Las principales obligaciones que la normativa en protección de datos de carácter personal impone a quien trate datos ,-salvo en caso de uso doméstico-, sea responsable o encargado de los tratamientos de estos datos personales o los archivos en los que se albergan los mismos, las podríamos resumir en los siguientes apartados :

  • Recoger y tratar datos personales exclusivamente para fines legítimos y definidas, y hacerlo cumpliendo determinadas obligaciones formales .
  • Captar los datos mediante un procedimiento que garantice que se ha informado adecuadamente sobre tratamiento y uso de los datos y sobre todo de los derechos de la persona y, cuando proceda, su consentimiento (libre, específico, informado e inequívoco).
  • Mantener los datos debidamente actualizados y cancelarlos cuando ya no sean necesarias.
  • Implantar medidas que garanticen la seguridad y confidencialidad de los datos (que nadie no autorizado pueda acceder), integridad (que no se puedan alterar los datos por personal no autorizado, ni por el propio personal cuando con ello se incumpla la Ley), y disponibilidad (de manera que ante un incidente, como un incendio, podamos recuperar los datos y / o los sistemas que los soportan). La implementación de medidas de seguridad afecta al medio físico, a aspectos organizativos y técnicos, vincula a todo el personal e incluye la elaboración de un documento de seguridad de obligado cumplimiento para el personal que describa las medidas de seguridad exigidas en el RLOPD, como la respuesta ante incidentes de seguridad, los deberes de los empleados o el control de salidas y entradas de datos.
  • Registrar y mantener actualizados (o suprimir cuando proceda) los ficheros de datos en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos o seguir el procedimiento específico para su creación que establece el art. 20 de la LOPD en el caso del sector público.
  • Establecer y documentar procedimientos adecuados para la atención del ejercicio de los derechos de acceso, rectificación, cancelación y oposición de los afectados, incluidos los previstos en la LSSI, cuando proceda.
  • Adoptar una correcta política en relación con las posibles cesiones de datos a terceros.
  • Celebrar contratos que garanticen el respeto de la LOPD a terceros, proveedores de servicios que accedan a datos, los cuales técnicamente se llama encargados del tratamiento.
  • Obtener la autorización de la Agencia Española de Protección de Datos en el caso de transferencias de datos de carácter personal fuera del Espacio Económico Europeo, o de países que no tengan la consideración de «seguros»
  • Realizar auditorías y controles periódicos para garantizar la seguridad de los datos.