Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-1992-24189

Ley Orgnica 5/1992, de 29 de octubre, de regulacin del tratamiento automatizado de los datos de carcter personal.

TEXTO

JUAN CARLOS I,

REY DE ESPAA

A todos los que la presente vieren y entendieren.

Sabed: Que las Cortes Generales han aprobado y Yo vengo en sancionar la siguiente Ley Orgnica:

Exposicin de motivos

1

La Constitucin espaola, en su artculo 18.4, emplaza al legislador a limitar el uso de la informtica para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legtimo ejercicio de sus derechos. La an reciente aprobacin de nuestra Constitucin y, por tanto, su moderno carcter, le permiti expresamente la articulacin de garantas contra la posible utilizacin torticera de ese fenmeno de la contemporaneidad que es la informtica.

El progresivo desarrollo de las tcnicas de recoleccin y almacenamiento de datos y de acceso a los mismos ha expuesto a la privacidad, en efecto, a una amenaza potencial antes desconocida. Ntese que se habla de la privacidad y no de la intimidad: Aqulla es ms amplia que sta, pues en tanto la intimidad protege la esfera en que se desarrollan las facetas ms singularmente reservadas de la vida de la persona -el domicilio donde realiza su vida cotidiana, las comunicaciones en las que expresa sus sentimientos, por ejemplo-, la privacidad constituye un conjunto, ms amplio, ms global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significacin intrnseca pero que, coherentemente enlazadas entre s, arrojan como precipitado un retrato de la personalidad del individuo que ste tiene derecho a mantener reservado.

Y si la intimidad, en sentido estricto, est suficientemente protegida por las previsiones de los tres primeros prrafos del artculo 18 de la Constitucin y por las leyes que los desarrollan, la privacidad puede resultar menoscabada por la utilizacin de las tecnologas informticas de tan reciente desarrollo.

Ello es as porque, hasta el presente, las fronteras de la privacidad estaban defendidas por el tiempo y el espacio. El primero procuraba, con su transcurso, que se evanescieran los recuerdos de las actividades ajenas, impidiendo, as, la configuracin de una historia lineal e ininterrumpida de la persona; el segundo, con la distancia que impona, hasta hace poco difcilmente superable, impeda que tuvisemos conocimiento de los hechos que, protagonizados por los dems, hubieran tenido lugar lejos de donde nos hallbamos. El tiempo y el espacio operaban, as, como salvaguarda de la privacidad de la persona.

Uno y otro lmite han desaparecido hoy: Las modernas tcnicas de comunicacin permiten salvar sin dificultades el espacio, y la informtica posibilita almacenar todos los datos que se obtienen a travs de las comunicaciones y acceder a ellos en apenas segundos, por distante que fuera el lugar donde transcurrieron los hechos, o remotos que fueran stos.

Los ms diversos datos -sobre la infancia, sobre la vida acadmica, profesional o laboral, sobre los hbitos de vida y consumo, sobre el uso del denominado <dinero plstico>, sobre las relaciones personales o, incluso, sobre las creencias religiosas e ideologas, por poner solo algunos ejemplos- relativos a las personas podran ser, as, compilados y obtenidos sin dificultad. Ello permitira a quien dispusiese de ellos acceder a un conocimiento cabal de actitudes, hechos o pautas de comportamiento que, sin duda, pertenecen a la esfera privada de las personas; a aqulla a la que slo deben tener acceso el individuo y, quizs, quienes le son ms prximos, o aquellos a los que l autorice. An ms: El conocimiento ordenado de esos datos puede dibujar un determinado perfil de la persona, o configurar una determinada reputacin o fama que es, en definitiva, expresin del honor; y este perfil, sin duda, puede resultar luego valorado, favorable o desfavorablemente, para las ms diversas actividades pblicas o privadas, como pueden ser la obtencin de un empleo, la concesin de un prstamo o la admisin en determinados colectivos.

Se hace preciso, pues, delimitar una nueva frontera de la intimidad y del honor una frontera que sustituyendo los lmites antes definidos por el tiempo y el espacio, los proteja frente a la utilizacin mecanizada, ordenada y discriminada de los datos a ellos referentes; una frontera, en suma, que garantice que un elemento objetivamente provechoso para la Humanidad no redunde en perjuicio para las personas. La fijacin de esa nueva frontera es el objetivo de la previsin contenida en el artculo 18.4 de la Constitucin, y al cumplimiento de ese objetivo responde la presente Ley.

2

Partiendo de que su finalidad es hacer frente a los riesgos que para los derechos de la personalidad puede suponer el acopio y tratamiento de datos por medios informticos, la Ley se nuclea en torno a los que convencionalmente se denominan <ficheros de datos>: Es la existencia de estos ficheros y la utilizacin que de ellos podra hacerse la que justifica la necesidad de la nueva frontera de la intimidad y del honor.

A tal efecto, la Ley introduce el concepto de tratamiento de datos, concibiendo los ficheros desde una perspectiva dinmica; dicho en otros trminos, no los entiende slo como un mero depsito de datos, sino tambin, y sobre todo, como una globalidad de procesos o aplicaciones informticas que se llevan a cabo con los datos almacenados y que son susceptibles, si llegasen a conectarse entre s, de configurar el perfil personal al que antes se hizo referencia.

La Ley est animada por la idea de implantar mecanismos cautelares que prevengan las violaciones de la privacidad que pudieran resultar del tratamiento de la informacin. A tal efecto se estructura en una parte general y otra especial.

La primera atiende a recoger los principios en los que ha cristalizado una opinio iuris, generada a lo largo de dos dcadas, y define derechos y garantas encaminados a asegurar la observancia de tales principios generales. Alimentan esta parte general, pues, preceptos delimitadores del mbito de aplicacin de la Ley, principios reguladores de la recogida, registro y uso de datos personales y, sobre todo, garantas de la persona.

El mbito de aplicacin se define por exclusin, quedando fuera de l, por ejemplo, los datos annimos, que constituyen informacin de dominio pblico o recogen informacin, con la finalidad, precisamente, de darla a conocer al pblico en general -como pueden ser los registros de la propiedad o mercantiles-, as como, por ltimo, los de uso estrictamente personal. De otro lado, parece conveniente la permanencia de las regulaciones especiales que contienen ya suficientes normas de proteccin y que se refieren a mbitos que revisten tal singularidad en cuanto a sus funciones y sus mecanismos de puesta al da y rectificacin que aconsejan el mantenimiento de su rgimen especfico. As ocurre, por ejemplo, con las regulaciones de los ficheros electorales, del Registro Civil o del Registro Central de Penados y Rebeldes; as acontece, tambin, con los ficheros regulados por la Ley 12/1989, de 12 de mayo, sobre funcin estadstica pblica, si bien que, en este ltimo caso, con sujecin a la Agencia de Proteccin de Datos. En fin, quedan tambin fuera del mbito de la norma aquellos datos que, en virtud de intereses pblicos prevalentes, no deben estar sometidos a su rgimen cautelar.

Los principios generales, por su parte, definen las pautas a las que debe atenerse la recogida de datos de carcter personal, pautas encaminadas a garantizar tanto la veracidad de la informacin contenida en los datos almacenados cuanto la congruencia y la racionalidad de la utilizacin de los datos. Este principio, verdaderamente cardinal, de la congruencia y la racionalidad, garantiza que los datos no puedan ser usados sino cuando lo justifique la finalidad para la que han sido recabados; su observancia es, por ello, capital para evitar la difusin incontrolada de la informacin que, siguiendo el mandato constitucional, se pretende limitar.

