No se trata de hacer un trabalenguas, sino de aclarar una duda que surge con cierta frecuencia cuando una empresa, o cualquier otro tipo de entidad obligada, comienza el proceso de adaptación al cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) y nombra a uno de sus empleados “Responsable de Seguridad” (generando en ocasiones un cierto “susto” en el agraciado).
La cuestión es: ¿cuál es el grado de responsabilidad legal de tal figura?
La definición del término corresponde al artículo 5.2.l del Reglamento de desarrollo de la LOPD:
Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.
La descripción se extiende y aclara sus límites en el Artículo 95. Responsable de seguridad:
En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad.
En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento.
Entre sus funciones destacan analizar los informes de auditoría y elevar al responsable del fichero las recomendaciones y medidas correctoras oportunas, mantener el control de los registros de acceso, revisión de los registros de incidencias, y actualización del documento de seguridad
En resumen: el responsable del seguridad no es responsable a efectos de la imposición del régimen sancionador previsto en la LOPD, recayendo tal responsabilidad sobre el responsable del fichero y el encargado del tratamiento.