Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Legislación consolidada

Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carcter Personal de Titularidad Pblica y de Creacin de la Agencia Vasca de Proteccin de Datos.

Publicado en: BOPV núm. 44, de 04/03/2004, BOE núm. 279, de 19/11/2011.
Entrada en vigor: 24/03/2004
Departamento: Comunidad Autnoma del Pas Vasco
Referencia: BOE-A-2011-18151
Permalink ELI: https://www.boe.es/eli/es-pv/l/2004/02/25/2/con

TEXTO ORIGINAL: Texto original publicado el 04/03/2004


[Bloque 1: #preambulo]

Se hace saber a todos los ciudadanos y ciudadanas de Euskadi que el Parlamento Vasco ha aprobado la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carcter Personal de Titularidad Pblica y de Creacin de la Agencia Vasca de Proteccin de Datos.

EXPOSICIN DE MOTIVOS

Los avances de la tcnica se han acelerado en los ltimos tiempos. Actualmente, el uso de la informtica permite tratar gran cantidad de datos relativos a las personas fsicas, pudiendo llegar a conocer aspectos relacionados con las mismas que suponen una intromisin en su intimidad. Los ordenamientos jurdicos no pueden permanecer insensibles ante la eventualidad de usos perversos de las posibilidades tecnolgicas, en detrimento de espacios que deben quedar reservados a la intimidad personal.

Esta tensin entre tecnologa, especialmente en el campo de la informtica, e intimidad de las personas apela a una actuacin legislativa que procure un equilibrio satisfactorio entre dos bienes dignos de proteccin jurdica. Por un lado, no es bueno para la sociedad poner freno al desarrollo tecnolgico, cuyas potencialidades son inmensas y deben contribuir a un mayor bienestar de la comunidad; pero, por otro, los ciudadanos tienen derecho a que se les proteja su intimidad personal, evitando que las posibilidades que ofrece la tecnologa informtica actual reduzcan aqulla ms all de lo deseable. Para ello es preciso limitar el uso de la informtica y, de este modo, garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Es ste un mandato que el artculo 18.4 de la Constitucin impone al legislador, y que ste recoge en la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal.

La preocupacin por la proteccin de la intimidad personal y familiar de los ciudadanos, con la consiguiente limitacin del uso de la informtica a tal fin, no es exclusiva del legislador estatal. Tambin las instituciones de la Unin Europea han mostrado su sensibilidad en este sentido.

El Tratado de Amsterdam de 17 de junio de 1997 ha incorporado al tratado constitutivo de la Comunidad Europea su actual artculo 286, que requiere que se apliquen a las instituciones y organismos comunitarios los actos comunitarios relativos a la proteccin de las personas respecto al tratamiento de datos personales y a la libre circulacin de estos datos.

Ya anteriormente, el Parlamento Europeo y el Consejo haban adoptado la Directiva 95/46/CE, de 24 de octubre de 1995, relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos, donde se recoge el principio de que los sistemas de tratamiento de datos estn al servicio del hombre y que deben respetar las libertades y derechos fundamentales de las personas fsicas, en particular la intimidad, y contribuir al progreso econmico y social, al desarrollo de los intercambios y al bienestar de los individuos.

Segn esta directiva, las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los citados derechos y libertades, particularmente el derecho al respeto de la vida privada reconocido en el artculo 8 del Convenio Europeo para la Proteccin de los Derechos Humanos y de las Libertades Fundamentales, as como en los principios generales del Derecho comunitario, y considera que la aproximacin de dichas legislaciones debe tener por objeto asegurar un alto nivel de proteccin.

Para la citada directiva, un elemento esencial de la proteccin de las personas, en lo que respecta a la proteccin de los datos personales, es la creacin de una autoridad de control que ejerza sus funciones con plena independencia en cada uno de los Estados miembros, la cual debe disponer de los medios necesarios para cumplir su funcin, ya se trate de poderes de investigacin o de intervencin.

La directiva da a los estados miembros un plazo de tres aos para la adopcin de las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la misma.

La actuacin de las instituciones comunitarias en materia de proteccin de datos no se ha limitado a las directivas destinadas a los estados miembros, sino que tambin han adoptado medidas destinadas a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios, mediante el Reglamento (CE) nmero 45/2001, del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, el cual incluso instituye una autoridad de control independiente (el Supervisor Europeo de Proteccin de Datos).

Podra decirse que la garanta de un elevado nivel de proteccin de los datos personales y de la intimidad es un principio inspirador de la normativa comunitaria, que tiene su proyeccin incluso en propuestas de directiva cuya finalidad no es propiamente la regulacin de la proteccin de los datos de carcter personal, como es el caso de la propuesta de directiva del Parlamento Europeo y del Consejo relativa a un marco regulador comn de las redes y los servicios de comunicaciones electrnicas (Diario Oficial nm. C 365 E de 19/12/2000).

En el Derecho interno, la proteccin de datos de carcter personal se halla regulada, como decamos antes, en la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, que, adems de otras materias vinculadas con el derecho fundamental al que se refiere el artculo 18.4 de la Constitucin, regula los aspectos bsicos del rgimen jurdico de la Agencia de Proteccin de Datos, que es la que se configura como la autoridad de control independiente a la que se refiere la Directiva 95/46/CE.