Por su parte, el principio de consentimiento, o de autodeterminacin, otorga a la persona la posibilidad de determinar el nivel de proteccin de los datos a ella referentes. Su base est constituida por la exigencia del consentimiento consciente e informado del afectado para que la recogida de datos sea lcita; sus contornos, por otro lado, se refuerzan singularmente en los denominados <datos sensibles>, como pueden ser, de una parte, la ideologa o creencias religiosas -cuya privacidad est expresamente garantizada por la Constitucin en su artculo 16.2- y, de otra parte, la raza, la salud y la vida sexual. La proteccin reforzada de estos datos viene determinada porque los primeros de entre los datos mencionados slo sern disponibles con el consentimiento expreso y por escrito del afectado, y los segundos slo sern susceptibles de recopilacin mediando dicho consentimiento o una habilitacin legal expresa, habilitacin que, segn exigencia de la propia Ley Orgnica, ha de fundarse en razones de inters general; en todo caso, se establece la prohibicin de los ficheros creados con la exclusiva finalidad de almacenar datos personales que expresen las mencionadas caractersticas. En este punto, y de acuerdo con lo dispuesto en el artculo 10 de la Constitucin, se atienden las exigencias y previsiones que para estos datos se contienen en el Convenio Europeo para la proteccin de las personas con respecto al tratamiento automatizado de datos con carcter personal, de 1981, ratificado por Espaa.

Para la adecuada configuracin, que esta Ley se propone, de la nueva garanta de la intimidad y del honor resulta esencial la correcta regulacin de la cesin de los datos almacenados. Es, en efecto, el cruce de los datos almacenados en diversas instancias o ficheros el que puede arrojar el repetidamente aludido perfil personal, cuya obtencin transgredera los lmites de la privacidad. Para prevenir estos perturbadores efectos, la Ley completa el principio del consentimiento, exigiendo que, al procederse a la recogida de los datos, el afectado sea debidamente informado del uso que se les puede dar, al objeto de que el consentimiento se preste con conocimiento cabal de su exacto alcance. Slo las previsiones del Convenio Europeo para la proteccin de los Derechos Fundamentales de la Persona -artculo 8.2- y del Convenio 108 del Consejo de Europa -artculo 9.2-, que se fundamentan en exigencias lgicas en toda sociedad democrtica, constituyen excepciones a esta regla.

3

Las garantas de la persona son los nutrientes nucleares de la parte general, y se configuran jurdicamente como derechos subjetivos encaminados a hacer operativos los principios genricos. Son, en efecto, los derechos de autodeterminacin, de amparo, de rectificacin y de cancelacin los que otorgan virtualidad normativa y eficacia jurdica a los principios consagrados en la parte general, principios que, sin los derechos subjetivos ahora aludidos, no rebasaran un contenido meramente programtico.

En concreto, los derechos de acceso a los datos, de rectificacin y de cancelacin, se constituyen como piezas centrales del sistema cautelar o preventivo instaurado por la Ley. El primero de ellos ha cobrado en nuestro pas, incluso, plasmacin constitucional en lo que se refiere a los datos que obran en poder de las Administraciones Pblicas (artculo 105.b). En consonancia con ello queda recogido en la Ley en trminos rotundos, no previndose ms excepciones que las derivadas de la puesta en peligro de bienes jurdicos en lo relativo al acceso a los datos policiales y a los precisos para asegurar el cumplimiento de las obligaciones tributarias en lo referente a los datos de este carcter, excepciones ambas que pueden entenderse expresamente recogidas en el propio precepto constitucional antes citado, as como en el Convenio Europeo para la proteccin de los Derechos Fundamentales.

4

Para la articulacin de los extremos concretos que han de regir los ficheros de datos, la parte especial de la Ley comienza distinguiendo, en su Ttulo Cuarto, entre los distintos tipos de ficheros, segn sea su titularidad pblica o privada. Con la pretensin de evitar una perniciosa burocratizacin, la Ley ha desechado el establecimiento de supuestos como la autorizacin previa o la inscripcin constitutiva en un registro.

Simultneamente, ha establecido regmenes diferenciados para los ficheros en razn de su titularidad, toda vez que, con toda evidencia, resulta ms problemtico el control de los de titularidad privada que el de aqullos de titularidad pblica. En efecto, en lo relativo a estos ltimos, no basta la mera voluntad del responsable del fichero sino que es precisa norma habilitante, naturalmente pblica y sometida al control jurisdiccional, para crearlos y explotarlos, siendo en estos supuestos el informe previo del rgano de tutela el cauce idneo para controlar la adecuacin de la explotacin a las exigencias legales y recomendar, en su caso, las medidas pertinentes.

Otras disposiciones de la parte especial que procede destacar son las atinentes a la transmisin internacional de los datos. En este punto, la Ley traspone la norma del artculo 12 del Convenio 108 del Consejo de Europa, apuntando as una solucin para lo que ha dado en llamarse flujo transfronterizo de datos. La proteccin de la integridad de la informacin personal se concilia, de esta suerte, con el libre flujo de los datos, que constituye una autntica necesidad de la vida actual de la que las transferencias bancarias, las reservas de pasajes areos o el auxilio judicial internacional pueden ser simples botones de muestra. Se ha optado por exigir que el pas de destino cuente en su ordenamiento con un sistema de proteccin equivalente al espaol, si bien permitiendo la autorizacin de la Agencia cuando tal sistema no exista pero se ofrezcan garantas suficientes. Con ello no slo se cumple con una exigencia lgica, la de evitar un fallo que pueda producirse en el sistema de proteccin a travs del flujo a pases que no cuentan con garantas adecuadas, sino tambin con las previsiones de instrumentos internacionales como los Acuerdos de Schengen o las futuras normas comunitarias.

5

Para asegurar la mxima eficacia de sus disposiciones, la Ley encomienda el control de su aplicacin a un rgano independiente, al que atribuye el estatuto de Ente pblico en los trminos del artculo 6.5 de la Ley General Presupuestaria. A tal efecto la Ley configura un rgano especializado, denominado Agencia de Proteccin de Datos, a cuyo frente sita un Director.

La Agencia se caracteriza por la absoluta independencia de su Director en el ejercicio de sus funciones, independencia que trae causa, en primer lugar, de un expreso imperativo legal, pero que se garantiza, en todo caso, mediante el establecimiento de un mandato fijo que slo puede ser acortado por un nmerus clausus de causas de cese.

La Agencia dispondr, adems, de un rgano de apoyo definido por los caracteres de colegiacin y representatividad, en el que obtendrn presencia las Cmaras que representan a la soberana nacional, las Administraciones Pblicas en cuanto titulares de ficheros objeto de la presente Ley, el sector privado, las organizaciones de usuarios y consumidores y otras personas relacionadas con las diversas funciones que cumplen los archivos informatizados.

6

El inevitable desfase que las normas de derecho positivo ofrecen respecto de las transformaciones sociales es, si cabe, ms acusado en este terreno, cuya evolucin tecnolgica es especialmente, dinmica. Ello hace aconsejable, a la hora de normar estos campos, acudir a mecanismos jurdicos dotados de menor nivel de vinculacin, susceptibles de una elaboracin o modificacin ms rpida de lo habitual y caracterizados por que es la voluntaria aceptacin de sus destinatarios la que les otorga eficacia normativa. En esta lnea la Ley recoge normas de autorregulacin, compatibles con las recomendaciones de la Agencia, que evitan los inconvenientes derivados de la especial rigidez de la Ley Orgnica que, por su propia naturaleza, es inidnea para un acentuado casusmo. La propia experiencia de lo ocurrido con el Convenio del Consejo de Europa, que ha tenido que ser objeto de mltiples modificaciones al socaire de las distintas innovaciones tecnolgicas, de las sucesivas y diferentes aplicaciones -estadstica, Seguridad Social, relaciones de empleo, datos policiales, publicidad directa o tarjetas de crdito, entre otras-o de la ampliacin de los campos de utilizacin-servicio telefnico o correo electrnico-aconseja recurrir a las citadas normas de autorregulacin.

De ah que la Ley acuda a ellas para aplicar las previsiones legales a los distintos sectores de actividad. Tales normas sern elaboradas por iniciativa de las asociaciones y organizaciones pertinentes y sern aprobadas, sin valor reglamentario, por la Agencia, siendo precisamente la iniciativa y participacin de las entidades afectadas la garanta de la virtualidad de las normas.

7

La Ley no consagra nuevos tipos delictivos, ni define supuestos de responsabilidad penal para la eventualidad de su incumplimiento. Ello obedece a que se entiende que la sede lgica para tales menesteres no es esta Ley, sino slo el Cdigo Penal.

