Cualquier responsable de ficheros, tratamiento o encargados de tratamiento debe cumplir con algunas obligaciones importantes.
Esntre éstas, la seguridad de los datos y el deber de secreto.

En cuanto a la seguridad, los responsables y los encargados de tratamiento deben implementar todas las medidas de seguridad que sean precisas para evitar la fuga de éstos y la desprotección de las personas afectadas. Como responsables de los ficheros, debemos tener un sistema de seguridad claro y eficaz con el fin de evitar las pérdidas, modificaciones, accesos no deseados, etc, a los datos de carácter personal de los que somos depositarios. Estos sistemas de seguridad denen desarrollarse tanto para los datos que se encuentren en soporte informático como en soporte papel. Lo mismo para los encargados de tratamiento. Éstos pueden ser la primera brecha en la seguridad, puesto que ponemos a disposición de terceros los datos recogidos. Los encargados deben pues, tratar los datos de carácter personal con total seguridad, con tal de evitar los mismos incidentes.
Los riesgos han de mimizarse, mientras maximizamos la seguridad, prevención y vigilancia.
Evidentemente, las medidas de seguridad se gradúan en función del tipo de datos personales. Por lo tanto, estas medidas no son las mismas para datos identificativos que para datos especialmente protegidos ( salud, por ejemplo )
La legislación de protección de datos de carácter personal considera que el no adoptar las medidas de seguridad oportunas es una infracción grave.

Respecto de el deber de secreto, todos los que intervienen en el proceso de tratamiento datos tienen la obligación de mantener el secreto profesional en relación a ello. Y esta obligación pervive incluso una vez finalizada la relación con el titular de los datos o con el responsable de los mismos ( para los encargados de tratamiento )
Todo el personal que haya tenido acceso a los datos debe mantener este secreto profesional. La vulneración del deber de secreto es una infracción leve.
Recomiendo que se plasme en un contrato escrito el deber de secreto de todos los que tengan acceso a los datos o hacer mención de ello en otro punto de los contratos que se perfeccionen entre las partes que intervienen.

No lo olvidemos, nuestro trabajo no termina una vez recogidos los datos y legalizados los ficheros!