La ley orgnica establece que la mayor parte de las funciones asignadas a la citada agencia, cuando afecten a ficheros de datos de carcter personal creados o gestionados por las comunidades autnomas y por la Administracin local de su mbito territorial, sern ejercidas por los rganos correspondientes de cada comunidad, que tendrn la consideracin de autoridades de control, a los que garantizarn plena independencia y objetividad en el ejercicio de su cometido. Criterio legal que es acorde con el artculo 28 de la Directiva 95/46/CE, segn el cual los estados miembros dispondrn de una o ms autoridades pblicas que se encargarn de vigilar la aplicacin, en su territorio, de las disposiciones adoptadas por ellos de acuerdo con la citada directiva, y aade que dichas autoridades ejercern las funciones que les son atribuidas con total independencia.

Desde el punto de vista de su ordenacin sistemtica, la ley se halla dividida en tres ttulos.

En el ttulo I, de disposiciones generales, se concretan el objeto y el mbito de aplicacin de la ley, delimitando los ficheros que quedan bajo su regulacin atendiendo a la Administracin pblica, institucin o corporacin que los crea o gestiona. La citada delimitacin se completa con la enumeracin de los ficheros a los que no se aplicar la ley y de aquellos en los que sta ser de aplicacin limitada, por tener regmenes especficos. Contiene tambin una lista de definiciones muy til para precisar y unificar la terminologa especfica de la materia objeto de regulacin; se regulan aspectos relacionados con la creacin, modificacin y supresin de ficheros, limitaciones a la recogida de datos de carcter personal, informacin a los interesados y seguridad de los ficheros de datos, as como el procedimiento de reclamacin ante la Agencia Vasca de Proteccin de Datos. Se trata de un ttulo necesario para dar coherencia sistemtica e integridad a la ley, que requerir de un desarrollo posterior.

En el ttulo II se crea la Agencia Vasca de Proteccin de Datos y se regulan los aspectos fundamentales de su rgimen jurdico. Contiene preceptos relativos al rgimen del personal a su servicio, recursos econmicos, rgimen presupuestario, rganos de gobierno, funciones y potestades. Es de resaltar la creacin del Registro de Proteccin de Datos como rgano necesario de la agencia.

El ttulo III est dedicado al rgimen sancionador. En l se delimitan los sujetos responsables, se tipifican las infracciones y se establecen las sanciones correspondientes. Como dice el Reglamento (CE) nmero 45/2001, antes citado, un sistema de proteccin de datos personales requiere establecer derechos y obligaciones, pero tambin sanciones apropiadas para los infractores. En nuestro caso, dadas las caractersticas especiales de los titulares de los ficheros, se presta especial atencin al supuesto de infracciones cometidas por el personal al servicio de las administraciones, instituciones y corporaciones a cuyos ficheros se aplica la ley.

La ley contiene tres disposiciones adicionales, relativas a la necesaria comunicacin de los ficheros existentes a la Agencia Vasca de Proteccin de Datos, a la utilizacin de los datos del padrn municipal por las administraciones autonmica y forales para el ejercicio de sus competencias, y al necesario respeto de las competencias del Ararteko y de la Agencia de Proteccin de Datos del Estado.

Concluye con una disposicin final, en la que se autoriza al Gobierno Vasco para su desarrollo y aplicacin.


[Bloque 2: #ti]

TTULO I

Disposiciones generales


[Bloque 3: #a1]

Artculo 1. Objeto.

La presente ley tiene por objeto:

1. La regulacin de los ficheros de datos de carcter personal creados o gestionados por la Comunidad Autnoma del Pas Vasco, los rganos forales de los territorios histricos y las administraciones locales de la Comunidad Autnoma del Pas Vasco.

2. La creacin y regulacin de la Agencia Vasca de Proteccin de Datos.


[Bloque 4: #a2]

Artculo 2. mbito de aplicacin.

1. La presente ley ser aplicable a los ficheros de datos de carcter personal creados o gestionados, para el ejercicio de potestades de derecho pblico, por:

a) La Administracin General de la Comunidad Autnoma, los rganos forales de los territorios histricos y las administraciones locales del mbito territorial de la Comunidad Autnoma del Pas Vasco, as como los entes pblicos de cualquier tipo, dependientes o vinculados a las respectivas administraciones pblicas, en tanto que los mismos hayan sido creados para el ejercicio de potestades de derecho pblico.

b) El Parlamento Vasco.

c) El Tribunal Vasco de Cuentas Pblicas.

d) El Ararteko.

e) El Consejo de Relaciones Laborales.

f) El Consejo Econmico y Social.

g) El Consejo Superior de Cooperativas.

h) La Agencia Vasca de Proteccin de Datos.

i) La Comisin Arbitral.

j) Las corporaciones de derecho pblico, representativas de intereses econmicos y profesionales, de la Comunidad Autnoma del Pas Vasco.

k) Cualesquiera otros organismos o instituciones, con o sin personalidad jurdica, creados por ley del Parlamento Vasco, salvo que sta disponga lo contrario.

2. No obstante lo dispuesto en el nmero anterior, esta ley no ser de aplicacin a los ficheros:

a) Sometidos a la normativa sobre proteccin de materias clasificadas.

b) Establecidos para la investigacin del terrorismo y de formas graves de delincuencia organizada.

c) Regulados por la legislacin de rgimen electoral.

d) Procedentes de imgenes y sonidos obtenidos mediante la utilizacin de videocmaras por los cuerpos de Polica del Pas Vasco, de conformidad con la legislacin sobre la materia.