S se atribuye, sin embargo, a la Administracin la potestad sancionadora que es lgico correlato de su funcin de inspeccin del uso de los ficheros, similar a las dems inspecciones administrativas, y que se configura de distinta forma segn se proyecte sobre la utilizacin indebida de los ficheros pblicos, en cuyo caso proceder la oportuna responsabilidad disciplinaria, o sobre los privados, para cuyo supuesto se prevn sanciones pecuniarias.

De acuerdo con la prctica usual, la Ley se limita a tipificar, de conformidad con lo requerido por la jurisprudencia constitucional y ordinaria, unos supuestos genricos de responsabilidad administrativa, recogiendo una gradacin de infracciones que sigue la habitual distincin entre leves, graves y muy graves, y que toma como criterio bsico el de los bienes jurdicos emanados. Las sanciones, a su vez, difieren segn que los ficheros indebidamente utilizados sean pblicos o privados: en el primer caso, proceder la responsabilidad disciplinaria, sin perjuicio de la intervencin del Defensor del Pueblo; para el segundo, se prevn sanciones pecuniarias; en todo caso, se articula la posibilidad en los supuestos, constitutivos de infraccin muy grave, de cesin ilcita de datos o de cualquier otro atentado contra los derechos de los afectados que revista gravedad, de inmovilizar los ficheros.

8

Finalmente, la Ley estipula un perodo transitorio que se justifica por la necesidad de ajustar la utilizacin de los ficheros existentes a las disposiciones legales.

Pasado este perodo transitorio, y una vez en vigor la Ley, podr muy bien decirse, una vez ms, que el desarrollo legislativo de un precepto constitucional se traduce en una proteccin reforzada de los derechos fundamentales del ciudadano. En este caso, al desarrollar legislativamente el mandato constitucional de limitar el uso de la informtica, se est estableciendo un nuevo y ms consistente derecho a la privacidad de las personas.

Ttulo I

Disposiciones generales

Artculo 1. Objeto.

La presente Ley Orgnica, en desarrollo de lo previsto en el apartado 4 del artculo 18 de la Constitucin, tiene por objeto limitar el uso de la informtica y otras tcnicas y medios de tratamiento automatizado de los datos de carcter personal para garantizar el honor, la intimidad personal y familiar de las personas fsicas y el pleno ejercicio de sus derechos.

Artculo 2. Ambito de aplicacin.

1. La presente Ley ser de aplicacin a los datos de carcter personal que figuren en ficheros automatizados de los sectores pblico y privado y a toda modalidad de uso posterior, incluso no automatizado, de datos de carcter personal registrados en soporte fsico susceptible de tratamiento automatizado.

2. El rgimen de proteccin de los datos de carcter personal que se establece en la presente Ley no ser de aplicacin:

a) A los ficheros automatizados de titularidad pblica cuyo objeto, legalmente establecido, sea el almacenamiento de datos para su publicidad con carcter general.

b) A los ficheros mantenidos por personas fisicas con fines exclusivamente personales.

c) A los ficheros de informacin tecnolgica o comercial que reproduzcan datos ya publicados en boletines, diarios o repertorios oficiales.

d) A los ficheros de informtica jurdica accesibles al pblico en la medida en que se limiten a reproducir disposiciones o resoluciones judiciales publicadas en peridicos o repertorios oficiales.

e) A los ficheros mantenidos por los partidos polticos, sindicatos e iglesias, confesiones y comunidades religiosas en cuanto los datos se refieran a sus asociados o miembros y ex miembros, sin perjuicio de la cesin de los datos que queda sometida a lo dispuesto en el artculo 11 de esta Ley, salvo que resultara de aplicacin el artculo 7 por tratarse de los datos personales en l contenidos.

3. Se regirn por sus disposiciones especficas:

a) Los ficheros regulados por la legislacin de rgimen electoral.

b) Los sometidos a la normativa sobre proteccin de materias clasificadas.

c) Los derivados del Registro Civil y del Registro Central de Penados y Rebeldes.

d) Los que sirvan a fines exclusivamente estadsticos y estn amparados por la Ley 12/1989, de 9 de mayo, de la funcin estadstica pblica, sin perjuicio de lo dispuesto en el artculo 36.

e) Los ficheros automatizados cuyo objeto sea el almacenamiento de los datos contenidos en los informes personales regulados en el artculo 68 de la Ley 17/1989, de 19 de julio, Reguladora del Rgimen del Personal Militar Profesional.

Artculo 3. Definiciones.

A los efectos de la presente Ley se entender por:

a) Datos de carcter personal: Cualquier informacin concerniente a personas fsicas identificadas o identificables.

b) Fichero automatizado: Todo conjunto organizado de datos de carcter personal que sean objeto de un tratamiento automatizado, cualquiera que fuere la forma o modalidad de su creacin, almacenamiento, organizacin y acceso.

c) Tratamiento de datos: Operaciones y procedimientos tcnicos, de carcter automatizado o no, que permitan la recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo y cancelacin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

d) Responsable del fichero: Persona fsica, jurdica de naturaleza pblica o privada y rgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento.

e) Afectado: Persona fsica titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artculo.

f) Procedimiento de disociacin: Todo tratamiento de datos personales de modo que la informacin que se obtenga no pueda asociarse a persona determinada o determinable.

Ttulo II

Principios de la proteccin de datos

Artculo 4. Calidad de los datos.

1. Slo se podrn recoger datos de carcter personal para su tratamiento automatizado, as como someterlos a dicho tratamiento, cuando tales datos sean adecuados, pertinentes y no excesivos en relacin con el mbito y las finalidades legtimas para las que se hayan obtenido.

En su clasificacin slo podrn utilizarse criterios que no se presten a prcticas ilcitas.

2. Los datos de carcter personal objeto de tratamiento automatizado no podrn usarse para finalidades distintas de aquellas para las que los datos hubieran sido recogidos.

3. Dichos datos sern exactos y puestos al da de forma que respondan con veracidad a la situacin real del afectado.

4. Si los datos de carcter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, sern cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artculo 15.

5. Los datos de carcter personal sern cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados y registrados.

No sern conservados en forma que permita la identificacin del interesado durante un perodo superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Reglamentariamente se determinar el procedimiento por el que, por excepcin, atendidos sus valores histricos de acuerdo con la legislacin especfica, se decida el mantenimiento ntegro de determinados datos.

6. Sern almacenados de forma que permitan el ejercicio del derecho de acceso por parte del afectado.

7. Se prohbe la recogida de datos por medios fraudulentos, desleales o ilcitos.

Artculo 5. Derecho de informacin en la recogida de datos.

1. Los afectados a los que se soliciten datos personales debern ser previamente informados de modo expreso, preciso e inequvoco:

a) De la existencia de un fichero automatizado de datos de carcter personal, de la finalidad de la recogida de stos y de los destinatarios de la informacin.

b) Del carcter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtencin de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificacin y cancelacin.

e) De la identidad y direccin del responsable del fichero.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarn en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

3. No ser necesaria la informacin a que se refiere el apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

Artculo 6. Consentimiento del afectado.

1. El tratamiento automatizado de los datos de carcter personal requerir el consentimiento del afectado, salvo que la Ley disponga otra cosa.

2. No ser preciso el consentimiento cuando los datos de carcter personal se recojan de fuentes accesibles al pblico, cuando se recojan para el ejercicio de las funciones propias de las Administraciones Pblicas en el mbito de sus competencias, ni cuando se refieran a personas vinculadas por una relacin negocial, una relacin laboral, una relacin administrativa o un contrato y sean necesarios para el mantenimiento de las relaciones o para el cumplimiento del contrato.

3. El consentimiento a que se refiere el artculo podr ser revocado cuando exista causa justificada para ello y no se le atribuya efectos retroactivos.

Artculo 7. Datos especialmente protegidos.

1. De acuerdo con lo establecido en el apartado 2 del artculo 16 de la Constitucin, nadie podr ser obligado a declarar sobre su ideologa, religin o creencias.

Cuando en relacin con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertir al interesado acerca de su derecho a no prestarlo.

2. Slo con consentimiento expreso y por escrito del afectado podrn ser objeto de tratamiento automatizado los datos de carcter personal que revelen la ideologa, religin y creencias.

3. Los datos de carcter personal que hagan referencia al origen racial, a la salud y a la vida sexual slo podrn ser recabados, tratados automatizadamente y cedidos cuando por razones de inters general as lo disponga una Ley o el afectado consienta expresamente.

