otro artículo de la LOPD.

Esto ya sucedía en la antigua LORTAD y a este tema nos referimos en varios artículos en la prensa especializada.

Tan sólo se hizo eco del tema la Agencia de Protección de Datos cuando en su Resolución de 22 de junio de 1994 por la que se aprueban los modelos normalizados en soporte papel y magnético a través de los que deben efectuarse las correspondientes inscripciones en el Registro General de Protección de Datos, decía que a efectos de la declaración de los ficheros a la Agencia, titular y responsable del fichero eran lo mismo.

Pensamos que en la nueva redacción de la Ley se podía haber subsanado esta, por lo menos, incoherencia.

Usuario:

Sujeto o proceso autorizado para acceder a datos o recursos.

Responsable de seguridad:

Persona o personas de la organización a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.

Como podemos ver sólo la Ley obliga al responsable de seguridad a ser una o varias personas de la organización y no permite como en el caso del responsable del fichero o del encargado del tratamiento que sea una persona jurídica.

Después de tener una visión panorámica de las funciones de cada uno de los personajes que intervienen en la LOPD, vamos a centrarnos en el encargado del tratamiento que es el que suele producir más confusión al tratar de situarle en el lugar que le corresponde.

A primera vista puede parecer que el encargado del tratamiento es quien realice éste, tanto dentro como fuera de la propia empresa.

Sería en definitiva dentro de la organización la figura que conocemos como Director de Informática o Director de Sistemas de Información.

Según la definición que la Ley da del encargado del tratamiento esto sería factible.

Sin embargo si analizamos el artículo 12 dedicado al acceso a los datos por cuenta de terceros, que es el único que contiene las funciones del encargado del tratamiento vemos que el legislador ha entendido que se trata siempre de una figura externa a la organización con la que habrá que mediar el correspondiente contrato en el que necesariamente ha de constar que:

• El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento.
• No los aplicará o utilizará con fin distinto al que figure en dicho contrato.
• No los comunicará, ni siquiera para su conservación a otras personas.
• Está obligado a implementar las medidas de seguridad a que se refiere el artículo 9 de la LOPD.

Teniendo en cuenta el empleo, cada día mayor, por las organizaciones de la externalización de los trabajos esta figura alcanza cada vez mayor relieve.

Es tal la importancia que le da el legislador a la figura del encargado del tratamiento, que es el único caso en la Ley en que alguien asume la responsabilidad que le corresponda, en lugar del responsable del fichero, por las infracciones que se cometan.

Así cuando el encargado del tratamiento destine los datos a otra finalidad distinta de la encomendada, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

Consideramos pues que el encargado del tratamiento siempre ha de ser una figura externa a la organización ligada a ésta necesariamente por el correspondiente contrato.