3. Se regirn por sus disposiciones especficas y, en su caso, por lo especialmente previsto en esta ley los tratamientos de datos personales que sirvan a fines exclusivamente estadsticos y estn amparados por la legislacin sobre la funcin estadstica pblica.

4. Las instituciones y centros sanitarios de carcter pblico y los profesionales a su servicio podrn proceder al tratamiento de los datos de carcter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratadas en los mismos, de acuerdo con lo dispuesto en la legislacin sectorial sobre sanidad, sin perjuicio de la aplicacin de lo dispuesto en esta ley en todo lo que no sea incompatible con aquella legislacin.

5. La aplicacin de lo dispuesto en esta ley a los ficheros de datos de carcter personal, distintos de los citados en el nmero 2 de este artculo, creados o gestionados por los cuerpos de Polica del Pas Vasco se efectuar sin perjuicio de las especificidades de su rgimen jurdico previstas en la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, y en la Ley 4/1992, de 17 de julio, de Polica del Pas Vasco.


[Bloque 5: #a3]

Artculo 3. Definiciones.

A los efectos de esta ley se entender por:

a) Datos de carcter personal: cualquier informacin concerniente a personas fsicas identificadas o identificables. Se considerar identificable toda persona cuya identidad pueda determinarse directa o indirectamente, en particular mediante un nmero de identificacin o uno o varios elementos especficos caractersticos de su identidad fsica, fisiolgica, psquica, econmica, cultural o social.

b) Fichero: todo conjunto organizado de datos de carcter personal, cualquiera que fuera la forma o modalidad de su creacin, almacenamiento, organizacin y acceso.

c) Tratamiento de datos: operaciones y procedimientos tcnicos, de carcter automatizado o no, que permitan la recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo y cancelacin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

d) Responsable del fichero o tratamiento: persona, institucin, entidad, corporacin u rgano administrativo al que est adscrito el fichero y que decide sobre la finalidad, contenido y uso del tratamiento. La disposicin por la que se cree el fichero determinar el responsable del mismo. Sus funciones sern las establecidas en el documento de seguridad.

e) Afectado o interesado: persona fsica titular de los datos que sean objeto del tratamiento a que se refiere la letra c) de este artculo.

f) Encargado del tratamiento: persona fsica o jurdica, autoridad pblica, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

g) Consentimiento del interesado: toda manifestacin de voluntad, libre, inequvoca, especfica e informada, mediante la que el interesado consienta el tratamiento de datos personales que la conciernen.

h) Cesin o comunicacin de datos: toda revelacin de datos realizada a persona distinta del interesado.


[Bloque 6: #a4]

Artculo 4. Creacin, modificacin y supresin de ficheros.

1. La creacin, modificacin y supresin de ficheros de la Administracin de la Comunidad Autnoma se realizar por orden del titular del departamento al que est adscrito el fichero, la cual deber contener todas las menciones exigidas por la legislacin en vigor y ser objeto de publicacin en el Boletn Oficial del Pas Vasco. El procedimiento de elaboracin de la citada orden ser el previsto para la elaboracin de disposiciones de carcter general.

2. En el caso de ficheros de datos de carcter personal de otras administraciones, instituciones o corporaciones, el acuerdo o disposicin por la que se cree, modifique o suprima deber contener todas las menciones exigidas y ser publicada en el Boletn Oficial del Pas Vasco o del territorio histrico, segn sea el mbito territorial al que se extienden sus funciones o competencias.


[Bloque 7: #a5]

Artculo 5. Recogida de datos de carcter personal.

Las administraciones pblicas y dems instituciones, corporaciones y entidades a que se refiere el artculo 2.1 de esta ley slo podrn recoger datos de carcter personal para su tratamiento cuando sean adecuados, pertinentes y no excesivos para el ejercicio de las respectivas competencias que tienen atribuidas. Salvo precepto legal en sentido contrario, para la obtencin de dichos datos no ser preciso recabar el consentimiento de los afectados, pero slo podrn utilizarse para las finalidades determinadas, explcitas y legtimas para las que se hubieran obtenido, sin perjuicio de su posible tratamiento posterior para fines histricos, estadsticos o cientficos, de acuerdo con la legislacin aplicable.


[Bloque 8: #a6]

Artculo 6. Informacin a los interesados.

Los interesados a los que se soliciten datos de carcter personal sern previamente informados, de conformidad con la legislacin sobre proteccin de dichos datos. No obstante, cuando los datos no hayan sido recabados del propio interesado y la informacin a ste resulte imposible o exija esfuerzos desproporcionados, en consideracin al nmero de interesados, a la antigedad de los datos y a las posibles medidas compensatorias, el director de la Agencia Vasca de Proteccin de Datos, de acuerdo con la susodicha legislacin, podr dispensar al responsable del fichero de la obligacin de informar a los interesados.


[Bloque 9: #a7]

Artculo 7. Aprobacin del contenido mnimo del documento de seguridad.