4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carcter personal que revelen la ideologa, religin, creencias, origen racial o vida sexual.

5. Los datos de carcter personal relativos a la comisin de infracciones penales o administrativas slo podrn ser incluidos en ficheros automatizados de las Administraciones Pblicas competentes en los supuestos previstos en las respectivas normas reguladoras.

Artculo 8. Datos relativos a la salud.

Sin perjuicio de lo que se dispone en el artculo 11 respecto de la cesin, las instituciones y los centros sanitarios pblicos y privados y los profesionales correspondientes podrn proceder al tratamiento automatizado de los datos de carcter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en los artculos 8, 10, 23 y 61 de la Ley 14/1986, de 25 de abril, General de Sanidad: 85.5. 96 y 98 de la Ley 25/1990, de 20 de diciembre, del Medicamento; 2, 3 y 4 de la Ley Orgnica 3/1986, de 14 de abril, de medidas especiales en materia de Salud Pblica, y dems Leyes sanitarias.

Artculo 9. Seguridad de los datos.

1. El responsable del fichero deber adoptar las medidas de ndole tcnica y organizativas necesarias que garanticen la seguridad de los datos de carcter personal y eviten su alteracin, prdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnologa, la naturaleza de los datos almacenados y los riesgos a que estn expuestos, ya provengan de la accin humana o del medio fsico o natural.

2. No se registrarn datos de carcter personal en ficheros automatizados que no renan las condiciones que se determinen por va reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecern los requisitos y condiciones que deban reunir los ficheros automatizados y las personas que intervengan en el tratamiento automatizado de los datos a que se refiere el artculo 7 de esta Ley.

Artculo 10. Deber de secreto.

El responsable del fichero automatizado y quienes intervengan en cualquier fase del tratamiento de los datos de carcter personal estn obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirn an despus de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo.

Artculo 11. Cesin de datos.

1. Los datos de carcter personal objeto del tratamiento automatizado slo podrn ser cedidos para el cumplimiento de fines directamente relacionados con las funciones legtimas del cedente y del cesionario con el previo consentimiento del afectado.

2. El consentimiento exigido en el apartado anterior no ser preciso:

a) Cuando una Ley prevea otra cosa.

b) Cuando se trate de datos recogidos de fuentes accesibles al pblico.

c) Cuando el establecimiento del fichero automatizado responda a la libre y legtima aceptacin de una relacin jurdica cuyo desarrollo, cumplimiento y control implique necesariamente la conexin de dicho fichero con ficheros de terceros. En este caso la cesin slo ser legtima en cuanto se limite a la finalidad que la justifique.

d) Cuando la cesin que deba efectuarse tenga por destinatario el Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales, en el ejercicio de las funciones que tienen atribuidas.

e) Cuando la cesin se produzca entre las Administraciones Pblicas en los supuestos previstos en el artculo 19.

f) Cuando la cesin de datos de carcter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero automatizado o para realizar los estudios epidemiolgicos en los trminos establecidos en el artculo 8 de la Ley 14/1986, de 25 de abril, General de Sanidad.

3. Ser nulo el consentimiento cuando no recaiga sobre un cesionario determinado o determinable, o si no constase con claridad la finalidad de la cesin que se consiente.

4. El consentimiento para la cesin de datos de carcter personal tiene tambin un carcter de revocable.

5. El cesionario de los datos de carcter personal se obliga, por el

solo hecho de la cesin, a la observancia de las disposiciones de la presente Ley.

6. Si la cesin se efecta previo procedimiento de disociacin, no ser aplicable lo establecido en los apartados anteriores.

Ttulo III

Derechos de las personas

Artculo 12. Impugnacin de valoraciones basadas exclusivamente en datos automatizados.

El afectado podr impugnar los actos administrativos o decisiones privadas que impliquen una valoracin de su comportamiento cuyo nico fundamento sea un tratamiento automatizado de datos de carcter personal que ofrezca una definicin de sus caractersticas o personalidad.

Artculo 13. Derecho de informacin.

Cualquier persona podr conocer, recabando a tal fin la informacin oportuna del Registro General de Proteccin de Datos, la existencia de ficheros automatizados de datos de carcter personal, sus finalidades y la identidad del responsable del fichero. El Registro General ser de consulta pblica y gratuita.

Artculo 14. Derecho de acceso.

1. El afectado tendr derecho a solicitar y obtener informacin de sus datos de carcter personal incluidos en los ficheros automatizados.

2. La informacin podr consistir en la mera consulta de los ficheros por medio de su visualizacin, o en la comunicacin de los datos pertinentes mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o cdigos convencionales que requieran el uso de dispositivos mecnicos especficos.

3. El derecho de acceso a que se refiere este artculo slo podr ser ejercitado a intervalos no inferiores a doce meses, salvo que al afectado acredite un inters legtimo al efecto, en cuyo caso podr ejercitarlo antes.

Artculo 15. Derecho de rectificacin y cancelacin.

1. Por va reglamentaria se establecer el plazo en que el responsable del fichero tendr la obligacin de hacer efectivo el derecho de rectificacin o cancelacin del afectado.

2. Los datos de carcter personal que resulten inexactos o incompletos sern rectificados y cancelados en su caso.

3. Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deber notificar la rectificacin o cancelacin efectuada al cesionario.

4. La cancelacin no proceder cuando pudiese causar un perjuicio a intereses legtimos del afectado o de terceros o cuando existiese una obligacin de conservar los datos.

5. Los datos de carcter personal debern ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del fichero y el afectado.

Artculo 16. Procedimiento de acceso.

1. El procedimiento para ejercitar el derecho de acceso, as como el de rectificacin y cancelacin ser establecido reglamentariamente.

2. No se exigir contraprestacin alguna por la rectificacin o cancelacin de los datos de carcter personal inexactos.

Artculo 17. Tutela de los derechos y derecho de indemnizacin.

1. Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamacin por los afectados ante la Agencia de Proteccin de Datos, en la forma que reglamentariamente se determine.

2. Contra las resoluciones de la Agencia de Proteccin de Datos proceder recurso contencioso-administrativo.

3. Los afectados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable del fichero, sufran dao o lesin en sus bienes o derechos tendrn derecho a ser indeminizados.

4. Cuando se trate de ficheros de titularidad pblica, la responsabilidad se exigir de acuerdo con la legislacin reguladora del rgimen de responsabilidad de las Administraciones Pblicas.

5. En el caso de los ficheros de titularidad privada la accin se ejercitar ante los rganos de la jurisdiccin ordinaria.

Ttulo IV

Disposiciones sectoriales

Captulo I

Ficheros de titularidad pblica

Artculo 18. Creacin, modificacin o supresin.

1. La creacin, modificacin o supresin de los ficheros automatizados de las Administraciones Pblicas slo podrn hacerse por medio de disposicin general publicada en el <Boletn Oficial del Estado> o diario oficial correspondiente.

2. Las disposiciones de creacin o de modificacin de los ficheros debern indicar:

a) La finalidad del fichero y los usos previstos para el mismo.

b) Las personas o colectivos sobre los que se pretenda obtener datos de carcter personal o que resulten obligados a suministrarlos.

c) El procedimiento de recogida de los datos de carcter personal.

d) La estructura bsica del fichero automatizado y la descripcin de los tipos de datos de carcter personal incluidos en el mismo.

e) Las cesiones de datos de carcter personal que, en su caso, se prevean.

f) Los rganos de la Administracin responsables del fichero automatizado.

g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificacin y cancelacin.

3. En las disposiciones que se dicten para la supresin de los ficheros automatizados se establecer el destino de los mismos o, en su caso, las previsiones que se adopten para su destruccin.

Artculo 19. Cesin de datos entre Administraciones Pblicas.

1. Los datos de carcter personal recogidos o elaborados por las Administraciones Pblicas para el desempeo de sus atribuciones no sern cedidos a otras Administraciones Pblicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la cesin hubiese sido prevista por las disposiciones de creacin del fichero o por disposicin posterior de igual o superior rango que regule su uso.

2. Podrn, en todo caso, ser objeto de cesin los datos de carcter personal que una Administracin Pblica obtenga o elabore con destino a otra.

3. No obstante lo establecido en el artculo 11.2.b) la cesin de datos recogidos de fuentes accesibles al pblico no podr efectuarse a ficheros de titularidad privada, sino con el consentimiento del interesado o cuando una Ley prevea otra cosa.

Artculo 20. Ficheros de las Fuerzas y Cuerpos de Seguridad.

1. Los ficheros automatizados creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de carcter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarn sujetos al rgimen general de la presente Ley.

2. La recogida y tratamiento automatizado para fines policiales de datos de carcter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas, estn limitados a aquellos supuestos y categoras de datos que resulten necesarios para la prevencin de un peligro real para la seguridad pblica o para la represin de infracciones penales, debiendo ser almacenados en ficheros especficos establecidos al efecto, que debern clasificarse por categoras, en funcin de su grado de fiabilidad.

3. La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos a que hacen referencia los apartados 2 y 3 del artculo 7, podrn realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigacin concreta.

4. Los datos personales registrados con fines policiales se cancelarn cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.

A estos efectos se considerar especialmente la edad del afectado y el carcter de los datos almacenados, la necesidad de mantener los datos hasta la conclusin de una investigacin o procedimiento concreto, la resolucin judicial firme, en especial la absolutoria, el indulto, la rehabilitacin y la prescripcin de responsabilidad.

Artculo 21. Excepciones a los derechos de acceso, rectificacin y cancelacin.

1. Los responsables de los ficheros que contengan los datos a que se refieren los apartados 2, 3 y 4 del artculo anterior podrn denegar el acceso, la rectificacin o la cancelacin en funcin de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pblica, la proteccin de los derechos y libertades de terceros o las necesidades de las investigaciones que se estn realizando.

2. Los responsables de los ficheros de la Hacienda Pblica podrn, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado est siendo objeto de actuaciones inspectoras.

3. El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos mencionados en los apartados anteriores, podr ponerlo en conocimiento del Director de la Agencia de Proteccin de Datos o del Organismo competente de cada Comunidad Autnoma en el caso de ficheros automatizados mantenidos por Cuerpos de Polica propios de stas, o por las Administraciones Tributarias Autonmicas, quien deber asegurarse de la procedencia o improcedencia de la denegacin.

Artculo 22. Otras excepciones a los derechos de los afectados.

1. Lo dispuesto en los apartados 1 y 2 del artculo 5 no ser aplicable a la recogida de datos cuando la informacin al afectado impida o dificulte gravemente el cumplimiento de las funciones de control y verificacin de las Administraciones Pblicas o cuando afecte a la Defensa Nacional, a la Seguridad pblica o a la persecucin de infracciones penales o administrativas.

2. Lo dispuesto en el artculo 14 y en el apartado 1 del artculo 15 no ser de aplicacin si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de inters pblico o ante intereses de terceros ms dignos de proteccin. Si el rgano administrativo responsable del fichero automatizado invocase lo dispuesto en este apartado, dictar resolucin motivada e instruir al afectado del derecho que le asiste a poner la negativa en conocimiento del Director de la Agencia de Proteccin de Datos o, en su caso, del rgano equivalente de las Comunidades Autnomas.

Captulo II

Ficheros de titularidad privada

Artculo 23. Creacin.

Podrn crearse ficheros automatizados de titularidad privada que contengan datos de carcter personal cuando resulte necesario para el logro de la actividad u objeto legtimos de la persona, empresa o entidad titular y se respeten las garantas que esta Ley establece para la proteccin de las personas.

Artculo 24. Notificacin e inscripcin registral.

1. Toda persona o entidad que proceda a la creacin de ficheros automatizados de datos de carcter personal lo notificar previamente a la Agencia de Proteccin de Datos.

2. Por va reglamentaria se proceder a la regulacin detallada de los distintos extremos que debe contener la notificacin, entre los cuales figurarn necesariamente el responsable del fichero, la finalidad del mismo, su ubicacin, el tipo de datos de carcter personal que contiene, las medidas de seguridad y las cesiones de datos de carcter personal que se prevean realizar.

3. Debern comunicarse a la Agencia de Proteccin de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la direccin de su ubicacin.

4. El Registro General de Proteccin de Datos inscribir el fichero automatizado si la notificacin se ajusta a los requisitos exigibles.

En caso contrario podr pedir que se completen los datos que falten o se proceda a su subsanacin.

5. Transcurrido un mes desde la presentacin de la solicitud de inscripcin sin que la Agencia de Proteccin de Datos hubiera resuelto sobre la misma, se entender inscrito el fichero automatizado a todos los efectos.

Artculo 25. Comunicacin de la cesin de datos.

1. El responsable del fichero, en el momento en que se efecte la primera cesin de datos, deber informar de ello a los afectados, indicando asimismo la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y direccin del cesionario.

2. La obligacin establecida en el apartado anterior no existir en el supuesto previsto en los apartados 2, letras c), d) y e), y 6 del artculo 11 ni cuando la cesin venga impuesta por Ley.

Artculo 26. Datos sobre abonados a servicios de telecomunicacin.

Los nmeros de los telfonos y dems servicios de telecomunicacin, junto con otros datos complementarios, podrn figurar en los repertorios de abonados de acceso al pblico, pero el afectado podr exigir su exclusin.

Artculo 27. Prestacin de servicios de tratamiento automatizado de datos de carcter personal.

1. Quienes, por cuenta de terceros, presten servicios de tratamiento automatizado de datos de carcter personal no podrn aplicar o utilizar los obtenidos con fin distinto al que figure en el contrato de servicios, ni cederlos, ni siquiera para su conservacin, a otras personas.

2. Una vez cumplida la prestacin contractual, los datos de carcter personal tratados debern ser destruidos, salvo que medie autorizacin expresa de aqul por cuenta de quien se prestan tales servicios, porque razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrn almacenar con las debidas condiciones de seguridad por un perodo de cinco aos.

Artculo 28. Prestacin de servicios de informacin sobre solvencia patrimonial y crdito.

1. Quienes se dediquen a la prestacin de servicios de informacin sobre la solvencia patrimonial y el crdito slo podrn tratar automatizadamente datos de carcter personal obtenidos de fuentes accesibles al pblico o procedentes de informaciones facilitadas por el afectado o con su consentimiento. Podrn tratarse, igualmente, datos de carcter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien acte por su cuenta o inters.

En estos casos se notificar a los afectados respecto de los que hayan registrado datos de carcter personal en ficheros automatizados, en el plazo de treinta das desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informar de su derecho a recabar informacin de la totalidad de ellos, en los trminos establecidos por la presente Ley.

2. Cuando el afectado lo solicite, el responsable del fichero le comunicar los datos, as como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los ltimos seis meses y el nombre y direccin del cesionario.

3. Slo se podrn registrar y ceder los datos de carcter personal que sean determinantes para enjuiciar la solvencia econmica de los afectados y que no se refieran, cuando sean adversos, a ms de seis aos.

Artculo 29. Ficheros con fines de publicidad.

1. Quienes se dediquen a la recopilacin de direcciones, reparto de documentos, publicidad o venta directa y otras actividades anlogas, utilizarn listas tratadas automticamente de nombres y direcciones u otros datos personales, cuando los mismos figuren en documentos accesibles al pblico o cuando hayan sido facilitados por los propios afectados u obtenidos con su consentimiento.

2. Los afectados tendrn derecho a conocer el origen de sus datos de carcter personal, as como a ser dados de baja de forma inmediata del fichero automatizado, cancelndose las informaciones que sobre ellos figuren en aqul, a su simple solicitud.

Artculo 30. Ficheros relativos a encuestas o investigaciones.

1. Slo se utilizarn de forma automatizada datos de carcter personal en las encuestas de opinin, trabajos de prospeccin de mercados, investigacin cientfica o mdica y actividades anlogas, si el afectado hubiera prestado libremente su consentimiento a tal efecto.

2. Los datos de carcter personal tratados automticamente con ocasin de tales actividades no podrn ser utilizados con finalidad distinta ni cedidos de forma que puedan ser puestos en relacin con una persona concreta.

Artculo 31. Cdigos tipo.

