|
Ley Orgánica 5/1992, de 29 de octubre, de regulación del
tratamiento automatizado de los datos de carácter personal
(BOE
núm. 262, de 31-10-1992)
[Esta Ley ha quedado derogada por
la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal (BOE núm. 298, de 14-12-1999)].
JUAN CARLOS I
REY DE ESPAÑA
A todos los que la presente vieren y entendieren.
Sabed: que las Cortes Generales han aprobado y Yo vengo en
sancionar la siguiente Ley Orgánica:
I
La Constitución española, en su artículo 18.4, emplaza al
legislador a limitar el uso de la informática para garantizar el honor, la intimidad
personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos. La aún
reciente aprobación de nuestra Constitución y, por tanto su moderno carácter, le
permitió expresamente la articulación de garantías contra la posible utilización
torticera de ese fenómeno de la contemporaneidad que es la informática.
El progresivo desarrollo de las técnicas de recolección y
almacenamiento de datos y de acceso a los mismos ha expuesto a la privacidad, en efecto, a
una amenaza potencial antes desconocida. Nótese que se habla de la privacidad y no de la
intimidad: Aquélla es más amplia que ésta, pues en tanto la intimidad protege la esfera
en que se desarrollan las facetas más singularmente reservadas de la vida de la persona
-el domicilio donde realiza su vida cotidiana, las comunicaciones en las que expresa sus
sentimientos, por ejemplo-, la privacidad constituye un conjunto, más amplio, más
global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer, de
significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como
precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener
reservado. Y si la intimidad, en sentido estricto, está suficientemente protegida por las
previsiones de los tres primeros párrafos del artículo 18 de la Constitución y por las
leyes que los desarrollan, la privacidad puede resultar menoscabada por la utilización de
las tecnologías informáticas de tan reciente desarrollo.
Ello es así porque, hasta el presente, las fronteras de la
privacidad estaban defendidas por el tiempo y el espacio. El primero procuraba, con su
transcurso, que se evanescieran los recuerdos de las actividades ajenas, impidiendo, así,
la configuración de una historia lineal e ininterrumpida de la persona, el segundo, con
la distancia que imponía, hasta hace poco difícilmente superable, impedía que
tuviésemos conocimiento de los hechos que, protagonizados por los demás, hubieran tenido
lugar lejos de donde nos hallábamos. El tiempo y el espacio operaban, así, como
salvaguarda de la privacidad de la persona.
Uno y otro límite han desaparecido hoy: Las modernas técnicas
de comunicación permiten salvar sin dificultades el espacio, y la informática posibilita
almacenar todos los datos que se obtienen a través de las comunicaciones y acceder a
ellos en apenas segundos, por distante que fuera el lugar donde transcurrieron los hechos,
o remotos que fueran éstos. Los más diversos datos -sobre la infancia, sobre la vida
académica, profesional o laboral, sobre los hábitos de vida y consumo, sobre el uso del
denominado "dinero plástico", sobre las relaciones personales o, incluso sobre
las creencias religiosas e ideologías, por poner solo algunos ejemplos- relativos a las
personas podrían ser, así, compilados y obtenidos sin dificultad. Ello permitiría a
quien dispusiese de ellos acceder a un conocimiento cabal de actitudes, hechos o pautas de
comportamiento que, sin duda, pertenecen a la esfera privada de las personas; a aquélla a
la que sólo deben tener acceso el individuo y, quizás, quienes le son más próximos, o
aquellos a los que él autorice. Aún más: El conocimiento ordenado de esos datos puede
dibujar un determinado perfil de la persona, o configurar una determinada reputación o
fama que es, en definitiva, expresión del honor; y este perfil, sin duda, puede resultar
luego valorado, favorable o desfavorablemente, para las más diversas actividades
públicas o privadas, como pueden ser la obtención de un empleo, la concesión de un
préstamo o la admisión en determinados colectivos.
Se hace preciso, pues, delimitar una nueva frontera de la
intimidad y del honor, una frontera que, sustituyendo los límites antes definidos por el
tiempo y el espacio, los proteja frente a la utilización mecanizada, ordenada y
discriminada de los datos a ellos referentes; una frontera, en suma, que garantice que un
elemento objetivamente provechoso para la Humanidad no redunde en perjuicio para las
personas. La fijación de esa nueva frontera es el objetivo de la previsión contenida en
el artículo 18.4 de la Constitución, y al cumplimiento de ese objetivo responde la
presente ley.
II
Partiendo de que su finalidad es hacer frente a los riesgos que
para los derechos de la personalidad puede suponer el acopio y tratamiento de datos por
medios informáticos, la ley se nuclea en torno a los que convencionalmente se denominan
"ficheros de datos": Es la existencia de estos ficheros y la utilización que de
ellos podría hacerse la que justifica la necesidad de la nueva frontera de la intimidad y
del honor.
A tal efecto, la Ley introduce el concepto de tratamiento de
datos, concibiendo los ficheros desde una perspectiva dinámica; dicho en otros términos,
no los entiende sólo como un mero depósito de datos, sino también, y sobre todo, como
una globalidad de procesos o aplicaciones informáticas que se llevan a cabo con los datos
almacenados y que son susceptibles, si llegasen a conectarse entre sí, de configurar el
perfil personal al que antes se hizo referencia.
La Ley está animada por la idea de implantar mecanismos
cautelares que prevengan las violaciones de la privacidad que pudieran resultar del
tratamiento de la información. A tal efecto se estructura en una parte general y otra
especial.
La primera atiende a recoger los principios en los que ha
cristalizado una opinio iuris, generada a lo largo de dos décadas, y define
derechos y garantías encaminados a asegurar la observancia de tales principios generales.
Alimentan esta parte general, pues, preceptos delimitadores del ámbito de aplicación de
la ley, principios reguladores de la recogida, registro y uso de datos personales , sobre
todo, garantías de la persona.
El ámbito de aplicación se define por exclusión, quedando
fuera de él, por ejemplo, los datos anónimos que constituyen información de dominio
público o recogen información, con la finalidad, precisamente, de darla a conocer al
público en general como pueden ser los registros de la propiedad o mercantiles-, así
como, por último, los de uso estrictamente personal. De otro lado, parece conveniente la
permanencia de las regulaciones especiales que contienen ya suficientes normas de
protección y que se refieren a ámbitos que revisten tal singularidad en cuanto a sus
funciones y sus mecanismos de puesta al día y rectificación que aconsejan el
mantenimiento de su régimen específico. Así ocurre, por ejemplo, con las regulaciones
de los ficheros electorales, del Registro Civil o del Registro Central de Penados y
Rebeldes, así acontece, también, con los ficheros regulados por la Ley 12/1989, de 12 de
mayo, sobre, función estadística pública, si bien que, en este último caso, con
sujeción a la Agencia de Protección de Datos. En fin, quedan también fuera del ámbito
de la norma aquellos datos que, en virtud de intereses públicos prevalentes, no deben
estar sometidos a su régimen cautelar.
Los principios generales, por su parte, definen las pautas a las
que debe atenerse la recogida de datos de carácter personal, pautas encaminadas a
garantizar tanto la veracidad de la información contenida en los datos almacenados cuanto
la congruencia y la racionalidad de la utilización de los datos. Este principio,
verdaderamente cardinal, de la congruencia y la racionalidad, garantiza que los datos no
puedan ser usados sino cuando lo justifique la finalidad para la que han sido recabados:
su observancia es, por ello, capital para evitar la difusión incontrolada de la
información que, siguiendo el mandato constitucional, se pretenda limitar.
Por su parte, el principio de consentimiento, o de
autodeterminación, otorga a la persona la posibilidad de determinar el nivel de
protección de los datos a ella referentes. Su base está constituida por la exigencia del
consentimiento consciente e informado del afectado para que la recogida de datos sea
lícita; sus contornos, por otro lado, se refuerzan singularmente en los denominados
"datos sensibles", como pueden ser, de una parte, la ideología o creencias
religiosas cuya privacidad esta expresamente garantizada por la Constitución en su
artículo 16.2- y, de otra parte, la raza, la salud y la vida sexual. La protección
reforzada de estos datos viene determinada porque los primeros de entre los datos
mencionados sólo serán disponibles con el consentimiento expreso y por escrito del
afectado, y los segundos sólo serán susceptibles de recopilación mediando dicho
consentimiento o una habilitación legal expresa, habilitación que, según exigencia de
la propia ley Orgánica, ha de fundarse en razones de interés general; en todo caso, se
establece la prohibición de los ficheros creados con la exclusiva finalidad de almacenar
datos personales que expresen las mencionadas características. En este punto, y de
acuerdo con lo dispuesto en el artículo 10 de la Constitución, se atienden las
exigencias y previsiones que para estos datos se contienen en el Convenio Europeo para la
protección de las personas con respecto al tratamiento automatizado de datos con
carácter personal, de 1981, ratificado por España.
Para la adecuada configuración, que esta Ley se propone, de la
nueva garantía de la intimidad y del honor, resulta esencial la correcta regulación de
la cesión de los datos almacenados. Es, en efecto, el cruce de los datos almacenados en
diversas instancias o ficheros el que puede arrojar el repetidamente aludido perfil
personal, cuya obtención transgrediría los límites de la privacidad. Para prevenir
estos perturbadores efectos, la ley completa el principio del consentimiento, exigiendo
que, al procederse a la recogida de los datos, el afectado sea debidamente informado del
uso que se les puede dar, al objeto de que el consentimiento se preste con conocimiento
cabal de su exacto alcance. Sólo las previsiones del Convenio Europeo para la protección
de los Derechos Fundamentales de la Persona -artículo 8.2- y del Convenio 108 del Consejo
de Europa -artículo 9.2-, que se fundamentan en exigencias lógicas en toda sociedad
democrática, constituyen excepciones a esta regla.
III
Las garantías de la persona son los nutrientes nucleares de la
parte general, y se configuran jurídicamente como derechos subjetivos encaminados a hacer
operativos los principios genéricos. Son, en efecto, los derechos de autodeterminación,
de amparo, de rectificación y de cancelación los que otorgan virtualidad normativa y
eficacia jurídica a los principios consagrados en la parte general, principios que, sin
los derechos subjetivos ahora aludidos, no rebasarían un contenido meramente
programático.
En concreto, los derechos de acceso a los datos, de
rectificación y de cancelación, se constituyen como piezas centrales del sistema
cautelar o preventivo instaurado por la ley. El primero de ellos ha cobrado en nuestro
país, incluso, plasmación constitucional en lo que se refiere a los datos que obran en
poder de las Administraciones Públicas (artículo 105.b). En consonancia
con ello queda recogido en la Ley en términos rotundos, no previéndose más excepciones
que las derivadas de la puesta en peligro de bienes jurídicos en lo relativo al acceso a
los datos policiales y a los precisos para asegurar el cumplimiento de las obligaciones
tributarias en lo referente a los datos de este carácter, excepciones ambas que pueden
entenderse expresamente recogidas en el propio precepto constitucional antes citado, así
como en el Convenio Europeo para la protección de los Derechos Fundamentales.
IV
Para la articulación de los extremos concretos que han de regir
los ficheros de datos, la parte especial de la Ley comienza distinguiendo, en su
Título Cuarto, entre los distintos tipos de ficheros,
según sea su titularidad pública o privada. Con la pretensión de evitar una perniciosa
burocratización, la Ley ha desechado el establecimiento de supuestos como la
autorización previa o la inscripción constitutiva en un registro. Simultáneamente, ha
establecido regímenes diferenciados para los ficheros en razón de su titularidad, toda
vez que, con toda evidencia, resulta problemático el control de los de titularidad
privada que el de aquéllos de titularidad pública. En efecto, en lo relativo a estos
últimos, no basta la mera voluntad del responsable del fichero sino que es precisa norma
habilitante, naturalmente pública y sometida al control jurisdiccional, para crearlos y
explotarlos, siendo en estos supuestos el informe previo del órgano de tutela el cauce
idóneo para controlar la adecuación de la explotación a las exigencias legales y
recomendar, en su caso, las medidas pertinentes.
Otras disposiciones de la parte especial que procede destacar son
las atinentes a la transmisión internacional de los datos. En este punto, la Ley traspone
la norma del artículo 12 del Convenio 108 del Consejo de Europa, apuntando así una
solución para lo que ha dado en llamarse flujo transfronterizo de datos. La protección
de la integridad de la información personal se concilia, de esta suerte, con el libre
flujo de los datos, que constituye una auténtica necesidad de la vida actual de la que
las transferencias bancarias, las reservas de pasajes aéreos o el auxilio judicial
internacional pueden ser simples botones de muestra. Se ha optado por exigir que el país
de destino cuente en su ordenamiento con un sistema de protección equivalente al
español, si bien permitiendo la autorización de la Agencia cuando tal sistema no exista
pero se ofrezcan garantías suficientes. Con ello no sólo se cumple con una exigencia
lógica, la de evitar un fallo que pueda producirse en el sistema de protección a través
del flujo a países que no cuentan con garantías adecuadas, sino también con las
previsiones de instrumentos internacionales como los Acuerdos de Schengen o las futuras
normas comunitarias.
V
Para asegurar la máxima eficacia de sus disposiciones, la ley
encomienda el control de su aplicación a un órgano independiente, al que atribuye el
estatuto de Ente público en los términos del artículo 6.5 de la Ley General
Presupuestaria. A tal efecto la Ley configura un órgano especializado, denominado Agencia
de Protección de Datos, a cuyo frente sitúa un Director.
La Agencia se caracteriza por la absoluta independencia de su
Director en el ejercicio de sus funciones, independencia que trae causa, en primer lugar,
de un expreso imperativo legal, pero que se garantiza, en todo caso, mediante el
establecimiento de un mandato fijo que sólo puede ser acortado por un numerus clausus de
causas de cese.
La Agencia dispondrá, además, de un órgano de apoyo definido
por los caracteres de colegiación y representatividad, en el que obtendrán presencia las
Cámaras que representan a la soberanía nacional, las Administraciones Públicas en
cuanto titulares de ficheros objeto de la presente Ley, el sector privado, las
organizaciones de usuarios y consumidores y otras personas relacionadas con las diversas
funciones que cumplen los archivos informatizados.
VI
El inevitable desfase que las normas de derecho positivo ofrecen
respecto de las transformaciones sociales es, si cabe, más acusado en este terreno, cuya
evolución tecnológica es especialmente, dinámica. Ello hace aconsejable, a la hora de
normar estos campos, acudir a mecanismos jurídicos dotados de menor nivel de
vinculación, susceptibles de una elaboración o modificación más rápida de lo habitual
y caracterizados por que es la voluntaria aceptación de sus destinatarios la que les
otorga eficacia normativa. En esta línea la ley recoge normas de autorregulación,
compatibles con las recomendaciones de la Agencia, que evitan los inconvenientes derivados
de la especial rigidez de la Ley Orgánica que, por su propia naturaleza, es inidónea
para un acentuado casuismo. La propia experiencia de lo ocurrido con el Convenio del
Consejo de Europa, que ha tenido que ser objeto de múltiples modificaciones al socaire de
las distintas innovaciones tecnológicas, de las sucesivas y diferentes aplicaciones
-estadística, Seguridad Social, relaciones de empleo, datos policiales, publicidad
directa o tarjetas de crédito, entre otras-o de la ampliación de los campos de
utilización-servicio telefónico o correo electrónico- aconseja recurrir a las citadas
normas de autorregulación. De ahí que la ley acuda a ellas para aplicar las previsiones
legales a los distintos sectores de actividad. Tales normas serán elaboradas por
iniciativa de las asociaciones y organizaciones pertinentes y serán aprobadas, sin valor
reglamentario, por la Agencia, siendo precisamente la iniciativa y participación de las
entidades afectadas la garantía de la virtualidad de las normas.
VII
La ley no consagra nuevos tipos delictivos, ni define supuestos
de responsabilidad penal para la eventualidad de su incumplimiento. Ello obedece a que se
entiende que la sede lógica para tales menesteres no es esta Ley, sino sólo el Código
Penal.
Si se atribuye, sin embargo, a la Administración la potestad
sancionadora que es lógico correlato de su función de inspección del uso de los
ficheros, similar a las demás inspecciones administrativas, y que se configura de
distinta forma según se proyecte sobre la utilización indebida de los ficheros
públicos, en cuyo caso proceder la oportuna responsabilidad disciplinaria, o sobre los
privados, para cuyo supuesto se prevén sanciones pecuniarias.
De acuerdo con la práctica usual, la ley se limita a tipificar,
de conformidad con lo requerido por la jurisprudencia constitucional y ordinaria, unos
supuestos genéricos de responsabilidad administrativa, recogiendo una gradación de
infracciones que sigue la habitual distinción entre leves, graves y muy graves, y que
toma como criterio básico el de los bienes jurídicos emanados. Las sanciones, a su vez,
difieren según que los ficheros indebidamente utilizados sean públicos o privados: en el
primer caso, procederá la responsabilidad disciplinaria, sin perjuicio de la
intervención del Defensor del Pueblo; para el segundo, se prevén sanciones pecuniarias;
en todo caso, se articula la posibilidad en los supuestos, constitutivos de infracción
muy grave, de cesión ilícita de datos o de cualquier otro atentado contra los derechos
de los afectados que revista gravedad, de inmovilizar los ficheros.
VIII
Finalmente, la Ley estipula un período transitorio que se
justifica por la necesidad de ajustar la utilización de los ficheros existentes a las
disposiciones legales.
Pasado este período transitorio, y una vez en vigor
la Ley, podrá muy bien decirse, una vez más, que el desarrollo legislativo de un
precepto constitucional se traduce en una protección reforzada de los derechos
fundamentales del ciudadano. En este caso, al desarrollar legislativamente el mandato
constitucional de limitar el uso de la informática, se está estableciendo
un nuevo y más consistente derecho a la privacidad de las personas.
TÍTULO I
DISPOSICIONES GENERALES
Artículo 1. Objeto
La presente ley Orgánica, en desarrollo de lo previsto en el
apartado 4 del artículo 18 de la Constitución, tiene por objeto limitar el uso de la
informática y otras técnicas y medios de tratamiento automatizado de los datos de
carácter personal para garantizar el honor, la intimidad personal y familiar de las
personas físicas y el pleno ejercicio de sus derechos.
Artículo 2. Ámbito de
aplicación
1. La presente ley será de aplicación a los datos de carácter
personal que figuren en ficheros automatizados de los sectores público y privado y a toda
modalidad de uso posterior, incluso no automatizado, de datos de carácter personal
registrados en soporte físico susceptible de tratamiento automatizado.
2. El régimen de protección de los datos de carácter personal
que se establece en la presente Ley no será de aplicación:
a) A los ficheros automatizados de titularidad pública cuyo
objeto, legalmente establecido, sea el almacenamiento de datos para su publicidad con
carácter general.
b) A los ficheros mantenidos por personas físicas con fines
exclusivamente personales.
c) A los ficheros de información tecnológica o comercial que
reproduzcan datos ya publicados en boletines, diarios o repertorios oficiales.
d) A los ficheros de informática jurídica accesibles al
público en la medida en que se limiten a reproducir disposiciones o resoluciones
judiciales publicadas en periódicos o repertorios oficiales.
e) A los ficheros mantenidos por los partidos políticos,
sindicatos e iglesias, confesiones y comunidades religiosas en cuanto los datos se
refieran a sus asociados o miembros y ex miembros, sin perjuicio de la cesión de los
datos que queda sometida a lo dispuesto en el
artículo
11 de esta ley, salvo que resultara de aplicación el
artículo 7
por tratarse de los datos personales en él
contenidos.
3. Se regirán por sus disposiciones específicas:
a) Los ficheros regulados por la legislación de régimen
electoral.
b) Los sometidos a la normativa sobre protección de materias
clasificadas.
c) Los derivados del Registro Civil y del Registro Central de
Penados y Rebeldes.
d) Los que sirvan a fines exclusivamente estadísticos y estén
amparados por la ley 12/1989, de 9 de mayo, de la función estadística pública, sin
perjuicio de lo dispuesto en el artículo 36.
e) Los ficheros automatizados cuyo objeto sea el almacenamiento
de los datos contenidos en los informes personales regulados en el artículo 68 de la ley
17/1989, de 19 de julio, Reguladora del Régimen del Personal Militar Profesional.
Artículo 3. Definiciones
A los efectos de la presente ley se entenderá por:
a) Datos de carácter personal: Cualquier información
concerniente a personas físicas identificadas o identificables.
b) Fichero automatizado: Todo conjunto organizado de datos de
carácter personal que sean objeto de un tratamiento automatizado, cualquiera que fuere la
forma o modalidad de su creación, almacenamiento, organización y acceso.
c) Tratamiento de datos: Operaciones y procedimientos técnicos,
de carácter automatizado o no, que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo, y cancelación, así como las cesiones de datos que
resulten de comunicaciones, consultas, interconexiones y transferencias.
d) Responsable del fichero: Persona física, jurídica de
naturaleza pública o privada y órgano administrativo que decida sobre la finalidad,
contenido y uso del tratamiento.
e) Afectado: Persona física titular de los datos que sean objeto
del tratamiento a que se refiere el apartado c) del presente artículo.
f) Procedimiento de disociación: Todo tratamiento
de datos personales de modo que la información que se obtenga no pueda asociarse a
persona determinada o determinable.
TÍTULO II
PRINCIPIOS DE LA PROTECCIÓN DE DATOS
Artículo 4. Calidad de los
datos
1. Sólo se podrán recoger datos de carácter personal para su
tratamiento automatizado, así como someterlos a dicho tratamiento, cuando tales datos
sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades
legítimas para las que se hayan obtenido.
En su clasificación sólo podrán utilizarse criterios que no se
presten a prácticas ilícitas.
2. Los datos de carácter personal objeto de tratamiento
automatizado no podrán usarse para finalidades distintas de aquellas para las que los
datos hubieran sido recogidos.
3. Dichos datos serán exactos y puestos al día de forma que
respondan con veracidad a la situación real del afectado.
4. Si los datos de carácter personal registrados resultaran ser
inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio
por los correspondientes datos rectificados o completados, sin perjuicio de las facultades
que a los afectados reconoce el artículo 15.
5. Los datos de carácter personal serán cancelados cuando hayan
dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido
recabados y registrados.
No serán conservados en forma que permita la identificación del
interesado durante un período superior al necesario para los fines en base a los cuales
hubieran sido recabados o registrados.
Reglamentariamente se determinará el procedimiento por el que,
por excepción, atendidos sus valores históricos de acuerdo con la legislación
específica, se decida el mantenimiento íntegro de determinados datos.
6. Serán almacenados de forma que permitan el ejercicio del
derecho de acceso por parte del afectado.
7. Se prohibe la recogida de datos por medios fraudulentos,
desleales o ilícitos.
Artículo 5. Derecho de
información en la recogida de datos
1. Los afectados a los que se soliciten datos personales deberán
ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero automatizado de datos de
carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la
información.
b) Del carácter obligatorio o facultativo de su respuesta a las
preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la
negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso,
rectificación y cancelación.
e) De la identidad y dirección del responsable del fichero.
2. Cuando se utilicen cuestionarios u otros impresos para la
recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se
refiere el apartado anterior.
3. No será necesaria la información a que se refiere el
apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos
personales que se solicitan o de las circunstancias en que se recaban.
Artículo 6. Consentimiento
del afectado
1. El tratamiento automatizado de los datos de carácter personal
requerirá el consentimiento del afectado, salvo que la ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de
carácter personal se recojan de fuentes accesibles al público, cuando se recojan para el
ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus
competencias, ni cuando se refieran a personas vinculadas por una relación negocial, una
relación laboral, una relación administrativa o un contrato y sean necesarios para el
mantenimiento de las relaciones o para el cumplimiento del contrato.
3. El consentimiento a que se refiere el artículo podrá ser
revocado cuando exista causa justificada para ello y no se le atribuya efectos
retroactivos.
Artículo 7. Datos
especialmente protegidos
1. De acuerdo con lo establecido en el apartado 2 del artículo
16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología,
religión o creencias.
Cuando en relación con estos datos se proceda a recabar el
consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca
de su derecho a no prestarlo.
2. Sólo con consentimiento expreso y por escrito del afectado
podrán ser objeto de tratamiento automatizado los datos de carácter personal que revelen
la ideología, religión y creencias.
3. Los datos de carácter personal que hagan referencia al origen
racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados
automatizadamente y cedidos cuando por razones de interés general así lo disponga una
Ley o el afectado consienta expresamente.
4. Quedan prohibidos los ficheros creados con la finalidad
exclusiva de almacenar datos de carácter personal que revelen la ideología, religión,
creencias, origen racial o vida sexual.
5. Los datos de carácter personal relativos a la comisión de
infracciones penales o administrativas sólo podrán ser incluidos en ficheros
automatizados de las Administraciones Públicas competentes en los supuestos previstos en
las respectivas normas reguladoras.
Artículo 8. Datos relativos
a la salud
Sin perjuicio de lo que se dispone en el
artículo 11 respecto de la cesión, las instituciones
y los centros sanitarios públicos y privados y los profesionales correspondientes podrán
proceder al tratamiento automatizado de los datos de carácter personal relativos a la
salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo
con lo dispuesto en los artículos 8, 10, 23 y 61 de la Ley 14/1986, de 25 de abril,
General de Sanidad; 85.5, 96 y 98 de la Ley 25/1990, de 20 de diciembre, del Medicamento;
2, 3 y 4 de la Ley Orgánica 3/1986, de 14 de abril, de medidas especiales en materia de
Salud Pública, y demás leyes sanitarias.
Artículo 9. Seguridad de
los datos
1. El responsable del fichero deberá adoptar las medidas de
índole técnica y organizativas necesarias que garanticen la seguridad de los datos de
carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado,
habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los
riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o
natural.
2. No se registrarán datos de carácter personal en ficheros
automatizados que no reúnan las condiciones que se determinen por vía reglamentaria con
respecto a su integridad y seguridad y a las de los centros de tratamiento, locales,
equipos, sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y
condiciones que deban reunir los ficheros automatizados y las personas que intervengan en
el tratamiento automatizado de los datos a que se refiere el
artículo 7 de esta Ley.
Artículo 10. Deber de
secreto
El responsable del fichero automatizado y quienes intervengan en
cualquier fase del tratamiento de los datos de carácter personal están obligados al
secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que
subsistirán aún después de finalizar sus relaciones con el titular del fichero
automatizado o, en su caso, con el responsable del mismo.
Artículo 11. Cesión de
datos
1. Los datos de carácter personal objeto del tratamiento
automatizado sólo podrán ser cedidos para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente y del cesionario con el previo
consentimiento del afectado.
2. El consentimiento exigido en el apartado anterior no será
preciso:
a) Cuando una Ley prevea otra cosa.
b) Cuando se trate de datos recogidos de fuentes accesibles al
público.
c) Cuando el establecimiento del fichero automatizado responda a
la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento
y control implique necesariamente la conexión de dicho fichero con ficheros de terceros.
En este caso la cesión sólo será legítima en cuanto se limite a la finalidad que la
justifique.
d) Cuando la cesión que deba efectuarse tenga por destinatario
el Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales, en el ejercicio de
las funciones que tienen atribuidas.
e) Cuando la cesión se produzca entre las Administraciones
Públicas en los supuestos previstos en el artículo 19.
f) Cuando la cesión de datos de carácter personal relativos a
la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero
automatizado o para realizar los estudios epidemiológicos en los términos establecidos
en el artículo 8 de la Ley 14/1986, de 25 de abril, General de Sanidad.
3. Será nulo el consentimiento cuando no recaiga sobre un
cesionario determinado o determinable, o si no constase con claridad la finalidad de la
cesión que se consiente.
4. El consentimiento para la cesión de datos de carácter
personal tiene también un carácter de revocable.
5. El cesionario de los datos de carácter personal se obliga,
por el solo hecho de la cesión, a la observancia de las disposiciones de la presente Ley.
6. Si la cesión se efectúa previo procedimiento de
disociación, no será aplicable lo establecido en los apartados anteriores.
TÍTULO III
DERECHOS DE LAS PERSONAS
Artículo 12. Impugnación
de valoraciones basadas exclusivamente en datos automatizados
El afectado podrá impugnar los actos administrativos o
decisiones privadas que impliquen una valoración de su comportamiento cuyo único
fundamento sea un tratamiento automatizado de datos de carácter personal que ofrezca una
definición de sus características o personalidad.
Artículo 13. Derecho de
información
Cualquier persona podrá conocer, recabando a tal fin la
información oportuna del Registro General de Protección de Datos, la existencia de
ficheros automatizados de datos de carácter personal, sus finalidades y la identidad del
responsable del fichero. El Registro General será de consulta pública y gratuita.
Artículo 14. Derecho de
acceso
1. El afectado tendrá derecho a solicitar y obtener información
de sus datos de carácter personal incluidos en los ficheros automatizados.
2. La información podrá consistir en la mera consulta de los
ficheros por medio de su visualización, o en la comunicación de los datos pertinentes
mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e
inteligible, sin utilizar claves o códigos convencionales que requieran el uso de
dispositivos mecánicos específicos.
3. El derecho de acceso a que se refiere este artículo sólo
podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que al afectado
acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes.
Artículo 15. Derecho de
rectificación y cancelación
1. Por vía reglamentaria se establecerá el plazo en que el
responsable del fichero tendrá la obligación de hacer efectivo el derecho de
rectificación o cancelación del afectado.
2. Los datos de carácter personal que resulten inexactos o
incompletos serán rectificados y cancelados en su caso.
3. Si los datos rectificados o cancelados hubieran sido cedidos
previamente, el responsable del fichero deberá notificar la rectificación o cancelación
efectuada al cesionario.
4. La cancelación no procederá cuando pudiese causar un
perjuicio a intereses legítimos del afectado o de terceros o cuando existiese una
obligación de conservar los datos.
5. Los datos de carácter personal deberán ser conservados
durante los plazos previstos en las disposiciones aplicables o, en su caso, en las
relaciones contractuales entre la persona o entidad responsable del fichero y el afectado.
Artículo 16. Procedimiento
de acceso
1. El procedimiento para ejercitar el derecho de acceso, así
como el de rectificación y cancelación será establecido reglamentariamente.
2. No se exigirá contraprestación alguna por la rectificación
o cancelación de los datos de carácter personal inexactos.
Artículo 17. Tutela de los
derechos y derecho de indemnización
1. Las actuaciones contrarias a lo dispuesto en la presente Ley
pueden ser objeto de reclamación por los afectados ante la Agencia de Protección de
Datos, en la forma que reglamentariamente se determine.
2. Contra las resoluciones de la Agencia de Protección de Datos
procederá recurso contencioso administrativo.
3. Los afectados que, como consecuencia del incumplimiento de lo
dispuesto en la presente Ley por el responsable del fichero, sufran daño o lesión en sus
bienes o derechos tendrán derecho a ser indemnizados.
4. Cuando se trate de ficheros de titularidad pública, la
responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de
responsabilidad de las Administraciones Públicas.
5. En el caso de los ficheros de titularidad privada
la acción se ejercitará ante los órganos de la jurisdicción ordinaria.
TÍTULO IV
DISPOSICIONES SECTORIALES
CAPÍTULO I
Ficheros de titularidad pública
Artículo 18. Creación,
modificación o supresión
1. La creación, modificación o supresión de los ficheros
automatizados de las Administraciones Públicas sólo podrán hacerse por medio de
disposición general publicada en el "Boletín Oficial del Estado" o diario
oficial correspondiente.
2. Las disposiciones de creación o de modificación de los
ficheros deberán indicar:
a) La finalidad del fichero y los usos previstos para el mismo.
b) Las personas o colectivos sobre los que se pretenda obtener
datos de carácter personal o que resulten obligados a suministrarlos.
c) El procedimiento de recogida de los datos de carácter
personal.
d) La estructura básica del fichero automatizado y la
descripción de los tipos de datos de carácter personal incluidos en el mismo.
e) Las cesiones de datos de carácter personal que, en su caso,
se prevean.
f) Los órganos de la Administración responsables del fichero
automatizado.
g) Los servicios o unidades ante los que pudiesen ejercitarse los
derechos de acceso, rectificación y cancelación.
3. En las disposiciones que se dicten para la supresión de los
ficheros automatizados se establecerá el destino de los mismos o, en su caso, las
previsiones que se adopten para su destrucción.
Artículo 19. Cesión de
datos entre Administraciones Públicas
1. Los datos de carácter personal recogidos o elaborados por las
Administraciones Públicas para el desempeño de sus atribuciones no serán cedidos a
otras Administraciones Públicas para el ejercicio de competencias diferentes o de
competencias que versen sobre materias distintas, salvo cuando la cesión hubiese sido
prevista por las disposiciones de creación del fichero o por disposición posterior de
igual o superior rango que regule su uso.
2. Podrán, en todo caso, ser objeto de cesión los datos de
carácter personal que una Administración Pública obtenga o elabore con destino a otra.
3. No obstante lo establecido en el
artículo 11.2.b) la cesión de datos recogidos de
fuentes accesibles al público no podrá efectuarse a ficheros de titularidad privada,
sino con el consentimiento del interesado o cuando una Ley prevea otra cosa.
Artículo 20. Ficheros de
las Fuerzas y Cuerpos de Seguridad
1. Los ficheros automatizados creados por las Fuerzas y Cuerpos
de Seguridad que contengan datos de carácter personal que, por haberse recogido para
fines administrativos, deban ser objeto de registro permanente, estarán sujetos al
régimen general de la presente Ley.
2. La recogida y tratamiento automatizado para fines policiales
de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento
de las personas afectadas, están limitados a aquellos supuestos y categorías de datos
que resulten necesarios para la prevención de un peligro real para la seguridad pública
o para la represión de infracciones penales, debiendo ser almacenados en ficheros
específicos establecidos al efecto, que deberán clasificarse por categorías, en
función de su grado de fiabilidad.
3. La recogida y tratamiento por las Fuerzas y Cuerpos de
Seguridad de los datos a que hacen referencia los apartados 2 y 3 del
artículo 7, podrán realizarse exclusivamente en los
supuestos en que sea absolutamente necesario para los fines de una investigación
concreta.
4. Los datos personales registrados con fines policiales se
cancelarán cuando no sean necesarios para las averiguaciones que motivaron su
almacenamiento.
A estos efectos se considerará especialmente la edad del
afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta
la conclusión de una investigación o procedimiento concreto, la resolución judicial
firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de
responsabilidad.
Artículo 21. Excepciones a
los derechos de acceso, rectificación y cancelación
1. Los responsables de los ficheros que contengan los datos a que
se refieren los apartados 2, 3 y 4 del artículo
anterior podrán denegar el acceso, la rectificación o la cancelación en función de
los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la
protección de los derechos y libertades de terceros o las necesidades de las
investigaciones que se estén realizando.
2. Los responsables de los ficheros de la Hacienda Pública
podrán, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado
anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar
el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado este
siendo objeto de actuaciones inspectoras.
3. El afectado al que se deniegue, total o parcialmente, el
ejercicio de los derechos mencionados en los apartados anteriores, podrá ponerlo en
conocimiento del Director de la Agencia de Protección de Datos o del Organismo competente
de cada Comunidad Autónoma en el caso de ficheros automatizados mantenidos por Cuerpos de
Policía propios de éstas, o por las Administraciones Tributarias Autonómicas, quien
deberá asegurarse de la procedencia o improcedencia de la denegación.
Artículo 22. Otras
excepciones a los derechos de los afectados
1. Lo dispuesto en los apartados 1 y 2, del
artículo 5 no será aplicable a la recogida de datos
cuando la información al afectado impida o dificulte gravemente el cumplimiento de las
funciones de control y verificación de las Administraciones Públicas o cuando afecte a
la Defensa Nacional, a la Seguridad pública o a la persecución de infracciones penales o
administrativas.
2. Lo dispuesto en el
artículo 14 y en el apartado 1 del
artículo 15 no será de aplicación si, ponderados
los intereses en presencia, resultase que los derechos que dichos preceptos concedan al
afectado hubieran de ceder ante razones de interés público o ante intereses de terceros
más dignos de protección. Si el órgano administrativo responsable del fichero
automatizado invocase lo dispuesto en este apartado, dictara resolución motivada e
instruirá al afectado del derecho que le asiste a poner la negativa en conocimiento del
Director de la Agencia de Protección de Datos o, en su caso, del órgano equivalente de
las Comunidades Autónomas.
CAPÍTULO II
Ficheros de titularidad privada
Artículos 23. Creación
Podrán crearse ficheros automatizados de titularidad privada que
contengan datos de carácter personal cuando resulte necesario para el logro de la
actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las
garantías que esta Ley establece para la protección de las personas.
Artículo 24. Notificación
e inscripción registral
1. Toda persona o entidad que proceda a la creación de ficheros
automatizados de datos de carácter personal lo notificará previamente a la Agencia de
Protección de Datos.
2. Por vía reglamentaria se procederá a la regulación
detallada de los distintos extremos que debe contener la notificación, entre los cuales
figurarán necesariamente el responsable del fichero, la finalidad del mismo, su
ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad
y las cesiones de datos de carácter personal que se prevean realizar.
3. Deberán comunicarse a la Agencia de Protección de Datos los
cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en
la dirección de su ubicación.
4. El Registro General de Protección de Datos inscribirá el
fichero automatizado si la notificación se ajusta a los requisitos exigibles.
En caso contrario podrá pedir que se completen los datos que
falten o se proceda a su subsanación.
5. Transcurrido un mes desde la presentación de la solicitud de
inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma,
se entenderá inscrito el fichero automatizado a todos los efectos.
Artículo 25. Comunicación
de la cesión de datos
1. El responsable del fichero, en el momento en que se efectúe
la primera cesión de datos, deberá informar de ello a los afectados, indicando asimismo
la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y
dirección del cesionario.
2. La obligación establecida en el apartado anterior no
existirá en el supuesto previsto en los apartados 2, letras c), d) y e), y 6 del
artículo 11 ni cuando la cesión venga impuesta por
Ley.
Artículo 26. Datos sobre
abonados a servicios de telecomunicación
Los números de los teléfonos y demás servicios de
telecomunicación, junto con otros datos complementarios, podrán figurar en los
repertorios de abonados de acceso al público, pero el afectado podrá exigir su
exclusión.
Artículo 27. Prestación
de servicios de tratamiento automatizado de datos de carácter personal
1. Quienes, por cuenta de terceros, presten servicios de
tratamiento automatizado de datos de carácter personal no podrán aplicar o utilizar los
obtenidos con fin distinto al que figure en el contrato de servicios, ni cederlos, ni
siquiera para su conservación, a otras personas.
2. Una vez cumplida la prestación contractual, los datos de
carácter personal tratados deberán ser destruidos, salvo que medie autorización expresa
de aquél por cuenta de quien se prestan tales servicios, porque razonablemente se presuma
la posibilidad de ulteriores encargos, en cuyo caso se podrán almacenar con las debidas
condiciones de seguridad por un período de cinco años.
Artículo 28. Prestación
de servicios de información sobre solvencia patrimonial y crédito
1. Quienes se dediquen, a la prestación de servicios de
información sobre la solvencia patrimonial y el crédito sólo podrán tratar
automatizadamente datos de carácter personal obtenidos de fuentes accesibles al público
o procedentes de informaciones facilitadas por el afectado o con su consentimiento.
Podrán tratarse, igualmente, datos de carácter personal relativos al cumplimiento o
incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe
por su cuenta o interés. En estos casos se notificará a los afectados respecto de los
que hayan registrado datos de carácter personal en ficheros automatizados, en el plazo de
treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se
les informará de su derecho a recabar información de la totalidad de ellos, en los
términos establecidos por la presente Ley.
2. Cuando el afectado lo solicite, el responsable del fichero le
comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan
sido comunicadas durante los últimos seis meses y el nombre y dirección del cesionario.
3. Sólo se podrán registrar y ceder los datos de carácter
personal que sean determinantes para enjuiciar la solvencia económica de los afectados y
que no se refieran, cuando sean adversos, a más de seis años.
Artículo 29. Ficheros con
fines de publicidad
1. Quienes se dediquen a la recopilación de direcciones, reparto
de documentos, publicidad o venta directa y otras actividades análogas, utilizarán
listas tratadas automáticamente de nombres y direcciones u otros datos personales, cuando
los mismos figuren en documentos accesibles al público o cuando hayan sido facilitados
por los propios afectados u obtenidos con su consentimiento.
2. Los afectados tendrán derecho a conocer el origen de sus
datos de carácter personal, así como a ser dados de baja de forma inmediata del fichero
automatizado, cancelándose las informaciones que sobre ellos figuren en aquél, a su
simple solicitud.
Artículo 30. Ficheros
relativos a encuestas o investigaciones
1. Sólo se utilizarán de forma automatizada datos de carácter
personal en las encuestas de opinión, trabajos de prospección de mercados,
investigación científica o médica y actividades análogas, si el afectado hubiera
prestado libremente su consentimiento a tal efecto.
2. Los datos de carácter personal tratados automáticamente con
ocasión de tales actividades no podrán ser utilizados con finalidad distinta ni cedidos
de forma que puedan ser puestos en relación con una persona concreta.
Artículo 31. Códigos tipo
1. Mediante acuerdos sectoriales o decisiones de empresa, los
responsables de ficheros de titularidad privada podrán formular códigos tipo que
establezcan las condiciones de organización, régimen de funcionamiento, procedimientos
aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los
implicados en el tratamiento y uso de la información personal, así como las garantías,
en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto de los
principios y disposiciones de la presente Ley y sus normas de desarrollo.
Las citados códigos podrán contener o no reglas operacionales
detalladas de cada sistema particular y estándares técnicos de aplicación.
En el supuesto de que tales reglas o estándares no se
incorporarán directamente al código, las instrucciones u órdenes que los establecieran
deberán respetar los principios fijados en aquél.
2. Los códigos tipo tendrán el carácter de
códigos deontológicos o de buena práctica profesional, debiendo ser depositados o
inscritos en el Registro General de Protección de Datos, que podrá denegar la
inscripción cuando considere que no se ajustan a las disposiciones legales y
reglamentarias sobre la materia, debiendo, en este caso, el Director de la Agencia de
Protección de Datos requerir a los solicitantes para que efectúen las correcciones
oportunas.
TÍTULO V
MOVIMIENTO INTERNACIONAL DE DATOS
Artículo 32. Norma general
No podrán realizarse transferencias temporales ni definitivas de
datos de carácter personal que hayan sido objeto de tratamiento automatizado o hayan sido
recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un
nivel de protección equiparable al que presta la presente Ley, salvo que, además de
haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de
la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías
adecuadas.
Artículos 33. Excepciones
Lo dispuesto en el artículo anterior no será de aplicación:
a) Cuando la transferencia internacional de datos de carácter
personal resulte de la aplicación de tratados o convenios en los que sea parte España.
b) Cuando la transferencia se haga a efectos de prestar o
solicitar auxilio judicial internacional.
c) Cuando la misma tenga por objeto el intercambio de datos de
carácter médico entre facultativos o instituciones sanitarias y así lo exija el
tratamiento del afectado, o la investigación epidemiológica de enfermedades o brotes
epidémicos.
d) Cuando se refiera a transferencias dinerarias
conforme a su legislación específica.
TÍTULO VI
AGENCIA DE PROTECCIÓN DE DATOS
Artículo 34. Naturaleza y
régimen jurídico
1. Se crea la Agencia de Protección de Datos.
2. La Agencia de Protección de Datos es un Ente de Derecho
Público, con personalidad jurídica propia y plena capacidad pública y privada, que
actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus
funciones. Se regirá por lo dispuesto en la presente Ley y en un Estatuto propio que
será aprobado por el Gobierno, así como por aquellas disposiciones que le sean
aplicables en virtud del artículo 6.5 de la Ley General Presupuestaria.
3. En el ejercicio de sus funciones públicas, y en defecto de lo
que dispongan la presente Ley y sus disposiciones de desarrollo, la Agencia de Protección
de Datos actuará de conformidad con la Ley de Procedimiento Administrativo. En sus
adquisiciones patrimoniales y contratación estará sujeta al Derecho privado.
4. Los puestos de trabajo de los órganos y servicios que
integren la Agencia de Protección de Datos serán desempeñados por funcionarios de las
Administraciones Públicas y por personal contratado al efecto, según la naturaleza de
las funciones asignadas a cada puesto de trabajo. Este personal está obligado a guardar
secreto de los datos de carácter personal de que conozca en el desarrollo de su función.
5. La Agencia de Protección de Datos contará, para el
cumplimiento de sus fines, con los siguientes bienes y medios económicos:
a) Las asignaciones que se establezcan anualmente con cargo a los
Presupuestos Generales del Estado.
b) Los bienes y valores que constituyan su patrimonio, así como
los productos y rentas del mismo.
c) Cualesquiera otros que legalmente puedan serle atribuidos.
6. La Agencia de Protección de Datos elaborará y aprobará con
carácter anual el correspondiente anteproyecto de presupuesto y lo remitirá al Gobierno
para que sea integrado, con la debida independencia, en los Presupuestos Generales del
Estado.
Artículo 35. El Director
1. El Director de la Agencia de Protección de Datos dirige la
Agencia y ostenta su representación. Será nombrado, de entre quienes componen el Consejo
Consultivo, mediante Real Decreto, por un período de cuatro años.
2. Ejercerá sus funciones con plena independencia y objetividad
y no estará sujeto a instrucción alguna en el desempeño de aquéllas.
3. El Director de la Agencia de Protección de Datos sólo
cesará antes de la expiración del período a que se refiere el apartado 1 a petición
propia o por separación acordada por el Gobierno, previa instrucción de expediente, en
el que necesariamente serán oídos los restantes miembros del Consejo Consultivo, por
incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su
función, incompatibilidad o condena por delito doloso.
4. El Director de la Agencia de Protección de Datos tendrá la
consideración de alto cargo.
Artículo 36. Funciones
Son funciones de la Agencia de Protección de Datos:
a) Velar por el cumplimiento de la legislación sobre protección
de datos y controlar su aplicación, en especial en lo relativo a los derechos de
información, acceso, rectificación y cancelación de datos.
b) Emitir las autorizaciones previstas en la Ley o en sus
disposiciones reglamentarias.
c) Dictar, en su caso y sin perjuicio de las competencias de
otros órganos, las instrucciones precisas para adecuar los tratamientos automatizados a
los principios de la presente Ley.
d) Atender las peticiones y reclamaciones formuladas por las
personas afectadas.
e) Proporcionar información a las personas acerca de sus
derechos en materia de tratamiento automatizado de los datos de carácter personal.
f) Ordenar la cesación de los tratamientos de datos de carácter
personal y la cancelación de los ficheros, cuando no se ajusten a las disposiciones de la
presente Ley.
g) Ejercer la potestad sancionadora en los términos previstos
por el Título VII de la presente Ley.
h) Informar, con carácter preceptivo, los proyectos de
disposiciones generales que desarrollen esta Ley.
i) Recabar de los responsables de los ficheros cuanta ayuda e
información estime necesaria para el desempeño de sus funciones.
j) Velar por la publicidad de la existencia de los ficheros
automatizados de datos con carácter personal, a cuyo efecto publicará periódicamente
una relación de dichos ficheros con la información adicional que el Director de la
Agencia determine.
k) Redactar una memoria anual y remitirla al Ministerio de
Justicia.
l) Ejercer el control y adoptar las autorizaciones que procedan
en relación con los movimientos internacionales de datos, así como desempeñar las
funciones de cooperación internacional en materia de protección de datos personales.
m) Velar por el cumplimiento de las disposiciones que la Ley de
la Función Estadística Pública establece respecto a la recogida de datos estadísticos
y al secreto estadístico, así como dictar las instrucciones precisas, dictaminar sobre
las condiciones de seguridad de los ficheros constituidos con fines exclusivamente
estadísticos y ejercer la potestad a la que se refiere el
artículo 45.
n) Cuantas otras le sean atribuidas por normas legales o
reglamentarias.