En el ejercicio de sus potestades de autoorganizacin, los rganos de gobierno de las administraciones pblicas, instituciones y corporaciones a que se refiere el artculo 2.1 de esta ley podrn aprobar, en aplicacin de los preceptos relativos a la seguridad de los datos y para aplicar a todos o parte de los ficheros de los que son titulares sus respectivas administraciones, instituciones o corporaciones, el contenido mnimo del documento de seguridad que, en todo caso, debern elaborar e implantar los responsables de fichero para garantizar la seguridad de los datos de carcter personal contenidos en los citados ficheros.


[Bloque 10: #a8]

Artculo 8. Procedimiento para el ejercicio de los derechos de los interesados.

1. Los interesados podrn ejercitar los derechos de oposicin, acceso, rectificacin, cancelacin y cualesquiera otros que les reconozca la ley. El contenido material de los mismos ser el determinado en la ley.

2. Cada administracin, institucin o corporacin regular reglamentariamente el procedimiento para el ejercicio de los derechos sealados en el nmero anterior, en relacin con los ficheros de su titularidad a los que es de aplicacin esta ley. No se exigir contraprestacin alguna por ello.


[Bloque 11: #a9]

Artculo 9. Reclamaciones ante la Agencia Vasca de Proteccin de Datos.

1. Las actuaciones contrarias a lo dispuesto en esta ley pueden ser objeto de reclamacin por los interesados ante la Agencia Vasca de Proteccin de Datos, en la forma que reglamentariamente se determine.

2. El interesado al que se deniegue, total o parcialmente, el ejercicio del derecho de oposicin, acceso, rectificacin, cancelacin o cualquier otro que le reconozca la legislacin sobre proteccin de datos de carcter personal, podr ponerlo en conocimiento de la Agencia Vasca de Proteccin de Datos, que deber asegurarse de la procedencia o improcedencia de la denegacin.

3. El plazo mximo en que se debe dictar y notificar la resolucin expresa de tutela de derechos es de seis meses, entendindose el silencio administrativo como desestimatorio de la tutela pedida.

4. Contra las resoluciones de la Agencia Vasca de Proteccin de Datos proceder recurso contencioso-administrativo. Podr interponerse con carcter previo, potestativamente, recurso de reposicin.


[Bloque 12: #tii]

TTULO II

La Agencia Vasca de Proteccin de Datos


[Bloque 13: #a10]

Artculo 10. Creacin y rgimen jurdico.

1. Se crea la Agencia Vasca de Proteccin de Datos como ente de derecho pblico, con personalidad jurdica propia y plena capacidad pblica y privada, que acta con plena independencia de las administraciones pblicas en el ejercicio de sus funciones. Se regir por lo dispuesto en esta ley y en su estatuto propio, que ser aprobado por decreto del Gobierno Vasco a propuesta de la Vicepresidencia.

2. La Agencia Vasca de Proteccin de Datos sujetar su actividad a la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn, cuando ejerza potestades administrativas. En el resto de su actividad se someter a lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, en esta ley y en las disposiciones de desarrollo de las mismas.

3. La Agencia Vasca de Proteccin de Datos estar sujeta al derecho pblico vigente en materia de adquisiciones patrimoniales y contratacin. Sus bienes y derechos pertenecern al patrimonio de la Comunidad Autnoma del Pas Vasco.

4. La representacin y defensa en juicio de la Agencia Vasca de Proteccin de Datos estar a cargo de los servicios jurdicos de la Administracin de la Comunidad Autnoma del Pas Vasco, conforme a lo dispuesto en sus normas reguladoras.


[Bloque 14: #a11]

Artculo 11. Personal.

1. Los puestos de trabajo de la Agencia Vasca de Proteccin de Datos sern desempeados por funcionarios de las administraciones pblicas e instituciones a que se refiere el artculo 2.1 de esta ley y por personal contratado al efecto, segn la naturaleza de las funciones asignadas a cada puesto de trabajo. Este personal estar obligado a guardar secreto respecto a los datos de carcter personal que conozca en el desarrollo de su funcin.

2. El personal al servicio de la Agencia Vasca de Proteccin de Datos estar sometido a la normativa reguladora de la funcin pblica en la Administracin General de la Comunidad Autnoma. De conformidad con la misma, corresponde a la Agencia Vasca de Proteccin de Datos determinar el rgimen de acceso a sus puestos de trabajo, los requisitos y las caractersticas de las pruebas de seleccin, as como la convocatoria, gestin y resolucin de los procedimientos de provisin de puestos de trabajo y promocin profesional.

3. Los puestos de trabajo que comporten el ejercicio de potestades pblicas estarn reservados a personal funcionario.


[Bloque 15: #a12]

Artculo 12. Recursos.

La Agencia Vasca de Proteccin de Datos contar, para el cumplimiento de sus fines, con los siguientes bienes y medios econmicos:

a) Las asignaciones que se establezcan anualmente con cargo a los Presupuestos Generales de la Comunidad Autnoma.

b) Las subvenciones y aportaciones que se concedan a su favor.

c) Los ingresos, ordinarios y extraordinarios, derivados del ejercicio de sus actividades.

d) Los bienes y valores que constituyan su patrimonio, as como los productos y rentas del mismo.

e) Cualesquiera otros que legalmente puedan serle atribuidos.


[Bloque 16: #a13]

Artculo 13. Presupuesto.