1. Mediante acuerdos sectoriales o decisiones de empresa, los responsables de ficheros de titularidad privada podrn formular cdigos tipo que establezcan las condiciones de organizacin, rgimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la informacin personal, as como las garantas, en su mbito, para el ejercicio de los derechos de las personas con pleno respeto de los principios y disposiciones de la presente Ley y sus normas de desarrollo.

Los citados cdigos podrn contener o no reglas operacionales detalladas de cada sistema particular y estndares tcnicos de aplicacin.

En el supuesto de que tales reglas o estndares no se incorporaran directamente al cdigo, las instrucciones u rdenes que los establecieran debern respetar los principios fijados en aqul.

2. Los cdigos tipo tendrn el carcter de cdigos deontolgicos o de buena prctica profesional, debiendo ser depositados o inscritos en el Registro General de Proteccin de Datos, que podr denegar la inscripcin cuando considere que no se ajustan a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el Director de la Agencia de Proteccin de Datos requerir a los solicitantes para que efecten las correcciones oportunas.

Ttulo V

Movimiento internacional de datos

Artculo 32. Norma general.

No podrn realizarse transferencias temporales ni definitivas de datos de carcter personal que hayan sido objeto de tratamiento automatizado o hayan sido recogidos para someterlos a dicho tratamiento con destino a pases que no proporcionen un nivel de proteccin equiparable al que presta la presente Ley, salvo que, adems de haberse observado lo dispuesto en sta, se obtenga autorizacin previa del Director de la Agencia de Proteccin de Datos, que slo podr otorgarla si se obtienen garantas adecuadas.

Artculo 33. Excepciones.

Lo dispuesto en el artculo anterior no ser de aplicacin:

a) Cuando la transferencia internacional de datos de carcter personal resulte de la aplicacin de tratados o convenios en los que sea parte Espaa.

b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

c) Cuando la misma tenga por objeto el intercambio de datos de carcter mdico entre facultativos o instituciones sanitarias y as lo exija el tratamiento del afectado, o la investigacin epidemiolgica de enfermedades o brotes epidmicos.

d) Cuando se refiera a transferencias dinerarias conforme a su legislacin especfica.

Ttulo VI

Agencia de Proteccin de Datos

Artculo 34. Naturaleza y rgimen jurdico.

1. Se crea la Agencia de Proteccin de Datos.

2. La Agencia de Proteccin de Datos es un Ente de Derecho Pblico, con personalidad jurdica propia y plena capacidad pblica y privada, que acta con plena independencia de las Administraciones Pblicas en el ejercicio de sus funciones. Se regir por lo dispuesto en la presente Ley y en un Estatuto propio que ser aprobado por el Gobierno, as como por aquellas disposiciones que le sean aplicables en virtud del artculo 6.5 de la Ley General Presupuestaria.

3. En el ejercicio de sus funciones pblicas, y en defecto de lo que dispongan la presente Ley y sus disposiciones de desarrollo, la Agencia de Proteccin de Datos actuar de conformidad con la Ley de Procedimiento Administrativo. En sus adquisiciones patrimoniales y contratacin estar sujeta al Derecho privado.

4. Los puestos de trabajo de los rganos y servicios que integren la Agencia de Proteccin de Datos sern desempeados por funcionarios de las Administraciones Pblicas y por personal contratado al efecto, segn la naturaleza de las funciones asignadas a cada puesto de trabajo. Este personal est obligado a guardar secreto de los datos de carcter personal de que conozca en el desarrollo de su funcin.

5. La Agencia de Proteccin de Datos contar, para el cumplimiento de sus fines, con los siguientes bienes y medios econmicos:

a) Las asignaciones que se establezcan anualmente con cargo a los Presupuestos Generales del Estado.

b) Los bienes y valores que constituyan su patrimonio, as como los productos y rentas del mismo.

c) Cualesquiera otros que legalmente puedan serle atribuidos.

6. La Agencia de Proteccin de Datos elaborar y aprobar con carcter anual el correspondiente anteproyecto de presupuesto y lo remitir al Gobierno para que sea integrado, con la debida independencia, en los Presupuestos Generales del Estado.

Artculo 35. El Director.

1. El Director de la Agencia de Proteccin de Datos dirige la Agencia y ostenta su representacin. Ser nombrado, de entre quienes componen el Consejo Consultivo, mediante Real Decreto, por un perodo de cuatro aos.

2. Ejercer sus funciones con plena independencia y objetividad y no estar sujeto a instruccin alguna en el desempeo de aqullas.

3. El Director de la Agencia de Proteccin de Datos slo cesar antes de la expiracin del perodo a que se refiere el apartado 1 a peticin propia o por separacin acordada por el Gobierno, previa instruccin de expediente, en el que necesariamente sern odos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su funcin, incompatibilidad o condena por delito doloso.

4. El Director de la Agencia de Proteccin de Datos tendr la consideracin de alto cargo.

Artculo 36. Funciones.

Son funciones de la Agencia de Proteccin de Datos:

a) Velar por el cumplimiento de la legislacin sobre proteccin de datos y controlar su aplicacin, en especial en lo relativo a los derechos de informacin, acceso, rectificacin y cancelacin de datos.

b) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.

c) Dictar, en su caso y sin perjuicio de las competencias de otros rganos, las instrucciones precisas para adecuar los tratamientos automatizados a los principios de la presente Ley.

d) Atender las peticiones y reclamaciones formuladas por las personas afectadas.

e) Proporcionar informacin a las personas acerca de sus derechos en materia de tratamiento automatizado de los datos de carcter personal.

f) Ordenar la cesacin de los tratamientos de datos de carcter personal y la cancelacin de los ficheros, cuando no se ajusten a las disposiciones de la presente Ley.

g) Ejercer la potestad sancionadora en los trminos previstos por el ttulo VII de la presente Ley.

h) Informar, con carcter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.

i) Recabar de los responsables de los ficheros cuanta ayuda e informacin estime necesaria para el desempeo de sus funciones.

j) Velar por la publicidad de la existencia de los ficheros automatizados de datos con carcter personal, a cuyo efecto publicar peridicamente una relacin de dichos ficheros con la informacin adicional que el Director de la Agencia determine.

k) Redactar una memoria anual y remitirla al Ministerio de Justicia.

l) Ejercer el control y adoptar las autorizaciones que procedan en relacin con los movimientos internacionales de datos, as como desempear las funciones de cooperacin internacional en materia de proteccin de datos personales.

m) Velar por el cumplimiento de las disposiciones que la Ley de la Funcin Estadstica Pblica establece respecto a la recogida de datos estadsticos y al secreto estadstico, as como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadsticos y ejercer la potestad a la que se refiere el artculo 45.

n) Cuantas otras le sean atribuidas por normas legales o reglamentarias.

Artculo 37. Consejo Consultivo.

El Director de la Agencia de Proteccin de Datos estar asesorado por un Consejo Consultivo compuesto por los siguientes miembros:

Un Diputado, propuesto por el Congreso de los Diputados.

Un Senador, propuesto por la correspondiente Cmara.

Un representante de la Administracin Central, designado por el Gobierno.

Un representante de la Administracin Local, propuesto por la Federacin Espaola de Municipios y Provincias.

Un miembro de la Real Academia de la Historia, propuesto por la misma.

Un experto en la materia, propuesto por el Consejo Superior de Universidades.

Un representante de los usuarios y consumidores, seleccionado del modo que se prevea reglamentariamente.

Un representante de las Comunidades Autnomas, cuya propuesta se realizar a travs del procedimiento que se establezca en las disposiciones de desarrollo de esta Ley.

Un representante del sector de ficheros privados, para cuya propuesta se seguir el procedimiento que se regule reglamentariamente.

El funcionamiento del Consejo Consultivo se regir por las normas reglamentarias que al efecto se establezcan.

Artculo 38. El Registro General de Proteccin de Datos.

1. Se crea el Registro General de Proteccin de Datos como rgano integrado en la Agencia de Proteccin de Datos.

2. Sern objeto de inscripcin en el Registro General de Proteccin de Datos:

a) Los ficheros automatizados de que sean titulares las Administraciones Pblicas.

b) Los ficheros automatizados de titularidad privada.

c) Las autorizaciones a que se refiere la presente Ley.

d) Los cdigos tipo a que se refiere el artculo 31 de la presente Ley.

e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de informacin, acceso, rectificacin y cancelacin.

3. Por va reglamentaria se regular el procedimiento de inscripcin de los ficheros, tanto de titularidad pblica como de titularidad privada, en el Registro General de Proteccin de Datos, el contenido de la inscripcin, su modificacin, cancelacin, reclamaciones y recursos contra las resoluciones correspondientes y dems extremos pertinentes.

Artculo 39. Potestad de inspeccin.

1. La Agencia de Proteccin de Datos podr inspeccionar los ficheros a que hace referencia la presente Ley recabando cuantas informaciones precise para el cumplimiento de sus cometidos.

A tal efecto, podr solicitar la exhibicin o el envo de documentos y datos y examinarlos en el lugar en que se encuentren depositados, as como inspeccionar los equipos fsicos y lgicos utilizados para el tratamiento de los datos accediendo a los locales donde se hallen instalados.

2. Los funcionarios que ejerzan la inspeccin a que se refiere el apartado anterior, tendrn la consideracin de autoridad pblica en el desempeo de sus cometidos.

Estarn obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso despus de haber cesado en las mismas.

Artculo 40. Organos correspondientes de las Comunidades Autnomas.

1. Las funciones de la Agencia de Proteccin de Datos reguladas en el artculo 36, a excepcin de las mencionadas en los apartados j), k) y l) y en los apartados f) y g) en lo que se refiere a las transferencias internacionales de datos, as como en los artculos 45 y 48, en relacin con sus especficas competencias, sern ejercidas, cuando afecten a ficheros automatizados de datos de carcter personal creados o gestionados por las Comunidades Autnomas, por los rganos correspondientes de cada Comunidad, a los que se garantizar plena independencia y objetividad en el ejercicio de su cometido.

2. Las Comunidades Autnomas podrn crear y mantener sus propios registros de ficheros pblicos para el ejercicio de las competencias que se les reconoce sobre los mismos, respecto de los archivos informatizados de datos personales cuyos titulares sean los rganos de las respectivas Comunidades Autnomas o de sus Territorios Histricos.

3. El Director de la Agencia de Proteccin de Datos podr convocar regularmente a los rganos correspondientes de las Comunidades Autnomas a efectos de cooperacin institucional y coordinacin de criterios o procedimientos de actuacin. El Director de la Agencia de Proteccin de Datos y los rganos correspondientes de las Comunidades Autnomas podrn solicitarse mutuamente la informacin necesaria para el cumplimiento de sus funciones.

Artculo 41. Ficheros de las Comunidades Autnomas en materias de su exclusiva competencia.

1. Cuando el Director de la Agencia de Proteccin de Datos constate que el mantenimiento o uso de un determinado fichero automatizado de las Comunidades Autnomas contraviene algn precepto de esta Ley en materia de su exclusiva competencia, podr requerir a la Administracin correspondiente para que adopte las medidas correctoras que determine en el plazo que expresamente se fije en el requerimiento.

2. Si la Administracin Pblica correspondiente no cumpliera el requerimiento formulado, el Director de la Agencia de Proteccin de Datos podr impugnar la resolucin adoptada por aquella Administracin.

Ttulo VII

Infracciones y sanciones

Artculo 42. Responsables.

1. Los responsables de los ficheros estarn sujetos al rgimen sancionador establecido en la presente Ley.

2. Cuando se trate de ficheros de los que sean responsables las Administraciones Pblicas se estar, en cuanto al procedimiento y a las sanciones, a lo dispuesto en el artculo 45, apartado 2.

Artculo 43. Tipos de infracciones.

1. Las infracciones se calificarn como leves, graves o muy graves.

2. Son infracciones leves:

a) No proceder, de oficio o a solicitud de las personas o instituciones legalmente habilitadas para ello, a la rectificacin o cancelacin de los errores, lagunas o inexactitudes de carcter formal de los ficheros.

b) No cumplir las instrucciones dictadas por el Director de la Agencia de Proteccin de Datos, o no proporcionar la informacin que ste solicite en relacin a aspectos no sustantivos de la proteccin de datos.

c) No conservar actualizados los datos de carcter personal que se mantengan en ficheros automatizados.

d) Cualquiera otra que afecte a cuestiones meramente formales o documentales y que no constituya infraccin grave o muy grave.

3. Son infracciones graves:

a) Proceder a la creacin de ficheros automatizados de titularidad pblica o iniciar la recogida de datos de carcter personal para los mismos, sin autorizacin de disposicin general, publicada en el <Boletn Oficial del Estado> o diario oficial correspondiente.

b) Proceder a la creacin de ficheros automatizados de titularidad privada o iniciar la recogida de datos de carcter personal para los mismos con finalidades distintas de las que constituyen el objeto legtimo de

la empresa o entidad.

c) Proceder a la recogida de datos de carcter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que ste sea exigible, o sin proporcionarles la informacin que seala el artculo 5 de la presente Ley.

d) Tratar de forma automatizada los datos de carcter personal o usarlos posteriormente con conculcacin de los principios y garantas establecidas en la presente Ley o con incumplimiento de los preceptos de proteccin que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infraccin muy grave.

e) El impedimento o la obstaculizacin del ejercicio del derecho de acceso y la negativa a facilitar la informacin que sea solicitada.

f) Mantener datos de carcter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.

g) La vulneracin del deber de guardar secreto, cuando no constituya infraccin muy grave.

h) Mantener los ficheros, locales, programas o equipos que contengan datos de carcter personal sin las debidas condiciones de seguridad que por va reglamentaria, se determinen.

i) No remitir a la Agencia de Proteccin de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, as como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aqul a tales efectos.

j) La obstruccin al ejercicio de la funcin inspectora.

4. Son infracciones muy graves:

a) La recogida de datos en forma engaosa y fraudulenta.

b) La comunicacin o cesin de los datos de carcter personal, fuera de los casos en que estn permitidas.

c) Recabar y tratar de forma automatizada los datos de carcter personal a los que se refiere el apartado 2 del artculo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar de forma automatizada los datos referidos en el apartado 3 del artculo 7 cuando no lo disponga una Ley o el afectado no haya consentido expresamente o violentar la prohibicin contenida en el apartado 4 del artculo 7.

d) No cesar en el uso ilegtimo de los tratamientos automatizados de datos de carcter personal cuando sea requerido para ello por el Director de la Agencia de Proteccin de Datos o por las personas titulares del derecho de acceso.

e) La transferencia, temporal o definitiva, de datos de carcter personal que hayan sido objeto de tratamiento automatizado o hayan sido recogidos para someterlos a dicho tratamiento, con destino a pases que no proporcionen un nivel de proteccin equiparable sin autorizacin del Director de la Agencia de Proteccin de Datos.

f) Tratar de forma automatizada los datos de carcter personal de forma ilegtima o con menosprecio de los principios y garantas que les sean de aplicacin, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.

g) La vulneracin del deber de guardar secreto sobre los datos de carcter personal a que hacen referencia los apartados 2 y 3 del artculo 7.

Artculo 44. Tipos de sanciones.

1. Las infracciones leves sern sancionadas con multa de 100.000 a 10.000.000 de pesetas.

2. Las infracciones graves sern sancionadas con multa de 10.000.001 pesetas a 50.000.000 de pesetas.

3. Las infracciones muy graves sern sancionadas con multa de 50.000.001 pesetas a 100.000.000 de pesetas.

4. La cuanta de las sanciones se graduar atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad y a la reincidencia.

5. El Gobierno actualizar peridicamente la cuanta de las sanciones de acuerdo con las variaciones que experimenten los ndices de precios.

Artculo 45. Infracciones de las Administraciones Pblicas.

1. Cuando las infracciones a que se refiere el artculo 43 fuesen cometidas en ficheros de los que sean responsables las Administraciones Pblicas, el Director de la Agencia de Proteccin de Datos dictar una resolucin estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infraccin. Esta resolucin se notificar al responsable del fichero, al rgano del que dependa jerrquicamente y a los afectados si los hubiera.

2. El Director de la Agencia podr proponer tambin la iniciacin de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar sern las establecidas en la legislacin sobre rgimen disciplinario de las Administraciones Pblicas.

3. Se debern comunicar a la Agencia las resoluciones que recaigan en relacin con las medidas y actuaciones a que se refieren los apartados anteriores.

4. El Director de la Agencia comunicar al Defensor del Pueblo las actuaciones que efecte y las resoluciones que dicte al amparo de los apartados anteriores.

Artculo 46. Prescripcin.

1. Las infracciones muy graves prescribirn a los tres aos, las graves a los dos aos y las leves al ao.

2. El plazo de prescripcin comenzar a contarse desde el da en que la infraccin se hubiera cometido.

3. Interrumpir la prescripcin la iniciacin, con conocimiento del interesado, del procedimiento sancionador, reanudndose el plazo de prescripcin si el expediente sancionador estuviere paralizado durante ms de seis meses por causa no imputable al presunto infractor.

4. Las sanciones impuestas por faltas muy graves prescribirn a los tres aos, las impuestas por faltas graves a los dos aos y las impuestas por faltas leves al ao.

5. El plazo de prescripcin de las sanciones comenzar a contarse desde el da siguiente a aqul en que adquiera firmeza la resolucin por la que se impone la sancin.

6. La prescripcin se interrumpir por la iniciacin, con conocimiento del interesado, del procedimiento de ejecucin, volviendo a transcurrir el plazo si el mismo est paralizado durante ms de seis meses por causa no imputable al infractor.

Artculo 47. Procedimiento sancionador.

1. Por va reglamentaria se establecer el procedimiento a seguir para la determinacin de las infracciones y la imposicin de las sanciones a que hace referencia el presente Ttulo.

2. Contra las resoluciones de la Agencia de Proteccin de Datos, u rgano correspondiente de la Comunidad Autnoma, proceder recurso contencioso-administrativo.

Artculo 48. Potestad de inmovilizacin de ficheros.

En los supuestos, constitutivos de infraccin muy grave, de utilizacin o cesin ilcita de los datos de carcter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitucin y las leyes garantizan, el Director de la Agencia de Proteccin de Datos podr, adems de ejercer la potestad sancionadora, requerir a los responsables de ficheros automatizados de datos de carcter personal, tanto de titularidad pblica como privada, la cesacin en la utilizacin o cesin ilcita de los datos. Si el requerimiento fuera desatendido la Agencia de Proteccin de Datos podr, mediante resolucin motivada, inmovilizar tales ficheros automatizados a los solos efectos de restaurar los derechos de las personas afectadas.

Disposicin adicional primera. Exclusin de la aplicacin de los Ttulos VI y VII.

Lo dispuesto en los Ttulos VI y VII no es de aplicacin a los ficheros automatizados de los que sean titulares las Cortes Generales, el Defensor del Pueblo, el Tribunal de Cuentas, el Consejo General del Poder Judicial y el Tribunal Constitucional.

Disposicin adicional segunda. Ficheros existentes con anterioridad a la entrada en vigor de la Ley.

1. Dentro del ao siguiente a la entrada en vigor de la presente Ley Orgnica debern ser comunicados a la Agencia de Proteccin de Datos los ficheros y tratamientos automatizados de datos de carcter personal existentes con anterioridad y comprendidos dentro de su mbito de aplicacin.

2. Dentro del ao siguiente a la entrada en vigor de la presente Ley Orgnica, las Administraciones Pblicas responsables de ficheros automatizados ya existentes debern adoptar una disposicin de regulacin del fichero o adaptar la que existiera.

Disposicin adicional tercera. Competencias del Defensor del Pueblo.

Lo dispuesto en la presente Ley Orgnica se entiende sin perjuicio de las competencias del Defensor del Pueblo y de los rganos anlogos de las Comunidades Autnomas.

Disposicin transitoria nica. Adaptaciones complejas a lo establecido en la Ley.

Cuando la adaptacin de los ficheros automatizados a los principios y derechos establecidos en la presente Ley requiera la adopcin de medidas tcnicas complejas o el tratamiento de un gran volumen de datos, tales adaptaciones y tratamientos debern realizarse en el plazo de un ao desde la entrada en vigor de la Ley, sin perjuicio del cumplimiento, en todo lo dems, de las disposiciones de la misma.

Disposicin derogatoria nica. Derogacin de la disposicin transitoria primera de la Ley Orgnica 1/1982.

Queda derogada la disposicin transitoria primera de la Ley Orgnica 1/1982, de 5 de mayo, de proteccin civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.

Disposicin final primera. Habilitacin de desarrollo reglamentario.

El Gobierno dictar las disposiciones necesarias para la aplicacin y desarrollo de la presente Ley, y para regular la estructura orgnica de la Agencia de Proteccin de Datos.

Disposicin final segunda. Extensin de la aplicacin de la Ley a ficheros convencionales.

El Gobierno, previo informe del Director de la Agencia de Proteccin de Datos, podr extender la aplicacin de la presente Ley, con las modificaciones y adaptaciones que fuesen necesarias, a los ficheros que contengan datos almacenados en forma convencional y que no hayan sido sometidos todava o no estn destinados a ser sometidos a tratamiento automatizado.

Disposicin final tercera. Preceptos con carcter de Ley ordinaria.

Los artculos 18, 19, 23, 26, 27, 28, 29, 30, 31, los Ttulos VI y VII, las disposiciones adicionales primera y segunda y la disposicin final primera tienen carcter de Ley ordinaria.

Disposicin final cuarta. Entrada en vigor.

La presente Ley Orgnica entrar en vigor a los tres meses de su publicacin en el <Boletn Oficial del Estado>.

Por tanto,

Mando a todos los espaoles, particulares y autoridades que guarden y hagan guardar esta Ley Orgnica.

Madrid, 29 de octubre de 1992.

JUAN CARLOS R.

El Presidente del Gobierno,

FELIPE GONZALEZ MARQUEZ

Análisis

  • Rango: Ley Orgnica
  • Fecha de disposición: 29/10/1992
  • Fecha de publicación: 31/10/1992
  • Entrada en vigor: 31 de enero de 1993.
  • Fecha de derogación: 14/01/2000
Referencias posteriores

Criterio de ordenación:

  • SE DECLARA en los recursos 201, 219, 226 y 236/1993, la desaparicin sobrevenida del objeto en cuanto a los arts. 6.2, 19.1, 20.3, 22.1 y 2.1, 39.1 y 2 y la disposicin final 3 y la desestimacin de los recursos interpuestos contra los arts. 24, 31 y 40.1 y 2, por Sentencia 290/2000, de 30 de noviembre (Ref. BOE-T-2001-330).
  • SE DEROGA, por Ley Orgnica 15/1999, de 13 de diciembre (Ref. BOE-A-1999-23750).
  • SE DICTA DE CONFORMIDAD con los arts. 9 y 43.3.h), aprobando Reglamento de desarrollo: Real Decreto 994/1999 de 11 de junio (Ref. BOE-A-1999-13967).
  • SE COMPLETA el art. 28, por Instruccin 1/1995, de 1 de marzo (Ref. BOE-A-1995-5746).
  • SE DICTA DE CONFORMIDAD, sobre normas de Acceso y Distribucin Publica de Informacin Catastral: Real Decreto 1485/1994, de 1 de julio (Ref. BOE-A-1994-16757).
  • SE DESARROLLA, por Real Decreto 1332/1994, de 20 de junio (Ref. BOE-A-1994-14121).
  • SE PRORROGA por seis meses el plazo establecido en la disposicin adicional 2, por Real Decreto-ley 20/1993, de 22 de diciembre (Ref. BOE-A-1993-30872).
  • SE DICTA DE CONFORMIDAD, aprobando el Estatuto de la Agencia de proteccin de Datos, por Real Decreto 428/1993, de 26 de marzo (Ref. BOE-A-1993-11252).
Referencias anteriores
Materias
  • Agencia de Proteccin de Datos
  • Comunidades Autnomas
  • Derecho al honor, a la intimidad personal y familiar y a la propia imagen
  • Estadstica
  • Ficheros con datos personales
  • Fuerzas y Cuerpos de Seguridad del Estado
  • Investigacin cientfica
  • Publicidad
  • Registro General de Proteccin de Datos
  • Sanidad
  • Telfonos

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid