En primer lugar, estas obligaciones no serán de aplicación a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. 

En segundo lugar, mencionar que el régimen sancionador previsto en la normativa por el incumplimiento de las obligaciones en materia de protección de datos es uno de los más duros de la UE, pudiendo llegar a alcanzar multas por un importe de hasta 600.000 euros por las infracciones más graves. Así, las principales obligaciones del empresario como responsable de los datos son las siguientes:

1. Inscripción de los ficheros

Se deben notificar los ficheros que se tengan sobre los datos personales ante el Registro General de Protección de Datos de la Agencia Española de Protección de Datos (AGPD), para que ésta proceda a su registro.

Esta inscripción podrá realizarse por escrito o en el soporte informático indicado por la Agencia, donde debe indicarse: 

- Nombre, denominación o razón social, DNI o CIF, dirección y actividad u objeto social del responsable del fichero.

- Ubicación del fichero.

- Identificación de los datos que se pretendan tratar.

- Dirección de la oficina o dependencia en la cual puedan ejercerse los derechos de acceso, rectificación y cancelación.

- Origen de los datos.

- Finalidad del fichero.

- Cesiones de datos previstas.

- Transferencias temporales o definitivas que se prevean realizar a otros países, con expresión de los mismos.  

- Sistemas de tratamiento automatizado que se vayan a utilizar.

- Medidas de seguridad.

Cualquier modificación posterior relativa a los aspectos anteriores, así como la supresión del mismo, deberá ser comunicada para su inscripción, a la AGPD, en el plazo de un (1) mes desde que se produjo.

El responsable de los datos debe velar porque los datos obtenidos sean adecuados y veraces y usados para la finalidad por la que fueron recabados. No podrán recabarse datos por medios fraudulentos, desleales o ilícitos. Si los datos personales fueran incompletos o inexactos, en todo o en parte, deberán ser rectificados o completados.

2. Deber de guardar secreto

El responsable del fichero y quienes intervengan en cualquier fase de su tratamiento están obligados al secreto profesional respecto de los mismos y al deber de guardarlos. Esta obligación subsiste incluso una vez finalizada la relación del interesado con el responsable del fichero.

3. Deber de información

Cuando se soliciten los datos personales a los interesados, se les deberá informar de modo expreso, preciso e inequívoco de los siguientes aspectos:

- De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

- Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.  

- De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

- De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

- De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

4. Obtener el consentimiento para el tratamiento de los datos personales.

Salvo las excepciones previstas en la normativa, se debe obtener consentimiento inequívoco del afectado para el tratamiento de los datos personales, incluida su cesión a terceros. Generalmente, se obtiene mediante la firma de una cláusula específica al efecto bien en el contrato o documento aparte.

5. Cumplir con los derechos de los ciudadanos

El responsable de los datos debe facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación (conocidos como derechos ARCO). El ejercicio de estos derechos se ejercitará de forma gratuita por el interesado mediante solicitud escrita dirigida al responsable del fichero adjuntando copia de la documentación que acredite su identidad.

6. Observar las medidas de seguridad que correspondan.

Otras de las obligaciones del responsable del fichero es la adopción de las medidas internas de seguridad para evitar la alteración, pérdida, tratamiento o acceso no autorizado a los datos personales obtenidos. Así, se establecen tres niveles de protección (básico, medio y alto) en función del tipo de datos personales tratados.

Entre todas las medidas de seguridad destaca, la elaboración de un documento de seguridad de obligado cumplimiento para todo el personal con acceso a datos automatizados de carácter personal y a los sistemas de información, que debe contener las medidas implementadas en la empresa a tal efecto, por ejemplo, sistema de almacenamiento, acceso a los sistemas, passwords, registro de incidencias, etc.

7. Otras obligaciones

Por último mencionar que, junto a las obligaciones anteriores, existen otras obligaciones que dependerán de la utilización de los datos, tales como la utilización por parte de un tercero para prestar un servicio al responsable, donde se debe regular en un contrato dicho acceso y tratamiento de los datos.

Así como que cuando se realicen transferencias internacionales de datos, salvo determinadas excepciones, será necesaria la autorización previa del Director de la Agencia Española de Protección de Datos y, que el país de destino ofrezca un nivel de protección equivalente a la legislación española.