La Agencia Vasca de Proteccin de Datos elaborar y aprobar con carcter anual el correspondiente anteproyecto de presupuesto y lo remitir al Gobierno Vasco para que sea integrado, con la debida independencia, en los Presupuestos Generales de la Comunidad Autnoma, de acuerdo con la legislacin reguladora del rgimen presupuestario de la Comunidad Autnoma del Pas Vasco. Estar sometida a esta legislacin en lo relativo al rgimen de modificacin, ejecucin y liquidacin de su presupuesto, atendiendo a estos efectos a la naturaleza de la entidad; al rgimen de contabilidad pblica y al control econmico financiero y de gestin del Departamento de Hacienda y Administracin Pblica de la Administracin de la Comunidad Autnoma, sin perjuicio de la fiscalizacin de sus actividades econmico-financieras y contables por el Tribunal Vasco de Cuentas Pblicas.


[Bloque 17: #a14]

Artculo 14. rganos de gobierno.

Son rganos de gobierno de la Agencia Vasca de Proteccin de Datos el director, el Consejo Consultivo y aquellos otros que se establezcan en su estatuto propio.


[Bloque 18: #a15]

Artculo 15. El director.

1. El director de la Agencia Vasca de Proteccin de Datos dirige la agencia y ostenta su representacin. Ser nombrado por decreto del Gobierno Vasco, por un periodo de cuatro aos.

2. Ejercer sus funciones con plena independencia y objetividad, y no estar sujeto a instruccin alguna en el desempeo de aquellas. No obstante, el director deber or al Consejo Consultivo en aquellas propuestas que ste le realice en el ejercicio de sus funciones.

3. El director de la Agencia Vasca de Proteccin de Datos slo cesar antes de la expiracin de su periodo por alguna de las siguientes causas:

a) A peticin propia.

b) Por separacin, acordada por el Consejo de Gobierno, previa instruccin de expediente, en el que necesariamente ser odo el Consejo Consultivo, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su funcin, incompatibilidad o condena por delito doloso.

4. El director de la Agencia Vasca de Proteccin de Datos tendr la consideracin de alto cargo, quedar en la situacin de servicios especiales si anteriormente estuviera desempeando una funcin pblica, y estar sometido al rgimen de incompatibilidades de los altos cargos de la Administracin de la Comunidad Autnoma.


[Bloque 19: #a16]

Artculo 16. El Consejo Consultivo.

1. El director de la Agencia Vasca de Proteccin de Datos estar asesorado por un Consejo Consultivo compuesto por los siguientes miembros:

a) Un representante del Parlamento Vasco, designado por ste.

b) Un representante de la Administracin de la Comunidad Autnoma del Pas Vasco, designado por el Consejo de Gobierno.

c) Un representante de los territorios histricos, designado por stos de comn acuerdo.

d) Un representante de las entidades locales del mbito territorial de la Comunidad Autnoma del Pas Vasco, designado por la asociacin ms representativa de las mismas en el citado mbito territorial.

e) Dos expertos, uno en informtica y otro en el mbito de los derechos fundamentales, designados por la Universidad del Pas Vasco previa consulta a las corporaciones de derecho pblico de la Comunidad Autnoma del Pas Vasco.

2. El Consejo Consultivo aprobar sus propias normas de organizacin y funcionamiento, en las que se prevern las figuras de presidente y secretario, as como el sistema para su eleccin o designacin.


[Bloque 20: #a17]

Artculo 17. Funciones.

1. Son funciones de la Agencia Vasca de Proteccin de Datos, en relacin con los ficheros a que se refiere el artculo 2.1 de esta ley y en el mbito de las competencias de la Comunidad Autnoma del Pas Vasco:

a) Velar por el cumplimiento de la legislacin sobre proteccin de datos y controlar su aplicacin, en especial en lo relativo a los derechos de informacin, acceso, rectificacin, oposicin y cancelacin de datos.

b) Emitir las autorizaciones previstas en las leyes y reglamentos.

c) Dictar, en su caso, y sin perjuicio de las competencias de otros rganos, las instrucciones precisas para adecuar los tratamientos a los principios de la legislacin vigente en materia de proteccin de datos.

d) Atender las peticiones y reclamaciones formuladas por los afectados.

e) Proporcionar informacin a las personas acerca de sus derechos en materia de tratamiento de los datos de carcter personal.

f) Requerir a los responsables y a los encargados de los tratamientos, previa audiencia de stos, la adopcin de las medidas necesarias para la adecuacin del tratamiento de datos a la legislacin en vigor y, en su caso, ordenar la cesacin de los tratamientos y la cancelacin de los ficheros cuando no se ajuste a dicha legislacin, salvo en la que se refiera a transferencias internacionales de datos.

g) Ejercer la potestad sancionadora y, en su caso, proponer la iniciacin de procedimientos disciplinarios contra quienes estime responsables de las infracciones tipificadas en el artculo 22 de esta ley, as como adoptar las medidas cautelares que procedan, salvo en lo que se refiera a las transferencias internacionales de datos. Todo ello en los trminos previstos en esta ley.

h) Informar, con carcter preceptivo, los proyectos de disposiciones generales que desarrollen esta ley.

i) Recabar de los responsables de los ficheros cuanta ayuda e informacin estime necesaria para el desempeo de sus funciones.

j) Velar por la publicidad de la existencia de los ficheros de datos con carcter personal, a cuyo efecto publicar anualmente una relacin de dichos ficheros con la informacin adicional que el director de la Agencia Vasca de Proteccin de Datos determine.