Artículo 37. Consejo
Consultivo
El Director de la Agencia de Protección de Datos estará
asesorado por un Consejo Consultivo compuesto por los siguientes miembros:
Un Diputado, propuesto por el Congreso de los Diputados.
Un Senador, propuesto por la correspondiente Cámara.
Un representante de la Administración Central, designado por el
Gobierno.
Un representante de la Administración Local, propuesto por la
Federación Española de Municipios y Provincias.
Un miembro de la Real Academia de la Historia, propuesto por la
misma.
Un experto en la materia, propuesto por el Consejo Superior de
Universidades.
Un representante de los usuarios y consumidores, seleccionado del
modo que se prevea reglamentariamente.
Un representante de las Comunidades Autónomas, cuya propuesta se
realizará a través del procedimiento que se establezca en las disposiciones de
desarrollo de esta Ley.
Un representante del sector de ficheros privados, para cuya
propuesta se seguirá el procedimiento que se regule reglamentariamente.
El funcionamiento del Consejo Consultivo se regirá por las
normas reglamentarias que al efecto se establezcan.
Artículo 38. El Registro
General de Protección de Datos
1. Se crea el Registro General de Protección de Datos como
órgano integrado en la Agencia de Protección de Datos.
2. Serán objeto de inscripción en el Registro General de
Protección de Datos:
a) Los ficheros automatizados de que sean titulares las
Administraciones Públicas.
b) Los ficheros automatizados de titularidad privada.
c) Las autorizaciones a que se refiere la presente Ley.
d) Los códigos tipo a que se refiere el
artículo 31 de la presente Ley.
e) Los datos relativos a los ficheros que sean necesarios para el
ejercicio de los derechos de información, acceso, rectificación y cancelación.
3. Por vía reglamentaria se regulará el procedimiento de
inscripción de los ficheros, tanto de titularidad pública como de titularidad privada,
en el Registro General de Protección de Datos, el contenido de la inscripción, su
modificación, cancelación, reclamaciones y recursos contra las resoluciones
correspondientes y demás extremos pertinentes.
Artículo 39. Potestad de
inspección
1. La Agencia de Protección de Datos podrá inspeccionar los
ficheros a que hace referencia la presente Ley recabando cuantas informaciones precise
para el cumplimiento de sus cometidos.
A tal efecto, podrá solicitar la exhibición o el envío de
documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como
inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos
accediendo a los locales donde se hallen instalados.
2. Los funcionarios que ejerzan la inspección a que se refiere
el apartado anterior, tendrán la consideración de autoridad pública en el desempeño de
sus cometidos.
Estarán obligados a guardar secreto sobre las informaciones que
conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en
las mismas.
Artículo 40. Órganos
correspondientes de las Comunidades Autónomas
1. Las funciones de la Agencia de Protección de Datos reguladas
en el artículo 36, a excepción de las mencionadas
en los apartados j), k) y 1) y en los apartados f) y g) en lo que se refiere a las
transferencias internacionales de datos, así como en los
artículos 45 y
48,
en relación con sus específicas competencias, serán ejercidas, cuando afecten a
ficheros automatizados de datos de carácter personal creados o gestionados por las
Comunidades Autónomas, por los órganos correspondientes de cada Comunidad, a los que se
garantizará plena independencia y objetividad en el ejercicio de su cometido.
2. Las Comunidades Autónomas podrán crear y mantener sus
propios registros de ficheros públicos para el ejercicio de las competencias que se les
reconoce sobre los mismos, respecto de los archivos informatizados de datos personales
cuyos titulares sean los órganos de las respectivas Comunidades Autónomas o de sus
Territorios Históricos.
3. El Director de la Agencia de Protección de Datos podrá
convocar regularmente a los órganos correspondientes de las Comunidades Autónomas a
efectos de cooperación institucional y coordinación de criterios o procedimientos de
actuación. El Director de la Agencia de Protección de Datos y los órganos
correspondientes de las Comunidades Autónomas podrán solicitarse mutuamente la
información necesaria para el cumplimiento de sus funciones.
Artículo 41. Ficheros de
las Comunidades Autónomas en materias de su exclusiva competencia
1. Cuando el Director de la Agencia de Protección de Datos
constate que el mantenimiento o uso de un determinado fichero automatizado de las
Comunidades Autónomas contraviene algún precepto de esta Ley en materia de su exclusiva
competencia, podrá requerir a la Administración correspondiente para que adopte las
medidas correctoras que determine en el plazo que expresamente se fije en el
requerimiento.
2. Si la Administración Publica correspondiente no
cumpliera el requerimiento formulado, el Director de la Agencia de Protección de Datos
podrá impugnar la resolución adoptada por aquella Administración.
TÍTULO VII
INFRACCIONES Y SANCIONES
Artículo 42. Responsables
1. Los responsables de los ficheros estarán sujetos al régimen
sancionador establecido en la presente Ley.
2. Cuando se trate de ficheros de los que sean responsables las
Administraciones Públicas se estará, en cuanto al procedimiento y a las sanciones, a lo
dispuesto en el artículo 45, apartado 2.
Artículo 43. Tipos de
infracciones
1. Las infracciones se calificarán como leves, graves o muy
graves.
2. Son infracciones leves:
a) No proceder, de oficio o a solicitud de las personas o
instituciones legalmente habilitadas para ello, a la rectificación o cancelación de los
errores, lagunas o inexactitudes de carácter formal de los ficheros.
b) No cumplir las instrucciones dictadas por el Director de la
Agencia de Protección de Datos, o no proporcionar la información que éste solicite en
relación a aspectos no sustantivos de la protección de datos.
c) No conservar actualizados los datos de carácter personal que
se mantengan en ficheros automatizados.
d) Cualquiera otra que afecte a cuestiones meramente formales o
documentales y que no constituya infracción grave o muy grave.
3. Son infracciones graves:
a) Proceder a la creación de ficheros automatizados de
titularidad pública o iniciar la recogida de datos de carácter personal para los mismos,
sin autorización de disposición general, publicada en el "Boletín Oficial del
Estado" o diario oficial correspondiente.
b) Proceder a la creación de ficheros automatizados de
titularidad privada o iniciar la recogida de datos de carácter personal para los mismos
con finalidades distintas de las que constituyen el objeto legítimo de la empresa o
entidad.
c) Proceder a la recogida de datos de carácter personal sin
recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea
exigible, o sin proporcionarles la información que señala el
artículo 5 de la presente Ley.
d) Tratar de forma automatizada los datos de carácter personal o
usarlos posteriormente con conculcación de los principios y garantías establecidas en la
presente Ley o con incumplimiento de los preceptos de protección que impongan las
disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.
e) El impedimento o la obstaculización del ejercicio del derecho
de acceso y la negativa a facilitar la información que sea solicitada.
f) Mantener datos de carácter personal inexactos o no efectuar
las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten
afectados, los derechos de las personas que la presente Ley ampara.
g) La vulneración del deber de guardar secreto, cuando no
constituya infracción muy grave.
h) Mantener los ficheros, locales, programas o equipos que
contengan datos de carácter personal sin las debidas condiciones de seguridad que por
vía reglamentaria, se determinen.
i) No remitir a la Agencia de Protección de Datos las
notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no
proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean
requeridos por aquél a tales efectos.
j) La obstrucción al ejercicio de la función inspectora.
4. Son infracciones muy graves:
a) La recogida de datos en forma engañosa y fraudulenta.
b) La comunicación o cesión de los datos de carácter personal,
fuera de los casos en que estén permitidas.
c) Recabar y tratar de forma automatizada los datos de carácter
personal a los que se refiere el apartado 2 del
artículo
7 cuando no medie el consentimiento expreso del afectado, recabar y tratar de forma
automatizada los datos referidos en el apartado 3 del
artículo
7 cuando no lo disponga una Ley o el afectado no haya consentido expresamente o
violentar la prohibición contenida en el apartado 4 del
artículo
7.
d) No cesar en el uso ilegítimo de los tratamientos
automatizados de datos de carácter personal cuando sea requerido para ello por el
Director de la Agencia de Protección de Datos o por las personas titulares del derecho de
acceso.
e) La transferencia, temporal o definitiva, de datos de carácter
personal que hayan sido objeto de tratamiento automatizado o hayan sido recogidos para
someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de
protección equiparable sin autorización del Director de la Agencia de Protección de
Datos.
f) Tratar de forma automatizada los datos de carácter personal
de forma ilegítima o con menosprecio de los principios y garantías que les sean de
aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos
fundamentales.
g) La vulneración del deber de guardar secreto sobre los datos
de carácter personal a que hacen referencia los apartados 2 y 3 del
artículo 7.
Artículo 44. Tipos de
sanciones
1. Las infracciones leves serán sancionadas con multa de 100.000
a 10.000.000 de pesetas.
2. Las infracciones graves serán sancionadas con multa de
10.000.001 pesetas a 50.000.000 de pesetas.
3. Las infracciones muy graves serán sancionadas con multa de
50.000.001 pesetas a 100.000.000 de pesetas.
4. La cuantía de las sanciones se graduará atendiendo a la
naturaleza de los derechos personales afectados, al volumen de los tratamientos
efectuados, a los beneficios obtenidos, al grado de intencionalidad y a la reincidencia.
5. El Gobierno actualizará periódicamente la cuantía de las
sanciones de acuerdo con las variaciones que experimenten los índices de precios.
Artículo 45. Infracciones
de las Administraciones Públicas
1. Cuando las infracciones a que se refiere el
artículo 43 fuesen cometidas en ficheros de los que
sean responsables las Administraciones Públicas, el Director de la Agencia de Protección
de Datos dictará una resolución estableciendo las medidas que procede adoptar para que
cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al
responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si
los hubiera.
2. El Director de la Agencia podrá proponer también la
iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las
sanciones a aplicar serán las establecidas en la legislación sobre régimen
disciplinario de las Administraciones Públicas.
3. Se deberán comunicar a la Agencia las resoluciones que
recaigan en relación con las medidas y actuaciones a que se refieren los apartados
anteriores.
4. El Director de la Agencia comunicará al Defensor del Pueblo
las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados
anteriores.
Artículo 46. Prescripción
1. Las infracciones muy graves prescribirán a los tres años,
las graves a los dos años y las leves al año.
2. El plazo de prescripción comenzará a contarse desde el día
en que la infracción se hubiera cometido.
3. Interrumpirá la prescripción la iniciación, con
conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de
prescripción si el expediente sancionador estuviere paralizado durante más de seis meses
por causa no imputable al presunto infractor.
4. Las sanciones impuestas por faltas muy graves prescribirán a
los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas
leves al año.
5. El plazo de prescripción de las sanciones comenzará a
contarse desde el día siguiente a aquél en que adquiera firmeza la resolución por la
que se impone la sanción.
6. La prescripción se interrumpirá por la iniciación, con
conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el
plazo si el mismo está paralizado durante más de seis meses por causa no imputable al
infractor.
Artículo 47. Procedimiento
sancionador
1. Por vía reglamentaria se establecerá el procedimiento a
seguir para la determinación de las infracciones y la imposición de las sanciones a que
hace referencia el presente Título.
2. Contra las resoluciones de la Agencia de Protección de Datos,
u órgano correspondiente de la Comunidad Autónoma, procederá recurso contencioso
administrativo.
Artículo 48. Potestad de
inmovilización de ficheros
En los supuestos, constitutivos de infracción muy
grave, de utilización o cesión ilícita de los datos de carácter personal en que se
impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los
ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes
garantizan, el Director de la Agencia de Protección de Datos podrá, además de ejercer
la potestad sancionadora, requerir a los responsables de ficheros automatizados de datos
de carácter personal, tanto de titularidad pública como privada, la cesación en la
utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido la
Agencia de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales
ficheros automatizados a los solos efectos de restaurar los derechos de las personas
afectadas.
DISPOSICIONES ADICIONALES
Primera. Exclusión de la aplicación de los Títulos
VI y VII
Lo dispuesto en los Títulos VI y VII no es de aplicación a los
ficheros automatizados de los que sean titulares las Cortes Generales, el Defensor del
Pueblo, el Tribunal de Cuentas, el Consejo General del Poder Judicial y el Tribunal
Constitucional.
Segunda.
Ficheros existentes con anterioridad a
la entrada en vigor de la Ley
1. Dentro del año siguiente a la entrada en vigor de la presente
Ley Orgánica deberán ser comunicados a la Agencia de Protección de Datos los ficheros y
tratamientos automatizados de datos de carácter personal existentes con anterioridad y
comprendidos dentro de su ámbito de aplicación.
2. Dentro del año siguiente a la entrada en vigor de la presente
Ley Orgánica, las Administraciones Públicas responsables de ficheros automatizados ya
existentes deberán adoptar una disposición de regulación del fichero o adaptar la que
existiera.
Tercera.
Competencias del Defensor del Pueblo
Lo dispuesto en la presente Ley Orgánica se
entiende sin perjuicio de las competencias del Defensor del Pueblo y de los órganos
análogos de las Comunidades Autónomas.
DISPOSICIÓN TRANSITORIA
Única. Adaptaciones complejas a lo establecido en la
Ley
Cuando la adaptación de los ficheros automatizados
a los principios y derechos establecidos en la presente Ley requiera la adopción de
medidas técnicas complejas o el tratamiento de un gran volumen de datos, tales
adaptaciones y tratamientos deberán realizarse en el plazo de un año desde la entrada en
vigor de la Ley, sin perjuicio del cumplimiento, en todo lo demás, de las disposiciones
de la misma.
DISPOSICIÓN DEROGATORIA
Única.-
Derogación de la disposición
transitoria primera de la Ley
Orgánica 1/1982
Queda derogada la disposición transitoria primera
de la Ley Orgánica 1/1982, de 5
de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a
la propia imagen.
DISPOSICIÓN FINAL
Primera. Habilitación de desarrollo reglamentario
El Gobierno dictará las disposiciones necesarias para la
aplicación y desarrollo de la presente Ley, y para regular la estructura orgánica de la
Agencia de Protección de Datos.
Segunda.
Extensión de la aplicación de la Ley a
ficheros convencionales
El Gobierno, previo informe del Director de la Agencia de
Protección de Datos, podrá extender la aplicación de la presente Ley, con las
modificaciones y adaptaciones que fuesen necesarias, a los ficheros que contengan datos
almacenados en forma convencional y que no hayan sido sometidos todavía o no estén
destinados a ser sometidos a tratamiento automatizado.
Tercera.
Preceptos con carácter de Ley ordinaria
Los artículos 18, 19, 23, 26, 27, 28, 29, 30, 31, los Títulos
VI y VII las disposiciones adicionales primera y segunda y la disposición final primera
tienen carácter de Ley ordinaria.
Cuarta. Entrada en vigor
La presente Ley Orgánica entrará en vigor a los tres meses de
su publicación en el "Boletín Oficial del Estado".
Por tanto,
Mando a todos los españoles, particulares y autoridades que
guarden y hagan guardar esta Ley Orgánica.
Madrid, 29 de octubre de 1992.
JUAN CARLOS R.
El Presidente del Gobierno,
FELIPE GONZÁLEZ MÁRQUEZ.
|
