Según la ley de protección de datos, el responsable de los ficheros de datos personales es la persona física y jurídica, de naturaleza pública o privada, u órgano administrativo, que puede decidir sobre el contenido, la finalidad y uso de los datos. En los centros docentes, por tanto será la Entidad Titular del Centro.
En los centros públicos de enseñanza la responsabilidad sobre los ficheros corresponderá a los órganos administrativos que tratan la información y tienen competencias en la materia, teniendo capacidad de decidir sobre el contenido, finalidad y uso del tratamiento de datos que se realiza. Así por ejemplo, el fichero de alumnos dependerá de la Dirección del Centro, mientras que los ficheros de profesores y de personal de administración y servicios del centro serían responsabilidad de la Dirección General de Recursos Humanos de la Consejería de Educación. Todo ello sin perjuicio de los ficheros de profesores y personal de administración y servicios que estén adscritos a un determinado centro, cuya finalidad sea la gestión interna, de los cuales sería también responsable la Dirección del centro.
No hay que confundir el responsable del fichero con el encargado del tratamiento que es la persona (personal de secretaría, administración, etc.) que trata datos personales por cuenta del responsable del fichero.
El artículo 9 de la ley señala que el responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
También se indica que no se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad ya las de los centros de tratamiento, locales, equipos, sistemas y programas.
El artículo 10 de la ley señala que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.