k) Redactar una memoria anual y remitirla a la Vicepresidencia del Gobierno Vasco.

l) Velar por el cumplimiento de las disposiciones que la legislacin sobre la funcin estadstica pblica establece respecto a la recogida de datos estadsticos y al secreto estadstico, as como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadsticos y ejercer la potestad a la que se refiere el artculo 24.

m) Colaborar con la Agencia de Proteccin de Datos del Estado y entidades similares de otras comunidades autnomas en cuantas actividades sean necesarias para una mejor proteccin de la seguridad de los ficheros de datos de carcter personal y de los derechos de los ciudadanos en relacin con los mismos.

n) Atender a las consultas que en materia de proteccin de datos de carcter personal le formulen las administraciones pblicas, instituciones y corporaciones a que se refiere el artculo 2.1 de esta ley, as como otras personas fsicas o jurdicas, en relacin con los tratamientos de datos de carcter personal incluidos en el mbito de aplicacin de esta ley.

) Cuantas otras le sean atribuidas por las leyes y reglamentos.

2. A los efectos de las funciones a que se refiere el nmero anterior, la Agencia Vasca de Proteccin de Datos tendr la consideracin de autoridad de control, y la ley le garantiza la plena independencia y objetividad en el ejercicio de su cometido.


[Bloque 21: #a18]

Artculo 18. Registro de Proteccin de Datos.

1. Se crea el Registro de Proteccin de Datos, como rgano integrado en la Agencia Vasca de Proteccin de Datos en los trminos que se establezcan en los estatutos de sta.

2. Sern objeto de inscripcin en el Registro de Proteccin de Datos:

a) Los ficheros a los que se refiere el artculo 2.1 de esta ley.

b) Las autorizaciones a las que se refiere la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal.

c) Los cdigos tipo que afecten a los ficheros inscritos.

d) Los datos relativos a los ficheros inscritos que sean necesarios para el ejercicio de los derechos de informacin, acceso, rectificacin, cancelacin y oposicin.

3. El Registro de Proteccin de Datos podr denegar la inscripcin solicitada cuando considere que la peticin no se ajusta a derecho. En este caso, el director de la Agencia Vasca de Proteccin de Datos deber requerir al solicitante para que efecte las correcciones oportunas.

4. Reglamentariamente se regular el procedimiento de inscripcin de los ficheros a los que se refiere el artculo 2.1 de esta ley en el Registro de Proteccin de Datos, el contenido de la inscripcin, su modificacin, cancelacin, reclamaciones y recursos contra las resoluciones correspondientes, y dems extremos pertinentes.

5. El Registro de Proteccin de Datos ser de consulta pblica y gratuita. Cualquier persona podr conocer, recabando la informacin oportuna del citado registro, la existencia de tratamientos de datos de carcter personal, sus finalidades y la identidad del responsable del tratamiento.


[Bloque 22: #a19]

Artculo 19. Potestad de inspeccin.

1. La Agencia Vasca de Proteccin de Datos, como autoridad de control, podr inspeccionar los ficheros a los que se refiere el artculo 2.1 de esta ley, recabando cuanta informacin precise para el cumplimiento de su cometido. A tal efecto, podr solicitar la exhibicin o el envo de documentos y datos y examinarlos en el lugar en que se encuentren depositados, as como inspeccionar los equipos fsicos y lgicos utilizados para el tratamiento de datos, accediendo a los locales donde se hallen instalados.

2. Los funcionarios que ejerzan la inspeccin a que se refiere el nmero anterior tendrn la consideracin de autoridad pblica en el desempeo de sus cometidos, y estarn obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de sus funciones, incluso despus de haber cesado en las mismas.


[Bloque 23: #a20]

Artculo 20. Requerimientos a los titulares de los ficheros.

Cuando el director de la Agencia Vasca de Proteccin de Datos constate que el mantenimiento y uso de un determinado fichero incluido en el mbito de aplicacin de esta ley contraviene algn precepto de la misma o de las disposiciones que la desarrollen, podr requerir a la administracin pblica, institucin o corporacin titular del fichero que adopte las medidas correctoras que determine en el plazo que expresamente se fije en el requerimiento. Si la administracin requerida incumpliera el requerimiento formulado, el director de la Agencia Vasca de Proteccin de Datos, sin perjuicio de otras medidas que pueda adoptar de acuerdo con el artculo 17.f) de esta ley, podr recurrir la resolucin o la actitud omisiva adoptada por aquella administracin, teniendo, a estos efectos, la condicin de interesado.


[Bloque 24: #tiii]

TTULO III

Rgimen sancionador


[Bloque 25: #a21]

Artculo 21. Responsables.

Los responsables de los ficheros a los que se refiere el artculo 2.1 de esta ley y los encargados de los tratamientos de los mismos estarn sujetos al rgimen de infracciones y sanciones establecido en esta ley.


[Bloque 26: #a22]

Artculo 22. Tipos de infracciones.

1. Las infracciones se calificarn como leves, graves o muy graves.

2. Son infracciones leves:

a) No atender, por motivos formales, la solicitud del interesado de rectificacin o cancelacin de los datos personales objeto de tratamiento, cuando legalmente proceda.

b) No proporcionar la informacin que solicite la Agencia Vasca de Proteccin de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relacin con aspectos no sustantivos de la proteccin de datos.

c) No solicitar la inscripcin del fichero de datos de carcter personal en el Registro de Proteccin de Datos, cuando no sea constitutivo de infraccin grave.

d) Proceder a la recogida de datos de carcter personal de los propios afectados sin proporcionarles la informacin legalmente exigida.

e) Incumplir el deber de secreto legalmente establecido, salvo que constituya infraccin grave.

3. Son infracciones graves:

a) Proceder a la creacin de ficheros, o iniciar la recogida de datos de carcter personal para los mismos, sin autorizacin de disposicin general publicada en el Boletn Oficial del Pas Vasco o en el del territorio histrico correspondiente.

b) Proceder a la recogida de datos de carcter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que ste sea exigido.

c) Tratar los datos de carcter personal o usarlos posteriormente con conculcacin de los principios y garantas legalmente establecidos o con incumplimiento de los preceptos de proteccin que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infraccin muy grave.

d) El impedimento o la obstaculizacin del ejercicio de los derechos de acceso y oposicin y la negativa a facilitar la informacin que sea solicitada.

e) Mantener datos de carcter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente proceda cuando resulten afectados los derechos de las personas amparadas por la legislacin de proteccin de datos de carcter personal.

f) La vulneracin del deber de guardar secreto sobre los datos de carcter personal incorporados a ficheros que contengan datos relativos a la comisin de infracciones administrativas o penales o a Hacienda pblica, as como aquellos otros ficheros que contengan un conjunto de datos de carcter personal suficientes para obtener una evaluacin de la personalidad del individuo.

g) Mantener los ficheros, locales, programas o equipos que contengan datos de carcter personal sin las debidas condiciones de seguridad.

h) No remitir a la Agencia Vasca de Proteccin de Datos las comunicaciones previstas en las leyes y reglamentos, as como no proporcionar a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aqulla a tales efectos.

i) La obstruccin al ejercicio de la funcin inspectora.

j) No inscribir el fichero de datos de carcter personal en el Registro de Proteccin de Datos, cuando haya sido requerido para ello por el director de la Agencia Vasca de Proteccin de Datos.

k) Incumplir el deber de informacin legalmente establecido, cuando los datos hayan sido recabados de persona distinta del afectado.

4. Son infracciones muy graves:

a) La recogida de datos en forma engaosa y fraudulenta.

b) La comunicacin o cesin de datos de carcter personal, fuera de los casos en que estn permitidas.

c) Recabar y tratar datos de carcter personal que revelen ideologa, afiliacin sindical, religin o creencias, cuando no medie consentimiento expreso del afectado.

d) Recabar y tratar datos referidos al origen racial, a la salud o a la vida sexual, cuando no lo disponga una ley o el afectado no haya consentido expresamente.

e) Crear ficheros con la finalidad exclusiva de almacenar datos de carcter personal que revelen la ideologa, afiliacin sindical, religin, creencias, origen racial o tnico o vida sexual.

f) No cesar en el uso ilegtimo de los tratamientos de datos de carcter personal cuando sea requerido para ello por el director de la Agencia Vasca de Proteccin de Datos o por los titulares del derecho de acceso.

g) Tratar los datos de carcter personal de forma ilegtima o con menosprecio de los principios y garantas que les sean de aplicacin, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.

h) La vulneracin del deber de guardar secreto sobre los datos de carcter personal a que hace referencia la letra e) de este mismo apartado, as como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.

i) No atender u obstaculizar de forma sistemtica el ejercicio de los derechos de acceso, rectificacin, cancelacin u oposicin.

j) No atender de forma sistemtica el deber legal de notificacin de la inclusin de datos de carcter personal en un fichero.

5. La tipificacin de infracciones que contiene este artculo se entiende sin perjuicio de las tipificadas en la legislacin estatal sobre proteccin de datos, en aquellos aspectos sobre los que la Comunidad Autnoma del Pas Vasco carece de competencia.


[Bloque 27: #a23]

Artculo 23. Tipos de sanciones.

1. Las infracciones leves sern sancionadas con multa de 601,01 a 60.101,21 euros.

2. Las infracciones graves sern sancionadas con multa de 60.101,21 a 300.506,05 euros.

3. Las infracciones muy graves sern sancionadas con multa de 300.506,05 a601.012,1 euros.

4. La cuanta de las sanciones se graduar atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daos y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuacin infractora.

5. Si, en razn de las circunstancias concurrentes, se apreciara una cualificada disminucin de la culpabilidad del imputado o de la antijuridicidad del hecho, el rgano sancionador establecer la cuanta de la sancin aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aqulla en que se integra la considerada en el caso de que se trate.

6. En ningn caso podr imponerse una sancin ms grave que la fijada en la ley para la clase de infraccin en la que se integre la que se pretenda sancionar.

7. El Gobierno Vasco actualizar peridicamente la cuanta de las sanciones, de acuerdo con las variaciones que experimenten los ndices de precios.


[Bloque 28: #a24]

Artculo 24. Infracciones cometidas por las administraciones pblicas, instituciones y corporaciones de Derecho pblico.

1. Cuando, instruido el correspondiente procedimiento, se llegue a la conclusin de que se ha cometido alguna o algunas de las infracciones a que se refiere el artculo anterior, en relacin con los ficheros a que se refiere el artculo 2.1 de esta ley, el director de la Agencia Vasca de Proteccin de Datos dictar una resolucin estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infraccin. Esta resolucin se notificar al responsable del fichero, al rgano del que dependa jerrquicamente y a los afectados, si los hubiera, y la misma agota la va administrativa.

2. El director de la Agencia Vasca de Proteccin de Datos podr proponer tambin la iniciacin de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar sern los establecidos en la legislacin reguladora del rgimen disciplinario de los funcionarios y personal al servicio de las administraciones pblicas, instituciones y corporaciones a las que se refiere el artculo 2.1 de esta ley. A estos efectos, las infracciones tipificadas en esta ley completarn el rgimen disciplinario que sea de aplicacin.

3. En el supuesto de que haya que seguir un procedimiento sancionador, se estar a lo dispuesto en la Ley 2/1998, de 20 de febrero, de la Potestad Sancionadora de las Administraciones Pblicas de la Comunidad Autnoma del Pas Vasco.

4. Se debern comunicar a la Agencia Vasca de Proteccin de Datos las resoluciones que recaigan en relacin con las medidas y actuaciones a que se refieren los nmeros anteriores.

5. El director de la Agencia Vasca de Proteccin de Datos comunicar al Ararteko las actuaciones que efecte y las resoluciones que dicte al amparo de los nmeros anteriores.


[Bloque 29: #a25]

Artculo 25. Inmovilizacin de ficheros.

En los supuestos, constitutivos de infraccin muy grave, de utilizacin o cesin ilcita de los datos de carcter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitucin y las leyes garantizan, el director de la Agencia Vasca de Proteccin de Datos podr requerir a los responsables de ficheros de datos de carcter personal la cesacin en la utilizacin o cesin ilcita de los datos. Si el requerimiento fuera desatendido, podr, mediante resolucin motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas.


[Bloque 30: #daprimera]

Disposicin adicional primera. Comunicacin de ficheros a la Agencia Vasca de Proteccin de Datos.

Las administraciones pblicas, instituciones y corporaciones a que se refiere el artculo 2.1) de esta ley comunicarn a la Agencia Vasca de Proteccin de Datos, en el plazo de tres meses a partir de la entrada en vigor de esta ley, los ficheros de datos de carcter personal sealados en aquel precepto que sean de su titularidad. Previamente debern tener aprobada y publicada la disposicin reguladora del correspondiente fichero.


[Bloque 31: #dasegunda]

Disposicin adicional segunda. Comunicacin de datos del padrn.

1. Las administraciones general y forales de la Comunidad Autnoma del Pas Vasco podrn solicitar al Euskal Estatistika-Erakundea/Instituto Vasco de Estadstica, en los trminos que se establecen en la disposicin adicional segunda de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, y artculo17.3 de la Ley 7/1985, de 2 de abril, reguladora de las Bases del Rgimen Local, sin consentimiento del interesado, una copia actualizada del fichero formado con los datos del nombre, apellidos, domicilio, sexo y fecha de nacimiento que constan en los padrones municipales de habitantes correspondientes a los territorios donde ejerzan sus competencias, para la creacin de ficheros o registros de poblacin. Estos ficheros o registros de poblacin tendrn como finalidad la comunicacin de los distintos rganos de cada administracin pblica con los interesados residentes en los respectivos territorios, respecto a las relaciones jurdico-administrativas derivadas de las competencias respectivas de las administraciones pblicas.

2. A los efectos de lo dispuesto en el prrafo anterior, se modifica el artculo 29 de la Ley 4/1986, de 28 de abril, de Estadstica de la Comunidad Autnoma de Euskadi, en los siguientes trminos: la redaccin actual del citado precepto queda como nmero 1 del mismo, al que se aade un nmero 2 con el siguiente texto:

2. El Euskal Estatistika-Erakundea/Instituto Vasco de Estadstica actuar tambin como depositario de copias de los padrones municipales de todos los municipios de la Comunidad Autnoma del Pas Vasco, a cuyos efectos stos le debern remitir copias de los citados registros administrativos en los trminos que se establezcan reglamentariamente.


[Bloque 32: #datercera]

Disposicin adicional tercera. Competencias del Ararteko y de la Agencia de Proteccin de Datos del Estado.

Lo dispuesto en esta ley se entiende sin perjuicio de las competencias que tengan atribuidas el Ararteko y la Agencia de Proteccin de Datos del Estado.


[Bloque 33: #df]

Disposicin final. Desarrollo y aplicacin.

1. Se autoriza al Gobierno Vasco para el desarrollo y aplicacin de lo dispuesto en esta ley.

2. Se autoriza al Departamento de Hacienda y Administracin Pblica para crear la seccin presupuestaria correspondiente y para realizar, de acuerdo con la legislacin reguladora del rgimen presupuestario de la Comunidad Autnoma del Pas Vasco, las modificaciones presupuestarias precisas para la aplicacin de lo dispuesto en esta ley.


[Bloque 34: #firma]

Por consiguiente, ordeno a todos los ciudadanos y ciudadanas de Euskadi, particulares y autoridades, que la guarden y hagan guardarla.

Vitoria-Gasteiz, 26 de febrero de 2004.–El Lehendakari, Juan Jos Ibarretxe Markuartu.

Este documento es de carácter informativo y no tiene valor jurídico.

Dudas o sugerencias: Servicio de atención al ciudadano

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid