Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-2008-979

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal.

TEXTO

La actual Ley Orgnica 15/1999, de 13 de diciembre de Proteccin de datos de carcter personal adapt nuestro ordenamiento a lo dispuesto por la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos, derogando a su vez la hasta entonces vigente Ley Orgnica 5/1992, de 29 de octubre, de Regulacin del tratamiento automatizado de datos de carcter personal.

La nueva ley, que ha nacido con una amplia vocacin de generalidad, prev en su artculo 1 que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas, y especialmente de su honor e intimidad personal. Comprende por tanto el tratamiento automatizado y el no automatizado de los datos de carcter personal.

A fin de garantizar la necesaria seguridad jurdica en un mbito tan sensible para los derechos fundamentales como el de la proteccin de datos, el legislador declar subsistentes las normas reglamentarias existentes y, en especial, los reales decretos 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Proteccin de Datos, 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgnica 5/1992, de 29 de octubre de Regulacin del tratamiento automatizado de los datos de carcter personal y 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal, a la vez que habilit al Gobierno para la aprobacin o modificacin de las disposiciones reglamentarias necesarias para la aplicacin y desarrollo de la Ley Orgnica 15/1999.

Por otra parte, la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la informacin y de comercio electrnico y la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones atribuyen competencias en materia sancionadora a la Agencia Espaola de Proteccin de Datos. stas requieren de desarrollo reglamentario con la peculiaridad de que ambas normas se ordenan a la tutela no slo de los derechos de las personas fsicas, sino tambin de las jurdicas.

II

Este Reglamento comparte con la Ley Orgnica la finalidad de hacer frente a los riesgos que para los derechos de la personalidad pueden suponer el acopio y tratamiento de datos personales. Por ello, ha de destacarse que esta norma reglamentaria nace con la vocacin de no reiterar los contenidos de la norma superior y de desarrollar, no slo los mandatos contenidos en la Ley Orgnica de acuerdo con los principios que emanan de la Directiva, sino tambin aquellos que en estos aos de vigencia de la Ley se ha demostrado que precisan de un mayor desarrollo normativo.

Por tanto, se aprueba este Reglamento partiendo de la necesidad de dotar de coherencia a la regulacin reglamentaria en todo lo relacionado con la transposicin de la Directiva y de desarrollar los aspectos novedosos de la Ley Orgnica 15/1999, junto con aquellos en los que la experiencia ha aconsejado un cierto de grado de precisin que dote de seguridad jurdica al sistema.

III

El reglamento viene a abarcar el mbito tutelado anteriormente por los reales decretos 1332/1994, de 20 de junio, y 994/1999, de 11 de junio, teniendo en cuenta la necesidad de fijar criterios aplicables a los ficheros y tratamientos de datos personales no automatizados. Por otra parte, la atribucin de funciones a la Agencia Espaola de Proteccin de Datos por la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la informacin y de comercio electrnico y la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones obliga a desarrollar tambin los procedimientos para el ejercicio de la potestad sancionadora por la Agencia.

El reglamento se estructura en nueve ttulos cuyo contenido desarrolla los aspectos esenciales en esta materia.

El ttulo I contempla el objeto y mbito de aplicacin del reglamento. A lo largo de la vigencia de la Ley Orgnica 15/1999, se ha advertido la conveniencia de desarrollar el apartado 2 de su artculo 2 para aclarar qu se entiende por ficheros y tratamientos relacionados con actividades personales o domsticas, aspecto muy relevante dado que estn excluidos de la normativa sobre proteccin de datos de carcter personal.

Por otra parte, el presente reglamento no contiene previsiones para los tratamientos de datos personales a los que se refiere el apartado 3 del artculo 2 de la ley orgnica, dado que se rigen por sus disposiciones especficas y por lo especialmente previsto, en su caso, por la propia Ley Orgnica 15/1999. En consecuencia, se mantiene el rgimen jurdico propio de estos tratamientos y ficheros.

Adems, en este ttulo se aporta un conjunto de definiciones que ayudan al correcto entendimiento de la norma, lo que resulta particularmente necesario en un mbito tan tecnificado como el de la proteccin de datos personales. Por otra parte, fija el criterio a seguir en materia de cmputo de plazos con el fin de homogeneizar esta cuestin evitando distinciones que suponen diferencias de trato de los ficheros pblicos respecto de los privados.

El ttulo II, se refiere a los principios de la proteccin de datos. Reviste particular importancia la regulacin del modo de captacin del consentimiento atendiendo a aspectos muy especficos como el caso de los servicios de comunicaciones electrnicas y, muy particularmente, la captacin de datos de los menores. Asimismo, se ofrece lo que no puede definirse sino como un estatuto del encargado del tratamiento, que sin duda contribuir a clarificar todo lo relacionado con esta figura. Las previsiones en este mbito se completan con lo dispuesto en el ttulo VIII en materia de seguridad dotando de un marco coherente a la actuacin del encargado.

El ttulo III se ocupa de una cuestin tan esencial como los derechos de las personas en este mbito. Estos derechos de acceso, rectificacin, cancelacin y oposicin al tratamiento, segn ha afirmado el Tribunal Constitucional en su sentencia nmero 292/2000, constituyen el haz de facultades que emanan del derecho fundamental a la proteccin de datos y sirven a la capital funcin que desempea este derecho fundamental: garantizar a la persona un poder de control sobre sus datos personales, lo que slo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer.

A continuacin, los ttulos IV a VII permiten clarificar aspectos importantes para el trfico ordinario, como la aplicacin de criterios especficos a determinado tipo de ficheros de titularidad privada que por su trascendencia lo requeran -los relativos a la solvencia patrimonial y crdito y los utilizados en actividades de publicidad y prospeccin comercial-, el conjunto de obligaciones materiales y formales que deben conducir a los responsables a la creacin e inscripcin de los ficheros, los criterios y procedimientos para la realizacin de las transferencias internacionales de datos, y, finalmente, la regulacin de un instrumento, el cdigo tipo, llamado a jugar cada vez un papel ms relevante como elemento dinamizador del derecho fundamental a la proteccin de datos.

El ttulo VIII regula un aspecto esencial para la tutela del derecho fundamental a la proteccin de datos, la seguridad, que repercute sobre mltiples aspectos organizativos, de gestin y an de inversin, en todas las organizaciones que traten datos personales. La repercusin del deber de seguridad obligaba a un particular rigor ya que en esta materia han confluido distintos elementos muy relevantes. Por una parte, la experiencia dimanante de la aplicacin del Real Decreto 994/1999 permita conocer las dificultades que haban enfrentado los responsables e identificar los puntos dbiles y fuertes de la regulacin. Por otra, se reclamaba la adaptacin de la regulacin en distintos aspectos. En este sentido, el reglamento trata de ser particularmente riguroso en la atribucin de los niveles de seguridad, en la fijacin de las medidas que corresponda adoptar en cada caso y en la revisin de las mismas cuando ello resulte necesario. Por otra parte, ordena con mayor precisin el contenido y las obligaciones vinculadas al mantenimiento del documento de seguridad. Adems, se ha pretendido regular la materia de modo que contemple las mltiples formas de organizacin material y personal de la seguridad que se dan en la prctica. Por ltimo, se regula un conjunto de medidas destinadas a los ficheros y tratamientos estructurados y no automatizados que ofrezca a los responsables un marco claro de actuacin.

Finalmente en el ttulo IX, dedicado a los procedimientos tramitados por la Agencia Espaola de Proteccin de Datos, se ha optado por normar exclusivamente aquellas especialidades que diferencian a los distintos procedimientos tramitados por la Agencia de las normas generales previstas para los procedimientos en la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn, cuya aplicacin se declara supletoria al presente reglamento.

En su virtud, a propuesta del Ministro de Justicia, con la aprobacin previa de la Ministra de Administraciones Pblicas, de acuerdo con el Consejo de Estado y previa deliberacin del Consejo de Ministros en su reunin del da 21 de diciembre de 2007.

D I S P O N G O :

Artculo nico. Aprobacin del reglamento.

Se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de datos de carcter personal, cuyo texto se incluye a continuacin.

Disposicin transitoria primera. Adaptacin de los cdigos tipo inscritos en el Registro General de Proteccin de Datos.

En el plazo de un ao desde la entrada en vigor del presente real decreto debern notificarse a la Agencia Espaola de Proteccin de Datos las modificaciones que resulten necesarias en los cdigos tipo inscritos en el Registro General de Proteccin de Datos para adaptar su contenido a lo dispuesto en el ttulo VII del mismo.

Disposicin transitoria segunda. Plazos de implantacin de las medidas de seguridad.

La implantacin de las medidas de seguridad previstas en el presente real decreto deber producirse con arreglo a las siguientes reglas:

1. Respecto de los ficheros automatizados que existieran en la fecha de entrada en vigor del presente real decreto:

a) En el plazo de un ao desde su entrada en vigor, debern implantarse las medidas de seguridad de nivel medio exigibles a los siguientes ficheros:

1. Aqullos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias.

2. Aqullos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

3. Aqullos que contengan un conjunto de datos de carcter personal que ofrezcan una definicin de las caractersticas o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos, respecto de las medidas de este nivel que no fueran exigibles conforme a lo previsto en el artculo 4.4 del Reglamento de Medidas de seguridad de los ficheros automatizados de datos de carcter personal, aprobado por Real Decreto 994/1999, de 11 de junio.

b) En el plazo de un ao desde su entrada en vigor debern implantarse las medidas de seguridad de nivel medio y en el de dieciocho meses desde aquella fecha, las de nivel alto exigibles a los siguientes ficheros:

1. Aqullos que contengan datos derivados de actos de violencia de gnero.

2. Aqullos de los que sean responsables los operadores que presten servicios de comunicaciones electrnicas disponibles al pblico o exploten redes pblicas de comunicaciones electrnicas respecto a los datos de trfico y a los datos de localizacin.

c) En los dems supuestos, cuando el presente reglamento exija la implantacin de una medida adicional, no prevista en el Reglamento de Medidas de seguridad de los ficheros automatizados de datos de carcter personal, aprobado por Real Decreto 994/1999, de 11 de junio, dicha medida deber implantarse en el plazo de un ao desde la entrada en vigor del presente real decreto.

2. Respecto de los ficheros no automatizados que existieran en la fecha de entrada en vigor del presente real decreto:

a) Las medidas de seguridad de nivel bsico debern implantarse en el plazo de un ao desde su entrada en vigor.

b) Las medidas de seguridad de nivel medio debern implantarse en el plazo de dieciocho meses desde su entrada en vigor.

c) Las medidas de seguridad de nivel alto debern implantarse en el plazo de dos aos desde su entrada en vigor.

3. Los ficheros, tanto automatizados como no automatizados, creados con posterioridad a la fecha de entrada en vigor del presente real decreto debern tener implantadas, desde el momento de su creacin la totalidad de las medidas de seguridad reguladas en el mismo.

Disposicin transitoria tercera. Rgimen transitorio de las solicitudes para el ejercicio de los derechos de las personas.

A las solicitudes para el ejercicio de los derechos de acceso, oposicin, rectificacin y cancelacin que hayan sido efectuadas antes de la entrada en vigor del presente real decreto, no les ser de aplicacin el mismo, rigindose por la normativa anterior.

Disposicin transitoria cuarta. Rgimen transitorio de los procedimientos.

A los procedimientos ya iniciados antes de la entrada en vigor del presente real decreto, no les ser de aplicacin el mismo, rigindose por la normativa anterior.

Disposicin transitoria quinta. Rgimen transitorio de las actuaciones previas.

A las actuaciones previas iniciadas con anterioridad a la entrada en vigor del presente real decreto, no les ser de aplicacin el mismo, rigindose por la normativa anterior.

El presente real decreto se aplicar a las actuaciones previas que se inicien despus de su entrada en vigor.

Disposicin derogatoria nica. Derogacin normativa.

Quedan derogados el Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgnica 5/1992, de 29 de octubre, de Regulacin del tratamiento automatizado de los datos de carcter personal, el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal y todas las normas de igual o inferior rango que contradigan o se opongan a lo dispuesto en el presente real decreto.

Disposicin final primera. Ttulo competencial.

El ttulo I, con excepcin del apartado c) del artculo 4, los ttulos II, III, VII y VIII, as como los artculos 52, 53.3, 53.4, 54, 55.1, 55.3, 56, 57, 58 y 63.3 del reglamento se dictan al amparo de lo dispuesto en el artculo 149.1.1. de la Constitucin, que atribuye al Estado la competencia exclusiva para la regulacin de las condiciones bsicas que garanticen la igualdad de todos los espaoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales.

Disposicin final segunda. Entrada en vigor.

El presente real decreto entrar en vigor a los tres meses de su ntegra publicacin en el Boletn Oficial del Estado.

Dado en Madrid, el 21 de diciembre de 2007.

JUAN CARLOS R.

El Ministro de Justicia,

MARIANO FERNNDEZ BERMEJO

REGLAMENTO DE DESARROLLO DE LA LEY ORGNICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIN DE DATOS DE CARCTER PERSONAL

Ttulo I. Disposiciones generales.

Artculo 1. Objeto.

Artculo 2. mbito objetivo de aplicacin.

Artculo 3. mbito territorial de aplicacin.

Artculo 4. Ficheros o tratamientos excluidos.

Artculo 5. Definiciones.

Artculo 6. Cmputo de plazos.

Artculo 7. Fuentes accesibles al pblico.

Ttulo II. Principios de proteccin de datos.

Captulo I. Calidad de los datos.

Artculo 8. Principios de calidad de los datos.

Artculo 9. Tratamiento con fines estadsticos, histricos o cientficos.

Artculo 10. Supuestos que legitiman el tratamiento o cesin de los datos.

Artculo 11. Verificacin de datos en solicitudes formuladas a las Administraciones Pblicas.

Captulo II. Consentimiento para el tratamiento de los datos y deber de informacin.

Seccin Primera. Obtencin del consentimiento del afectado.

Artculo 12. Principios generales.

Artculo 13. Consentimiento para el tratamiento de datos de menores de edad.

Artculo 14. Forma de recabar el consentimiento.

Artculo 15. Solicitud del consentimiento en el marco de una relacin contractual para fines no relacionados directamente con la misma.

Artculo 16. Tratamiento de datos de facturacin y trfico en servicios de comunicaciones electrnicas.

Artculo 17. Revocacin del consentimiento.

Seccin Segunda. Deber de informacin al interesado.

Artculo 18. Acreditacin del cumplimiento del deber de informacin.

Artculo 19. Supuestos especiales.

Captulo III. Encargado del tratamiento.

Artculo 20. Relaciones entre el responsable y el encargado del tratamiento.

Artculo 21. Posibilidad de subcontratacin de los servicios.

Artculo 22. Conservacin de los datos por el encargado del tratamiento.

Ttulo III. Derechos de acceso, rectificacin, cancelacin y oposicin.

Captulo I. Disposiciones generales.

Artculo 23. Carcter personalsimo.

Artculo 24. Condiciones generales para el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin.

Artculo 25. Procedimiento.

Artculo 26. Ejercicio de los derechos ante un encargado del tratamiento.

Captulo II. Derecho de acceso.

Artculo 27. Derecho de acceso.

Artculo 28. Ejercicio del derecho de acceso.

Artculo 29. Otorgamiento del acceso.

Artculo 30. Denegacin del acceso.

Captulo III. Derechos de rectificacin y cancelacin.

Artculo 31. Derechos de rectificacin y cancelacin.

Artculo 32. Ejercicio de los derechos de rectificacin y cancelacin.

Artculo 33. Denegacin de los derechos de rectificacin y cancelacin.

Captulo IV. Derecho de oposicin.

Artculo 34. Derecho de oposicin.

Artculo 35. Ejercicio del derecho de oposicin.

Artculo 36. Derecho de oposicin a las decisiones basadas nicamente en un tratamiento automatizado de datos.

Ttulo IV. Disposiciones aplicables a determinados ficheros de titularidad privada.

Captulo I. Ficheros de informacin sobre solvencia patrimonial y crdito.

Seccin Primera. Disposiciones generales.

Artculo 37. Rgimen aplicable.

Seccin Segunda. Tratamiento de datos relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien acte por su cuenta o inters.

Artculo 38. Requisitos para la inclusin de los datos.

Artculo 39. Informacin previa a la inclusin.

Artculo 40. Notificacin de inclusin.

Artculo 41. Conservacin de los datos.

Artculo 42. Acceso a la informacin contenida en el fichero.

Artculo 43. Responsabilidad.

Artculo 44. Ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin.

Captulo II. Tratamientos para actividades de publicidad y prospeccin comercial.

Artculo 45. Datos susceptibles de tratamiento e informacin al interesado.

Artculo 46. Tratamiento de datos en campaas publicitarias.

Artculo 47. Depuracin de datos personales.

Artculo 48. Ficheros de exclusin del envo de comunicaciones comerciales.

Artculo 49. Ficheros comunes de exclusin del envo de comunicaciones comerciales.

Artculo 50. Derechos de acceso, rectificacin y cancelacin.

Artculo 51. Derecho de oposicin.

Ttulo V. Obligaciones previas al tratamiento de los datos.

Captulo I. Creacin, modificacin o supresin de ficheros de titularidad pblica.

Artculo 52. Disposicin o Acuerdo de creacin, modificacin o supresin del fichero.

Artculo 53. Forma de la disposicin o acuerdo.

Artculo 54. Contenido de la disposicin o acuerdo.

Captulo II. Notificacin e inscripcin de los ficheros de titularidad pblica o privada.

Artculo 55. Notificacin de ficheros.

Artculo 56. Tratamiento de datos en distintos soportes.

Artculo 57. Ficheros en los que exista ms de un responsable.

Artculo 58. Notificacin de la modificacin o supresin de ficheros.

Artculo 59. Modelos y soportes para la notificacin.

Artculo 60. Inscripcin de los ficheros.

Artculo 61. Cancelacin de la inscripcin.

Artculo 62. Rectificacin de errores.

Artculo 63. Inscripcin de oficio de ficheros de titularidad pblica.

Artculo 64. Colaboracin con las Autoridades de Control de las Comunidades Autnomas.

Ttulo VI. Transferencias internacionales de datos.

Captulo I. Disposiciones generales.

Artculo 65. Cumplimiento de las disposiciones de la Ley Orgnica 15/1999, de 13 de diciembre.

Artculo 66. Autorizacin y notificacin.

Captulo II. Transferencias a estados que proporcionen un nivel adecuado de proteccin.

Artculo 67. Nivel adecuado de proteccin acordado por la Agencia Espaola de Proteccin de Datos.

Artculo 68. Nivel adecuado de proteccin declarado por Decisin de la Comisin Europea.

Artculo 69. Suspensin temporal de las transferencias.

Captulo III. Transferencias a estados que no proporcionen un nivel adecuado de proteccin.

Artculo 70. Transferencias sujetas a autorizacin del Director de la Agencia Espaola de Proteccin de Datos.

Ttulo VII. Cdigos tipo.

Artculo 71. Objeto y naturaleza.

Artculo 72. Iniciativa y mbito de aplicacin.

Artculo 73. Contenido.

Artculo 74. Compromisos adicionales

Artculo 75. Garantas del cumplimiento de los cdigos tipo.

Artculo 76. Relacin de adheridos.

Artculo 77. Depsito y publicidad de los cdigos tipo.

Artculo 78. Obligaciones posteriores a la inscripcin del cdigo tipo.

Ttulo VIII. De las medidas de seguridad en el tratamiento de datos de carcter personal.

Captulo I. Disposiciones generales.

Artculo 79. Alcance.

Artculo 80. Niveles de seguridad.

Artculo 81. Aplicacin de los niveles de seguridad.

Artculo 82. Encargado del tratamiento.

Artculo 83. Prestaciones de servicios sin acceso a datos personales.

Artculo 84. Delegacin de autorizaciones.

Artculo 85. Acceso a datos a travs de redes de comunicaciones.

Artculo 86. Rgimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento.

Artculo 87. Ficheros temporales o copias de trabajo de documentos.

Captulo II. Del documento de seguridad.

Artculo 88. El documento de seguridad.

Captulo III. Medidas de seguridad aplicables a ficheros y tratamientos automatizados.

Seccin Primera. Medidas de seguridad de nivel bsico.

Artculo 89. Funciones y obligaciones del personal.

Artculo 90. Registro de incidencias.

Artculo 91. Control de acceso.

Artculo 92. Gestin de soportes.

Artculo 93. Identificacin y autenticacin.

Artculo 94. Copias de respaldo y recuperacin.

Seccin Segunda. Medidas de seguridad de nivel medio.

Artculo 95. Responsable de seguridad.

Artculo 96. Auditora.

Artculo 97. Gestin de soportes.

Artculo 98. Identificacin y autenticacin.

Artculo 99. Control de acceso fsico.

Artculo 100. Registro de incidencias.

Seccin Tercera. Medidas de seguridad de nivel alto.

Artculo 101. Gestin y distribucin de soportes.

Artculo 102. Copias de respaldo y recuperacin.

Artculo 103. Registro de accesos.

Artculo 104. Telecomunicaciones.

Captulo IV. Medidas de seguridad aplicables a los ficheros y tratamientos no automatizados.

Seccin Primera. Medidas de seguridad de nivel bsico.

Artculo 105. Obligaciones comunes.

Artculo 106. Criterios de archivo.

Artculo 107. Dispositivos de almacenamiento.

Artculo 108. Custodia de los soportes.

Seccin Segunda. Medidas de seguridad de nivel medio.

Artculo 109. Responsabilidad de seguridad.

Artculo 110. Auditora.

Seccin Tercera. Medidas de seguridad de nivel alto.

Artculo 111. Almacenamiento de la informacin.

Artculo 112. Copia o reproduccin.

Artculo 113. Acceso a la documentacin.

Artculo 114. Traslado de documentacin.

Ttulo IX. Procedimientos tramitados por la Agencia Espaola de Proteccin de Datos.

Captulo I. Disposiciones generales.

Artculo 115. Rgimen aplicable.

Artculo 116. Publicidad de las resoluciones

Captulo II. Procedimiento de tutela de los derechos de acceso, rectificacin, cancelacin y oposicin.

Artculo 117. Instruccin del procedimiento.

Artculo 118. Duracin del procedimiento y efectos de la falta de resolucin expresa.

Artculo 119. Ejecucin de la resolucin.

Captulo III. Procedimientos relativos al ejercicio de la potestad sancionadora.

Seccin Primera. Disposiciones Generales.

Artculo 120. mbito de aplicacin.

Artculo 121. Inmovilizacin de ficheros.

Seccin Segunda. Actuaciones previas.

Artculo 122. Iniciacin.

Artculo 123. Personal competente para la realizacin de las actuaciones previas.

Artculo 124. Obtencin de informacin.

Artculo 125. Actuaciones presenciales.

Artculo 126. Resultado de las actuaciones previas.

Seccin Tercera Procedimiento Sancionador.

Artculo 127. Iniciacin del procedimiento.

Artculo 128. Plazo mximo para resolver.

Seccin Cuarta. Procedimiento de declaracin de infraccin de la Ley Orgnica 15/1999, de 13 de diciembre, por las Administraciones Pblicas.

Artculo 129. Disposicin general.

Captulo IV. Procedimientos relacionados con la inscripcin o cancelacin de ficheros.

Seccin Primera. Procedimiento de inscripcin de la creacin, modificacin o supresin de ficheros.

Artculo 130. Iniciacin del procedimiento.

Artculo 131. Especialidades en la notificacin de ficheros de titularidad pblica.

Artculo 132. Acuerdo de inscripcin o cancelacin.

Artculo 133. Improcedencia o denegacin de la inscripcin.

Artculo 134. Duracin del procedimiento y efectos de la falta de resolucin expresa.

Seccin Segunda. Procedimiento de cancelacin de oficio de ficheros inscritos.

Artculo 135. Iniciacin del procedimiento.

Artculo 136. Terminacin del expediente.

Captulo V. Procedimientos relacionados con las transferencias internacionales de datos.

Seccin Primera. Procedimiento de autorizacin de transferencias internacionales de datos.

Artculo 137. Iniciacin del procedimiento.

Artculo 138. Instruccin del procedimiento.

Artculo 139. Actos posteriores a la resolucin.

Artculo 140. Duracin del procedimiento y efectos de la falta de resolucin expresa.

Seccin Segunda. Procedimiento de suspensin temporal de transferencias internacionales de datos.

Artculo 141. Iniciacin.

Artculo 142. Instruccin y resolucin.

Artculo 143. Actos posteriores a la resolucin.

Artculo 144. Levantamiento de la suspensin temporal.

Captulo VI. Procedimiento de inscripcin de cdigos tipo.

Artculo 145. Iniciacin del procedimiento.

Artculo 146. Anlisis de los aspectos sustantivos del cdigo tipo.

Artculo 147. Informacin pblica.

Artculo 148. Mejora del cdigo tipo.

Artculo 149. Trmite de audiencia.

Artculo 150. Resolucin.

Artculo 151. Duracin del procedimiento y efectos de la falta de resolucin expresa.

Artculo 152. Publicacin de los cdigos tipo por la Agencia Espaola de Proteccin de Datos.

Captulo VII. Otros procedimientos tramitados por la Agencia Espaola de Proteccin de Datos.

Seccin Primera. Procedimiento de exencin del deber de informacin al interesado

Artculo 153. Iniciacin del procedimiento.

Artculo 154. Propuesta de nuevas medidas compensatorias

Artculo 155. Terminacin del procedimiento.

Artculo 156. Duracin del procedimiento y efectos de la falta de resolucin expresa.

Seccin Segunda. Procedimiento para la autorizacin de conservacin de datos para fines histricos, estadsticos o cientficos.

Artculo 157. Iniciacin del procedimiento.

Artculo 158. Duracin del procedimiento y efectos de la falta de resolucin expresa.

Disposicin adicional nica. Productos de software.

Disposicin final nica. Aplicacin supletoria.

TTULO I
Disposiciones generales
Artculo 1. Objeto.

1. El presente reglamento tiene por objeto el desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de datos de carcter personal.

2. Asimismo, el captulo III del ttulo IX de este reglamento desarrolla las disposiciones relativas al ejercicio por la Agencia Espaola de Proteccin de Datos de la potestad sancionadora, en aplicacin de lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, en el ttulo VII de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la informacin y de comercio electrnico, y en el ttulo VIII de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

Artculo 2. mbito objetivo de aplicacin.

1. El presente reglamento ser de aplicacin a los datos de carcter personal registrados en soporte fsico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores pblico y privado.

2. Este reglamento no ser aplicable a los tratamientos de datos referidos a personas jurdicas, ni a los ficheros que se limiten a incorporar los datos de las personas fsicas que presten sus servicios en aqullas, consistentes nicamente en su nombre y apellidos, las funciones o puestos desempeados, as como la direccin postal o electrnica, telfono y nmero de fax profesionales.

3. Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, tambin se entendern excluidos del rgimen de aplicacin de la proteccin de datos de carcter personal.

4. Este reglamento no ser de aplicacin a los datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o anlogas, podrn dirigirse a los responsables de los ficheros o tratamientos que contengan datos de ste con la finalidad de notificar el bito, aportando acreditacin suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelacin de los datos.

Artculo 3. mbito territorial de aplicacin.

1. Se regir por el presente reglamento todo tratamiento de datos de carcter personal:

a) Cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento, siempre que dicho establecimiento se encuentre ubicado en territorio espaol.

Cuando no resulte de aplicacin lo dispuesto en el prrafo anterior, pero exista un encargado del tratamiento ubicado en Espaa, sern de aplicacin al mismo las normas contenidas en el ttulo VIII del presente reglamento.

b) Cuando al responsable del tratamiento no establecido en territorio espaol, le sea de aplicacin la legislacin espaola, segn las normas de Derecho internacional pblico.

c) Cuando el responsable del tratamiento no est establecido en territorio de la Unin Europea y utilice en el tratamiento de datos medios situados en territorio espaol, salvo que tales medios se utilicen nicamente con fines de trnsito.

En este supuesto, el responsable del tratamiento deber designar un representante establecido en territorio espaol.

2. A los efectos previstos en los apartados anteriores, se entender por establecimiento, con independencia de su forma jurdica, cualquier instalacin estable que permita el ejercicio efectivo y real de una actividad.

Artculo 4. Ficheros o tratamientos excluidos.

El rgimen de proteccin de los datos de carcter personal que se establece en el presente reglamento no ser de aplicacin a los siguientes ficheros y tratamientos:

a) A los realizados o mantenidos por personas fsicas en el ejercicio de actividades exclusivamente personales o domsticas.

Slo se considerarn relacionados con actividades personales o domsticas los tratamientos relativos a las actividades que se inscriben en el marco de la vida privada o familiar de los particulares.

b) A los sometidos a la normativa sobre proteccin de materias clasificadas.

c) A los establecidos para la investigacin del terrorismo y de formas graves de delincuencia organizada. No obstante el responsable del fichero comunicar previamente la existencia del mismo, sus caractersticas generales y su finalidad a la Agencia Espaola de Proteccin de Datos.

Artculo 5. Definiciones.

1. A los efectos previstos en este reglamento, se entender por:

a) Afectado o interesado: Persona fsica titular de los datos que sean objeto del tratamiento.

b) Cancelacin: Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelacin implicar el bloqueo de los datos, consistente en la identificacin y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposicin de las Administraciones pblicas, Jueces y Tribunales, para la atencin de las posibles responsabilidades nacidas del tratamiento y slo durante el plazo de prescripcin de dichas responsabilidades. Transcurrido ese plazo deber procederse a la supresin de los datos.

c) Cesin o comunicacin de datos: Tratamiento de datos que supone su revelacin a una persona distinta del interesado.

d) Consentimiento del interesado: Toda manifestacin de voluntad, libre, inequvoca, especfica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

e) Dato disociado: aqul que no permite la identificacin de un afectado o interesado.

f) Datos de carcter personal: Cualquier informacin numrica, alfabtica, grfica, fotogrfica, acstica o de cualquier otro tipo concerniente a personas fsicas identificadas o identificables.

g) Datos de carcter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, fsica o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su informacin gentica.

h) Destinatario o cesionario: la persona fsica o jurdica, pblica o privada u rgano administrativo, al que se revelen los datos.

Podrn ser tambin destinatarios los entes sin personalidad jurdica que acten en el trfico como sujetos diferenciados.

i) Encargado del tratamiento: La persona fsica o jurdica, pblica o privada, u rgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relacin jurdica que le vincula con el mismo y delimita el mbito de su actuacin para la prestacin de un servicio.

Podrn ser tambin encargados del tratamiento los entes sin personalidad jurdica que acten en el trfico como sujetos diferenciados.

j) Exportador de datos personales: la persona fsica o jurdica, pblica o privada, u rgano administrativo situado en territorio espaol que realice, conforme a lo dispuesto en el presente Reglamento, una transferencia de datos de carcter personal a un pas tercero.

k) Fichero: Todo conjunto organizado de datos de carcter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creacin, almacenamiento, organizacin y acceso.

l) Ficheros de titularidad privada: los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos econmicos, as como los ficheros de los que sean responsables las corporaciones de derecho pblico, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho pblico que a las mismas atribuye su normativa especfica.

m) Ficheros de titularidad pblica: los ficheros de los que sean responsables los rganos constitucionales o con relevancia constitucional del Estado o las instituciones autonmicas con funciones anlogas a los mismos, las Administraciones pblicas territoriales, as como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho pblico siempre que su finalidad sea el ejercicio de potestades de derecho pblico.

n) Fichero no automatizado: todo conjunto de datos de carcter personal organizado de forma no automatizada y estructurado conforme a criterios especficos relativos a personas fsicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aqul centralizado, descentralizado o repartido de forma funcional o geogrfica.

) Importador de datos personales: la persona fsica o jurdica, pblica o privada, u rgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer pas, ya sea responsable del tratamiento, encargada del tratamiento o tercero.

o) Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier informacin referida a su identidad fsica, fisiolgica, psquica, econmica, cultural o social. Una persona fsica no se considerar identificable si dicha identificacin requiere plazos o actividades desproporcionados.

p) Procedimiento de disociacin: Todo tratamiento de datos personales que permita la obtencin de datos disociados.

q) Responsable del fichero o del tratamiento: Persona fsica o jurdica, de naturaleza pblica o privada, u rgano administrativo, que slo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.

Podrn ser tambin responsables del fichero o del tratamiento los entes sin personalidad jurdica que acten en el trfico como sujetos diferenciados.

r) Tercero: la persona fsica o jurdica, pblica o privada u rgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento.

Podrn ser tambin terceros los entes sin personalidad jurdica que acten en el trfico como sujetos diferenciados.

s) Transferencia internacional de datos: Tratamiento de datos que supone una transmisin de los mismos fuera del territorio del Espacio Econmico Europeo, bien constituya una cesin o comunicacin de datos, bien tenga por objeto la realizacin de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio espaol.

t) Tratamiento de datos: cualquier operacin o procedimiento tcnico, sea o no automatizado, que permita la recogida, grabacin, conservacin, elaboracin, modificacin, consulta, utilizacin, modificacin, cancelacin, bloqueo o supresin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

2. En particular, en relacin con lo dispuesto en el ttulo VIII de este reglamento se entender por:

a) Accesos autorizados: autorizaciones concedidas a un usuario para la utilizacin de los diversos recursos. En su caso, incluirn las autorizaciones o funciones que tenga atribuidas un usuario por delegacin del responsable del fichero o tratamiento o del responsable de seguridad.

b) Autenticacin: procedimiento de comprobacin de la identidad de un usuario.

c) Contrasea: informacin confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticacin de un usuario o en el acceso a un recurso.

d) Control de acceso: mecanismo que en funcin de la identificacin ya autenticada permite acceder a datos o recursos.

e) Copia de respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperacin.

f) Documento: todo escrito, grfico, sonido, imagen o cualquier otra clase de informacin que puede ser tratada en un sistema de informacin como una unidad diferenciada.

g) Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realizacin de un tratamiento.

h) Identificacin: procedimiento de reconocimiento de la identidad de un usuario.

i) Incidencia: cualquier anomala que afecte o pudiera afectar a la seguridad de los datos.

j) Perfil de usuario: accesos autorizados a un grupo de usuarios.

k) Recurso: cualquier parte componente de un sistema de informacin.

l) Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la funcin de coordinar y controlar las medidas de seguridad aplicables.

m) Sistema de informacin: conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carcter personal.

n) Sistema de tratamiento: modo en que se organiza o utiliza un sistema de informacin. Atendiendo al sistema de tratamiento, los sistemas de informacin podrn ser automatizados, no automatizados o parcialmente automatizados.

) Soporte: objeto fsico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de informacin y sobre el cual se pueden grabar y recuperar datos.

o) Transmisin de documentos: cualquier traslado, comunicacin, envo, entrega o divulgacin de la informacin contenida en el mismo.

p) Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Tendrn la consideracin de usuarios los procesos que permitan acceder a datos o recursos sin identificacin de un usuario fsico.

Artculo 6. Cmputo de plazos.

En los supuestos en que este reglamento seale un plazo por das se computarn nicamente los hbiles. Cuando el plazo sea por meses, se computarn de fecha a fecha.

Artculo 7. Fuentes accesibles al pblico.

1. A efectos del artculo 3, prrafo j) de la Ley Orgnica 15/1999, se entender que slo tendrn el carcter de fuentes accesibles al pblico:

a) El censo promocional, regulado conforme a lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre.

b) Las guas de servicios de comunicaciones electrnicas, en los trminos previstos por su normativa especfica.

c) Las listas de personas pertenecientes a grupos de profesionales que contengan nicamente los datos de nombre, ttulo, profesin, actividad, grado acadmico, direccin profesional e indicacin de su pertenencia al grupo. La direccin profesional podr incluir los datos del domicilio postal completo, nmero telefnico, nmero de fax y direccin electrnica. En el caso de Colegios profesionales, podrn indicarse como datos de pertenencia al grupo los de nmero de colegiado, fecha de incorporacin y situacin de ejercicio profesional.

d) Los diarios y boletines oficiales.

e) Los medios de comunicacin social.

2. En todo caso, para que los supuestos enumerados en el apartado anterior puedan ser considerados fuentes accesibles al pblico, ser preciso que su consulta pueda ser realizada por cualquier persona, no impedida por una norma limitativa, o sin ms exigencia que, en su caso, el abono de una contraprestacin.

TTULO II
Principios de proteccin de datos
CAPTULO I
Calidad de los datos
Artculo 8. Principios relativos a la calidad de los datos.

1. Los datos de carcter personal debern ser tratados de forma leal y lcita. Se prohbe la recogida de datos por medios fraudulentos, desleales o ilcitos.

2. Los datos de carcter personal slo podrn ser recogidos para el cumplimiento de finalidades determinadas, explcitas y legtimas del responsable del tratamiento.

3. Los datos de carcter personal objeto de tratamiento no podrn usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.

4. Slo podrn ser objeto de tratamiento los datos que sean adecuados, pertinentes y no excesivos en relacin con las finalidades determinadas, explcitas y legtimas para las que se hayan obtenido.

5. Los datos de carcter personal sern exactos y puestos al da de forma que respondan con veracidad a la situacin actual del afectado. Si los datos fueran recogidos directamente del afectado, se considerarn exactos los facilitados por ste.

Si los datos de carcter personal sometidos a tratamiento resultaran ser inexactos, en todo o en parte, o incompletos, sern cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados en el plazo de diez das desde que se tuviese conocimiento de la inexactitud, salvo que la legislacin aplicable al fichero establezca un procedimiento o un plazo especfico para ello.

Cuando los datos hubieran sido comunicados previamente, el responsable del fichero o tratamiento deber notificar al cesionario, en el plazo de diez das, la rectificacin o cancelacin efectuada, siempre que el cesionario sea conocido.

En el plazo de diez das desde la recepcin de la notificacin, el cesionario que mantuviera el tratamiento de los datos, deber proceder a la rectificacin y cancelacin notificada.

Esta actualizacin de los datos de carcter personal no requerir comunicacin alguna al interesado, sin perjuicio del ejercicio de los derechos por parte de los interesados reconocidos en la Ley Orgnica 15/1999, de 13 de diciembre.

Lo dispuesto en este apartado se entiende sin perjuicio de las facultades que a los afectados reconoce el ttulo III de este reglamento.

6. Los datos de carcter personal sern cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No obstante, podrn conservarse durante el tiempo en que pueda exigirse algn tipo de responsabilidad derivada de una relacin u obligacin jurdica o de la ejecucin de un contrato o de la aplicacin de medidas precontractuales solicitadas por el interesado.

Una vez cumplido el perodo al que se refieren los prrafos anteriores, los datos slo podrn ser conservados previa disociacin de los mismos, sin perjuicio de la obligacin de bloqueo prevista en la Ley Orgnica 15/1999, de 13 de diciembre, y en el presente reglamento.

7. Los datos de carcter personal sern tratados de forma que permitan el ejercicio del derecho de acceso, en tanto no proceda su cancelacin.

Artculo 9. Tratamiento con fines estadsticos, histricos o cientficos.

1. No se considerar incompatible, a los efectos previstos en el apartado 3 del artculo anterior, el tratamiento de los datos de carcter personal con fines histricos, estadsticos o cientficos.

Para la determinacin de los fines a los que se refiere el prrafo anterior se estar a la legislacin que en cada caso resulte aplicable y, en particular, a lo dispuesto en la Ley 12/1989, de 9 de mayo, Reguladora de la funcin estadstica pblica, la Ley 16/1985, de 25 junio, del Patrimonio histrico espaol y la Ley 13/1986, de 14 de abril de Fomento y coordinacin general de la investigacin cientfica y tcnica, y sus respectivas disposiciones de desarrollo, as como a la normativa autonmica en estas materias.

2. Por va de excepcin a lo dispuesto en el apartado 6 del artculo anterior, la Agencia Espaola de Proteccin de Datos o, en su caso, las autoridades de control de las comunidades autnomas podrn, previa solicitud del responsable del tratamiento y conforme al procedimiento establecido en la seccin segunda del captulo VII del ttulo IX del presente reglamento, acordar el mantenimiento ntegro de determinados datos, atendidos sus valores histricos, estadsticos o cientficos de acuerdo con las normas a las que se refiere el apartado anterior.

Artculo 10. Supuestos que legitiman el tratamiento o cesin de los datos.

1. Los datos de carcter personal nicamente podrn ser objeto de tratamiento o cesin si el interesado hubiera prestado previamente su consentimiento para ello.

2. No obstante, ser posible el tratamiento o la cesin de los datos de carcter personal sin necesidad del consentimiento del interesado cuando:

a) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:

El tratamiento o la cesin tengan por objeto la satisfaccin de un inters legtimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el inters o los derechos y libertades fundamentales de los interesados previstos en el artculo 1 de la Ley Orgnica 15/1999, de 13 de diciembre.

El tratamiento o la cesin de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.

b) Los datos objeto de tratamiento o de cesin figuren en fuentes accesibles al pblico y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un inters legtimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

No obstante, las Administraciones pblicas slo podrn comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al pblico a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley.

3. Los datos de carcter personal podrn tratarse sin necesidad del consentimiento del interesado cuando:

a) Se recojan para el ejercicio de las funciones propias de las Administraciones pblicas en el mbito de las competencias que les atribuya una norma con rango de ley o una norma de derecho comunitario.

b) Se recaben por el responsable del tratamiento con ocasin de la celebracin de un contrato o precontrato o de la existencia de una relacin negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento.

c) El tratamiento de los datos tenga por finalidad proteger un inters vital del interesado en los trminos del apartado 6 del artculo 7 de la Ley Orgnica 15/1999, de 13 de diciembre.

4. Ser posible la cesin de los datos de carcter personal sin contar con el consentimiento del interesado cuando:

a) La cesin responda a la libre y legtima aceptacin de una relacin jurdica cuyo desarrollo, cumplimiento y control comporte la comunicacin de los datos. En este caso la comunicacin slo ser legtima en cuanto se limite a la finalidad que la justifique.

b) La comunicacin que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones autonmicas con funciones anlogas al Defensor del Pueblo o al Tribunal de Cuentas y se realice en el mbito de las funciones que la ley les atribuya expresamente.

c) La cesin entre Administraciones pblicas cuando concurra uno de los siguientes supuestos:

Tenga por objeto el tratamiento de los datos con fines histricos, estadsticos o cientficos.

Los datos de carcter personal hayan sido recogidos o elaborados por una Administracin pblica con destino a otra.

La comunicacin se realice para el ejercicio de competencias idnticas o que versen sobre las mismas materias.

5. Los datos especialmente protegidos podrn tratarse y cederse en los trminos previstos en los artculos 7 y 8 de la Ley Orgnica 15/1999, de 13 de diciembre.

En particular, no ser necesario el consentimiento del interesado para la comunicacin de datos personales sobre la salud, incluso a travs de medios electrnicos, entre organismos, centros y servicios del Sistema Nacional de Salud cuando se realice para la atencin sanitaria de las personas, conforme a lo dispuesto en el Captulo V de la Ley 16/2003, de 28 de mayo, de cohesin y calidad del Sistema Nacional de Salud.

Artculo 11. Verificacin de datos en solicitudes formuladas a las Administraciones pblicas.

Cuando se formulen solicitudes por medios electrnicos en las que el interesado declare datos personales que obren en poder de las Administraciones pblicas, el rgano destinatario de la solicitud podr efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la autenticidad de los datos.

CAPTULO II
Consentimiento para el tratamiento de los datos y deber de informacin
Seccin 1. Obtencin del consentimiento del afectado
Artculo 12. Principios generales.

1. El responsable del tratamiento deber obtener el consentimiento del interesado para el tratamiento de sus datos de carcter personal salvo en aquellos supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en las leyes.

La solicitud del consentimiento deber ir referida a un tratamiento o serie de tratamientos concretos, con delimitacin de la finalidad para los que se recaba, as como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos.

2. Cuando se solicite el consentimiento del afectado para la cesin de sus datos, ste deber ser informado de forma que conozca inequvocamente la finalidad a la que se destinarn los datos respecto de cuya comunicacin se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento ser nulo.

3. Corresponder al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho.

Artculo 13. Consentimiento para el tratamiento de datos de menores de edad.

1. Podr procederse al tratamiento de los datos de los mayores de catorce aos con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestacin la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce aos se requerir el consentimiento de los padres o tutores.

2. En ningn caso podrn recabarse del menor datos que permitan obtener informacin sobre los dems miembros del grupo familiar, o sobre las caractersticas del mismo, como los datos relativos a la actividad profesional de los progenitores, informacin econmica, datos sociolgicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrn recabarse los datos de identidad y direccin del padre, madre o tutor con la nica finalidad de recabar la autorizacin prevista en el apartado anterior.

3. Cuando el tratamiento se refiera a datos de menores de edad, la informacin dirigida a los mismos deber expresarse en un lenguaje que sea fcilmente comprensible por aqullos, con expresa indicacin de lo dispuesto en este artculo.

4. Corresponder al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.

Artculo 14. Forma de recabar el consentimiento.

1. El responsable del tratamiento podr solicitar el consentimiento del interesado a travs del procedimiento establecido en este artculo, salvo cuando la Ley exija al mismo la obtencin del consentimiento expreso para el tratamiento de los datos.

2. El responsable podr dirigirse al afectado, informndole en los trminos previstos en los artculos 5 de la Ley Orgnica 15/1999, de 13 de diciembre y 12.2 de este reglamento y deber concederle un plazo de treinta das para manifestar su negativa al tratamiento, advirtindole de que en caso de no pronunciarse a tal efecto se entender que consiente el tratamiento de sus datos de carcter personal.

En particular, cuando se trate de responsables que presten al afectado un servicio que genere informacin peridica o reiterada, o facturacin peridica, la comunicacin podr llevarse a cabo de forma conjunta a esta informacin o a la facturacin del servicio prestado, siempre que se realice de forma claramente visible.

3. En todo caso, ser necesario que el responsable del tratamiento pueda conocer si la comunicacin ha sido objeto de devolucin por cualquier causa, en cuyo caso no podr proceder al tratamiento de los datos referidos a ese interesado.

4. Deber facilitarse al interesado un medio sencillo y gratuito para manifestar su negativa al tratamiento de los datos. En particular, se considerar ajustado al presente reglamento los procedimientos en el que tal negativa pueda efectuarse, entre otros, mediante un envo prefranqueado al responsable del tratamiento, la llamada a un nmero telefnico gratuito o a los servicios de atencin al pblico que el mismo hubiera establecido.

5. Cuando se solicite el consentimiento del interesado a travs del procedimiento establecido en este artculo, no ser posible solicitarlo nuevamente respecto de los mismos tratamientos y para las mismas finalidades en el plazo de un ao a contar de la fecha de la anterior solicitud.

Artculo 15. Solicitud del consentimiento en el marco de una relacin contractual para fines no relacionados directamente con la misma.

Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formacin de un contrato para finalidades que no guarden relacin directa con el mantenimiento, desarrollo o control de la relacin contractual, deber permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicacin de datos.

En particular, se entender cumplido tal deber cuando se permita al afectado la marcacin de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebracin del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.

Artculo 16. Tratamiento de datos de facturacin y trfico en servicios de comunicaciones electrnicas.

La solicitud del consentimiento para el tratamiento o cesin de los datos de trfico, facturacin y localizacin por parte de los sujetos obligados, o en su caso la revocacin de aqul, segn la legislacin reguladora de las telecomunicaciones se someter a lo establecido en su normativa especfica y, en lo que no resulte contrario a la misma, a lo establecido en la presente seccin.

Artculo 17. Revocacin del consentimiento.

1. El afectado podr revocar su consentimiento a travs de un medio sencillo, gratuito y que no implique ingreso alguno para el responsable del fichero o tratamiento. En particular, se considerar ajustado al presente reglamento el procedimiento en el que tal negativa pueda efectuarse, entre otros, mediante un envo prefranqueado al responsable del tratamiento o la llamada a un nmero telefnico gratuito o a los servicios de atencin al pblico que el mismo hubiera establecido.

No se considerarn conformes a lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, los supuestos en que el responsable establezca como medio para que el interesado pueda manifestar su negativa al tratamiento el envo de cartas certificadas o envos semejantes, la utilizacin de servicios de telecomunicaciones que implique una tarificacin adicional al afectado o cualesquiera otros medios que impliquen un coste adicional al interesado.

2. El responsable cesar en el tratamiento de los datos en el plazo mximo de diez das a contar desde el de la recepcin de la revocacin del consentimiento, sin perjuicio de su obligacin de bloquear los datos conforme a lo dispuesto en el artculo 16.3 de la Ley Orgnica 15/1999, de 13 de diciembre.

3. Cuando el interesado hubiera solicitado del responsable del tratamiento la confirmacin del cese en el tratamiento de sus datos, ste deber responder expresamente a la solicitud.

4. Si los datos hubieran sido cedidos previamente, el responsable del tratamiento, una vez revocado el consentimiento, deber comunicarlo a los cesionarios, en el plazo previsto en el apartado 2, para que stos, cesen en el tratamiento de los datos en caso de que an lo mantuvieran, conforme al artculo 16.4 de la Ley Orgnica 15/1999, de 13 de diciembre.

Seccin 2. Deber de informacin al interesado
Artculo 18. Acreditacin del cumplimiento del deber de informacin.

1. El deber de informacin al que se refiere el artculo 5 de la Ley Orgnica 15/1999, de 13 de diciembre, deber llevarse a cabo a travs de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.

2. El responsable del fichero o tratamiento deber conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podr utilizar medios informticos o telemticos. En particular podr proceder al escaneado de la documentacin en soporte papel, siempre y cuando se garantice que en dicha automatizacin no ha mediado alteracin alguna de los soportes originales.

Artculo 19. Supuestos especiales.

En los supuestos en que se produzca una modificacin del responsable del fichero como consecuencia de una operacin de fusin, escisin, cesin global de activos y pasivos, aportacin o transmisin de negocio o rama de actividad empresarial, o cualquier operacin de reestructuracin societaria de anloga naturaleza, contemplada por la normativa mercantil, no se producir cesin de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artculo 5 de la Ley Orgnica 15/1999, de 13 de diciembre.

CAPTULO III
Encargado del tratamiento
Artculo 20. Relaciones entre el responsable y el encargado del tratamiento.

1. El acceso a los datos por parte de un encargado del tratamiento que resulte necesario para la prestacin de un servicio al responsable no se considerar comunicacin de datos, siempre y cuando se cumpla lo establecido en la Ley Orgnica 15/1999, de 13 de diciembre y en el presente captulo.

El servicio prestado por el encargado del tratamiento podr tener o no carcter remunerado y ser temporal o indefinido.

No obstante, se considerar que existe comunicacin de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vnculo entre quien accede a los datos y el afectado.

2. Cuando el responsable del tratamiento contrate la prestacin de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este captulo deber velar por que el encargado del tratamiento rena las garantas para el cumplimiento de lo dispuesto en este Reglamento.

3. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato al que se refiere el apartado 2 del artculo 12 de la Ley Orgnica 15/1999, de 13 de diciembre, ser considerado, tambin, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

No obstante, el encargado del tratamiento no incurrir en responsabilidad cuando, previa indicacin expresa del responsable, comunique los datos a un tercero designado por aqul, al que hubiera encomendado la prestacin de un servicio conforme a lo previsto en el presente captulo.

Artculo 21. Posibilidad de subcontratacin de los servicios.

1. El encargado del tratamiento no podr subcontratar con un tercero la realizacin de ningn tratamiento que le hubiera encomendado el responsable del tratamiento, salvo que hubiera obtenido de ste autorizacin para ello. En este caso, la contratacin se efectuar siempre en nombre y por cuenta del responsable del tratamiento.

2. No obstante lo dispuesto en el apartado anterior, ser posible la subcontratacin sin necesidad de autorizacin siempre y cuando se cumplan los siguientes requisitos:

a) Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratacin y, si ello fuera posible, la empresa con la que se vaya a subcontratar.

Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, ser preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratacin.

b) Que el tratamiento de datos de carcter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.

c) Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato, en los trminos previstos en el artculo anterior.

En este caso, el subcontratista ser considerado encargado del tratamiento, sindole de aplicacin lo previsto en el artculo 20.3 de este reglamento.

3. Si durante la prestacin del servicio resultase necesario subcontratar una parte del mismo y dicha circunstancia no hubiera sido prevista en el contrato, debern someterse al responsable del tratamiento los extremos sealados en el apartado anterior.

Artculo 22. Conservacin de los datos por el encargado del tratamiento.

1. Una vez cumplida la prestacin contractual, los datos de carcter personal debern ser destruidos o devueltos al responsable del tratamiento o al encargado que ste hubiese designado, al igual que cualquier soporte o documentos en que conste algn dato de carcter personal objeto del tratamiento.

No proceder la destruccin de los datos cuando exista una previsin legal que exija su conservacin, en cuyo caso deber procederse a la devolucin de los mismos garantizando el responsable del fichero dicha conservacin.

2. El encargado del tratamiento conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relacin con el responsable del tratamiento.

TTULO III
Derechos de acceso, rectificacin, cancelacin y oposicin
CAPTULO I
Disposiciones generales
Artculo 23. Carcter personalsimo.

1. Los derechos de acceso, rectificacin, cancelacin y oposicin son personalsimos y sern ejercidos por el afectado.

2. Tales derechos se ejercitarn:

a) Por el afectado, acreditando su identidad, del modo previsto en el artculo siguiente.

b) Cuando el afectado se encuentre en situacin de incapacidad o minora de edad que le imposibilite el ejercicio personal de estos derechos, podrn ejercitarse por su representante legal, en cuyo caso ser necesario que acredite tal condicin.

c) Los derechos tambin podrn ejercitarse a travs de representante voluntario, expresamente designado para el ejercicio del derecho. En ese caso, deber constar claramente acreditada la identidad del representado, mediante la aportacin de copia de su Documento Nacional de Identidad o documento equivalente, y la representacin conferida por aqul.

Cuando el responsable del fichero sea un rgano de las Administraciones pblicas o de la Administracin de Justicia, podr acreditarse la representacin por cualquier medio vlido en derecho que deje constancia fidedigna, o mediante declaracin en comparecencia personal del interesado.

3. Los derechos sern denegados cuando la solicitud sea formulada por persona distinta del afectado y no se acreditase que la misma acta en representacin de aqul.

Artculo 24. Condiciones generales para el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin.

1. Los derechos de acceso, rectificacin, cancelacin y oposicin son derechos independientes, de tal forma que no puede entenderse que el ejercicio de ninguno de ellos sea requisito previo para el ejercicio de otro.

2. Deber concederse al interesado un medio sencillo y gratuito para el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin.

3. El ejercicio por el afectado de sus derechos de acceso, rectificacin, cancelacin y oposicin ser gratuito y en ningn caso podr suponer un ingreso adicional para el responsable del tratamiento ante el que se ejercitan.

No se considerarn conformes a lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, y en el presente Reglamento los supuestos en que el responsable del tratamiento establezca como medio para que el interesado pueda ejercitar sus derechos el envo de cartas certificadas o semejantes, la utilizacin de servicios de telecomunicaciones que implique una tarificacin adicional al afectado o cualesquiera otros medios que impliquen un coste excesivo para el interesado.

4. Cuando el responsable del fichero o tratamiento disponga de servicios de cualquier ndole para la atencin a su pblico o el ejercicio de reclamaciones relacionadas con el servicio prestado o los productos ofertados al mismo, podr concederse la posibilidad al afectado de ejercer sus derechos de acceso, rectificacin, cancelacin y oposicin a travs de dichos servicios. En tal caso, la identidad del interesado se considerar acreditada por los medios establecidos para la identificacin de los clientes del responsable en la prestacin de sus servicios o contratacin de sus productos.

5. El responsable del fichero o tratamiento deber atender la solicitud de acceso, rectificacin, cancelacin u oposicin ejercida por el afectado an cuando el mismo no hubiese utilizado el procedimiento establecido especficamente al efecto por aqul, siempre que el interesado haya utilizado un medio que permita acreditar el envo y la recepcin de la solicitud, y que sta contenga los elementos referidos en el prrafo 1 del artculo siguiente.

Artculo 25. Procedimiento.

1. Salvo en el supuesto referido en el prrafo 4 del artculo anterior, el ejercicio de los derechos deber llevarse a cabo mediante comunicacin dirigida al responsable del fichero, que contendr:

a) Nombre y apellidos del interesado; fotocopia de su documento nacional de identidad, o de su pasaporte u otro documento vlido que lo identifique y, en su caso, de la persona que lo represente, o instrumentos electrnicos equivalentes; as como el documento o instrumento electrnico acreditativo de tal representacin. La utilizacin de firma electrnica identificativa del afectado eximir de la presentacin de las fotocopias del DNI o documento equivalente.

El prrafo anterior se entender sin perjuicio de la normativa especfica aplicable a la comprobacin de datos de identidad por las Administraciones Pblicas en los procedimientos administrativos.

b) Peticin en que se concreta la solicitud.

c) Direccin a efectos de notificaciones, fecha y firma del solicitante.

d) Documentos acreditativos de la peticin que formula, en su caso.

2. El responsable del tratamiento deber contestar la solicitud que se le dirija en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros.

3. En el caso de que la solicitud no rena los requisitos especificados en el apartado primero, el responsable del fichero deber solicitar la subsanacin de los mismos.

4. La respuesta deber ser conforme con los requisitos previstos para cada caso en el presente ttulo.

5. Corresponder al responsable del tratamiento la prueba del cumplimiento del deber de respuesta al que se refiere el apartado 2, debiendo conservar la acreditacin del cumplimiento del mencionado deber.

6. El responsable del fichero deber adoptar las medidas oportunas para garantizar que las personas de su organizacin que tienen acceso a datos de carcter personal puedan informar del procedimiento a seguir por el afectado para el ejercicio de sus derechos.

7. El ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin podr modularse por razones de seguridad pblica en los casos y con el alcance previsto en las Leyes.

8. Cuando las leyes aplicables a determinados ficheros concretos establezcan un procedimiento especial para la rectificacin o cancelacin de los datos contenidos en los mismos, se estar a lo dispuesto en aqullas.

Artculo 26. Ejercicio de los derechos ante un encargado del tratamiento.

Cuando los afectados ejercitasen sus derechos ante un encargado del tratamiento y solicitasen el ejercicio de su derecho ante el mismo, el encargado deber dar traslado de la solicitud al responsable, a fin de que por el mismo se resuelva, a menos que en la relacin existente con el responsable del tratamiento se prevea precisamente que el encargado atender, por cuenta del responsable, las solicitudes de ejercicio por los afectados de sus derechos de acceso, rectificacin, cancelacin u oposicin.

CAPTULO II
Derecho de acceso
Artculo 27. Derecho de acceso.

1. El derecho de acceso es el derecho del afectado a obtener informacin sobre si sus propios datos de carcter personal estn siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se est realizando, as como la informacin disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

2. En virtud del derecho de acceso el afectado podr obtener del responsable del tratamiento informacin relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus datos sometidos a tratamiento.

No obstante, cuando razones de especial complejidad lo justifiquen, el responsable del fichero podr solicitar del afectado la especificacin de los ficheros respecto de los cuales quiera ejercitar el derecho de acceso, a cuyo efecto deber facilitarle una relacin de todos ellos.

3. El derecho de acceso es independiente del que otorgan a los afectados las leyes especiales y en particular la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn.

Artculo 28. Ejercicio del derecho de acceso.

1. Al ejercitar el derecho de acceso, el afectado podr optar por recibir la informacin a travs de uno o varios de los siguientes sistemas de consulta del fichero:

a) Visualizacin en pantalla.

b) Escrito, copia o fotocopia remitida por correo, certificado o no.

c) Telecopia.

d) Correo electrnico u otros sistemas de comunicaciones electrnicas.

e) Cualquier otro sistema que sea adecuado a la configuracin o implantacin material del fichero o a la naturaleza del tratamiento, ofrecido por el responsable.

2. Los sistemas de consulta del fichero previstos en el apartado anterior podrn restringirse en funcin de la configuracin o implantacin material del fichero o de la naturaleza del tratamiento, siempre que el que se ofrezca al afectado sea gratuito y asegure la comunicacin escrita si ste as lo exige.

3. El responsable del fichero deber cumplir al facilitar el acceso lo establecido en el Ttulo VIII de este Reglamento.

Si tal responsable ofreciera un determinado sistema para hacer efectivo el derecho de acceso y el afectado lo rechazase, aqul no responder por los posibles riesgos que para la seguridad de la informacin pudieran derivarse de la eleccin.

Del mismo modo, si el responsable ofreciera un procedimiento para hacer efectivo el derecho de acceso y el afectado exigiese que el mismo se materializase a travs de un procedimiento que implique un coste desproporcionado, surtiendo el mismo efecto y garantizando la misma seguridad el procedimiento ofrecido por el responsable, sern de cuenta del afectado los gastos derivados de su eleccin.

Artculo 29. Otorgamiento del acceso.

1. El responsable del fichero resolver sobre la solicitud de acceso en el plazo mximo de un mes a contar desde la recepcin de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la peticin de acceso, el interesado podr interponer la reclamacin prevista en el artculo 18 de la Ley Orgnica 15/1999, de 13 de diciembre.

En el caso de que no disponga de datos de carcter personal de los afectados deber igualmente comunicrselo en el mismo plazo.

2. Si la solicitud fuera estimada y el responsable no acompaase a su comunicacin la informacin a la que se refiere el artculo 27.1, el acceso se har efectivo durante los diez das siguientes a dicha comunicacin.

3. La informacin que se proporcione, cualquiera que sea el soporte en que fuere facilitada, se dar en forma legible e inteligible, sin utilizar claves o cdigos que requieran el uso de dispositivos mecnicos especficos.

Dicha informacin comprender todos los datos de base del afectado, los resultantes de cualquier elaboracin o proceso informtico, as como la informacin disponible sobre el origen de los datos, los cesionarios de los mismos y la especificacin de los concretos usos y finalidades para los que se almacenaron los datos.

Artculo 30. Denegacin del acceso.

1. El responsable del fichero o tratamiento podr denegar el acceso a los datos de carcter personal cuando el derecho ya se haya ejercitado en los doce meses anteriores a la solicitud, salvo que se acredite un inters legtimo al efecto.

2. Podr tambin denegarse el acceso en los supuestos en que as lo prevea una Ley o una norma de derecho comunitario de aplicacin directa o cuando stas impidan al responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que se refiera el acceso.

3. En todo caso, el responsable del fichero informar al afectado de su derecho a recabar la tutela de la Agencia Espaola de Proteccin de Datos o, en su caso, de las autoridades de control de las comunidades autnomas, conforme a lo dispuesto en el artculo 18 de la Ley Orgnica 15/1999, de 13 de diciembre.

CAPTULO III
Derechos de rectificacin y cancelacin
Artculo 31. Derechos de rectificacin y cancelacin.

1. El derecho de rectificacin es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.

2. El ejercicio del derecho de cancelacin dar lugar a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo conforme a este reglamento.

En los supuestos en que el interesado invoque el ejercicio del derecho de cancelacin para revocar el consentimiento previamente prestado, se estar a lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre y en el presente reglamento.

Artculo 32. Ejercicio de los derechos de rectificacin y cancelacin.

1. La solicitud de rectificacin deber indicar a qu datos se refiere y la correccin que haya de realizarse y deber ir acompaada de la documentacin justificativa de lo solicitado.

En la solicitud de cancelacin, el interesado deber indicar a qu datos se refiere, aportando al efecto la documentacin que lo justifique, en su caso.

2. El responsable del fichero resolver sobre la solicitud de rectificacin o cancelacin en el plazo mximo de diez das a contar desde la recepcin de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la peticin, el interesado podr interponer la reclamacin prevista en el artculo 18 de la Ley Orgnica 15/1999, de 13 de diciembre.

En el caso de que no disponga de datos de carcter personal del afectado deber igualmente comunicrselo en el mismo plazo.

3. Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deber comunicar la rectificacin o cancelacin efectuada al cesionario, en idntico plazo, para que ste, tambin en el plazo de diez das contados desde la recepcin de dicha comunicacin, proceda, asimismo, a rectificar o cancelar los datos.

La rectificacin o cancelacin efectuada por el cesionario no requerir comunicacin alguna al interesado, sin perjuicio del ejercicio de los derechos por parte de los interesados reconocidos en la Ley Orgnica 15/1999, de 13 de diciembre.

Artculo 33. Denegacin de los derechos de rectificacin y cancelacin.

1. La cancelacin no proceder cuando los datos de carcter personal deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos.

2. Podr tambin denegarse los derechos de rectificacin o cancelacin en los supuestos en que as lo prevea una ley o una norma de derecho comunitario de aplicacin directa o cuando stas impidan al responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que se refiera el acceso.

3. En todo caso, el responsable del fichero informar al afectado de su derecho a recabar la tutela de la Agencia Espaola de Proteccin de Datos o, en su caso, de las autoridades de control de las Comunidades Autnomas, conforme a lo dispuesto en el artculo 18 de la Ley Orgnica 15/1999, de 13 de diciembre.

CAPTULO IV
Derecho de oposicin
Artculo 34. Derecho de oposicin.

El derecho de oposicin es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carcter personal o se cese en el mismo en los siguientes supuestos:

a) Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legtimo y fundado, referido a su concreta situacin personal, que lo justifique, siempre que una Ley no disponga lo contrario.

b) Cuando se trate de ficheros que tengan por finalidad la realizacin de actividades de publicidad y prospeccin comercial, en los trminos previstos en el artculo 51 de este reglamento, cualquiera que sea la empresa responsable de su creacin.

c) Cuando el tratamiento tenga por finalidad la adopcin de una decisin referida al afectado y basada nicamente en un tratamiento automatizado de sus datos de carcter personal, en los trminos previstos en el artculo 36 de este reglamento.

Artculo 35. Ejercicio del derecho de oposicin.

1. El derecho de oposicin se ejercitar mediante solicitud dirigida al responsable del tratamiento.

Cuando la oposicin se realice con base en la letra a) del artculo anterior, en la solicitud debern hacerse constar los motivos fundados y legtimos, relativos a una concreta situacin personal del afectado, que justifican el ejercicio de este derecho.

2. El responsable del fichero resolver sobre la solicitud de oposicin en el plazo mximo de diez das a contar desde la recepcin de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la peticin, el interesado podr interponer la reclamacin prevista en el artculo 18 de la Ley Orgnica 15/1999, de 13 de diciembre.

En el caso de que no disponga de datos de carcter personal de los afectados deber igualmente comunicrselo en el mismo plazo.

3. El responsable del fichero o tratamiento deber excluir del tratamiento los datos relativos al afectado que ejercite su derecho de oposicin o denegar motivadamente la solicitud del interesado en el plazo previsto en el apartado 2 de este artculo.

Artculo 36. Derecho de oposicin a las decisiones basadas nicamente en un tratamiento automatizado de datos.

1. Los interesados tienen derecho a no verse sometidos a una decisin con efectos jurdicos sobre ellos o que les afecte de manera significativa, que se base nicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, tales como su rendimiento laboral, crdito, fiabilidad o conducta.

2. No obstante, los afectados podrn verse sometidos a una de las decisiones contempladas en el apartado 1 cuando dicha decisin:

a) Se haya adoptado en el marco de la celebracin o ejecucin de un contrato a peticin del interesado, siempre que se le otorgue la posibilidad de alegar lo que estimara pertinente, a fin de defender su derecho o inters. En todo caso, el responsable del fichero deber informar previamente al afectado, de forma clara y precisa, de que se adoptarn decisiones con las caractersticas sealadas en el apartado 1 y cancelar los datos en caso de que no llegue a celebrarse finalmente el contrato.

b) Est autorizada por una norma con rango de Ley que establezca medidas que garanticen el inters legtimo del interesado.

TTULO IV
Disposiciones aplicables a determinados ficheros de titularidad privada
CAPTULO I
Ficheros de informacin sobre solvencia patrimonial y crdito
Seccin 1. Disposiciones generales
Artculo 37. Rgimen aplicable.

1. El tratamiento de datos de carcter personal sobre solvencia patrimonial y crdito, previsto en el apartado 1 del artculo 29 de la Ley Orgnica 15/1999, de 13 de diciembre, se someter a lo establecido, con carcter general, en dicha ley orgnica y en el presente reglamento.

2. El ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin en el caso de los ficheros a que se refiere el apartado anterior, se rige por lo dispuesto en los captulos I a IV del ttulo III del presente reglamento, con los siguientes criterios:

a) Cuando la peticin de ejercicio de los derechos se dirigiera al responsable del fichero, ste estar obligado a satisfacer, en cualquier caso, dichos derechos.

b) Si la peticin se dirigiera a las personas y entidades a las que se presta el servicio, stas nicamente debern comunicar al afectado aquellos datos relativos al mismo que les hayan sido comunicados y a facilitar la identidad del responsable para que, en su caso, puedan ejercitar sus derechos ante el mismo.

3. De conformidad con el apartado 2 del artculo 29 de la Ley Orgnica 15/1999, de 13 de diciembre, tambin podrn tratarse los datos de carcter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien acte por su cuenta o inters.

Estos datos debern conservarse en ficheros creados con la exclusiva finalidad de facilitar informacin crediticia del afectado y su tratamiento se regir por lo dispuesto en el presente reglamento y, en particular, por las previsiones contenidas en la seccin segunda de este captulo.

Seccin 2. Tratamiento de datos relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien acte por su cuenta o inters
Artculo 38. Requisitos para la inclusin de los datos.

1. Slo ser posible la inclusin en estos ficheros de datos de carcter personal que sean determinantes para enjuiciar la solvencia econmica del afectado, siempre que concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamacin judicial, arbitral o administrativa, o tratndose de servicios financieros, no se haya planteado una reclamacin en los trminos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.

b) Que no hayan transcurrido seis aos desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligacin o del plazo concreto si aqulla fuera de vencimiento peridico.

c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligacin.

2. No podrn incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores.

Tal circunstancia determinar asimismo la cancelacin cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusin en el fichero.

3. El acreedor o quien acte por su cuenta o inters estar obligado a conservar a disposicin del responsable del fichero comn y de la Agencia Espaola de Proteccin de Datos documentacin suficiente que acredite el cumplimiento de los requisitos establecidos en este artculo y del requerimiento previo al que se refiere el artculo siguiente.

Artculo 39. Informacin previa a la inclusin.

El acreedor deber informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c) del apartado 1 del artculo anterior, que en caso de no producirse el pago en el trmino previsto para ello y cumplirse los requisitos previstos en el citado artculo, los datos relativos al impago podrn ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias.

Artculo 40. Notificacin de inclusin.

1. El responsable del fichero comn deber notificar a los interesados respecto de los que hayan registrado datos de carcter personal, en el plazo de treinta das desde dicho registro, una referencia de los que hubiesen sido incluidos, informndole asimismo de la posibilidad de ejercitar sus derechos de acceso, rectificacin, cancelacin y oposicin, en los trminos establecidos por la Ley Orgnica 15/1999, de 13 de diciembre.

2. Se efectuar una notificacin por cada deuda concreta y determinada con independencia de que sta se tenga con el mismo o con distintos acreedores.

3. La notificacin deber efectuarse a travs de un medio fiable, auditable e independiente de la entidad notificante, que la permita acreditar la efectiva realizacin de los envos.

4. En todo caso, ser necesario que el responsable del fichero pueda conocer si la notificacin ha sido objeto de devolucin por cualquier causa, en cuyo caso no podr proceder al tratamiento de los datos referidos a ese interesado.

No se entendern suficientes para que no se pueda proceder al tratamiento de los datos referidos a un interesado las devoluciones en las que el destinatario haya rehusado recibir el envo.

5. Si la notificacin de inclusin fuera devuelta, el responsable del fichero comn comprobar con la entidad acreedora que la direccin utilizada para efectuar esta notificacin se corresponde con la contractualmente pactada con el cliente a efectos de comunicaciones y no proceder al tratamiento de los datos si la mencionada entidad no confirma la exactitud de este dato.

Artculo 41. Conservacin de los datos.

1. Slo podrn ser objeto de tratamiento los datos que respondan con veracidad a la situacin de la deuda en cada momento concreto.

El pago o cumplimiento de la deuda determinar la cancelacin inmediata de todo dato relativo a la misma.

2. En los restantes supuestos, los datos debern ser cancelados cuando se hubieran cumplido seis aos contados a partir del vencimiento de la obligacin o del plazo concreto si aqulla fuera de vencimiento peridico.

Artculo 42. Acceso a la informacin contenida en el fichero.

1. Los datos contenidos en el fichero comn slo podrn ser consultados por terceros cuando precisen enjuiciar la solvencia econmica del afectado. En particular, se considerar que concurre dicha circunstancia en los siguientes supuestos:

a) Que el afectado mantenga con el tercero algn tipo de relacin contractual que an no se encuentre vencida.

b) Que el afectado pretenda celebrar con el tercero un contrato que implique el pago aplazado del precio.

c) Que el afectado pretenda contratar con el tercero la prestacin de un servicio de facturacin peridica.

2. Los terceros debern informar por escrito a las personas en las que concurran los supuestos contemplados en las letras b) y c) precedentes de su derecho a consultar el fichero.

En los supuestos de contratacin telefnica de los productos o servicios a los que se refiere el prrafo anterior, la informacin podr realizarse de forma no escrita, correspondiendo al tercero la prueba del cumplimiento del deber de informar.

Artculo 43. Responsabilidad.

1. El acreedor o quien acte por su cuenta o inters deber asegurarse que concurren todos los requisitos exigidos en los artculos 38 y 39 en el momento de notificar los datos adversos al responsable del fichero comn.

2. El acreedor o quien acte por su cuenta o inters ser responsable de la inexistencia o inexactitud de los datos que hubiera facilitado para su inclusin en el fichero, en los trminos previstos en la Ley Orgnica 15/1999, de 13 de diciembre.

Artculo 44. Ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin.

1. El ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin se rige por lo dispuesto en los captulos I a IV del ttulo III de este reglamento, sin perjuicio de lo sealado en el presente artculo.

2. Cuando el interesado ejercite su derecho de acceso en relacin con la inclusin de sus datos en un fichero regulado por el artculo 29.2 de la Ley Orgnica 15/1999, de 13 de diciembre, se tendrn en cuenta las siguientes reglas:

1. Si la solicitud se dirigiera al titular del fichero comn, ste deber comunicar al afectado todos los datos relativos al mismo que obren en el fichero.

En este caso, el titular del fichero comn deber, adems de dar cumplimiento a lo establecido en el presente reglamento, facilitar las evaluaciones y apreciaciones que sobre el afectado se hayan comunicado en los ltimos seis meses y el nombre y direccin de los cesionarios.

2. Si la solicitud se dirigiera a cualquier otra entidad participante en el sistema, deber comunicar al afectado todos los datos relativos al mismo a los que ella pueda acceder, as como la identidad y direccin del titular del fichero comn para que pueda completar el ejercicio de su derecho de acceso.

3. Cuando el interesado ejercite sus derechos de rectificacin o cancelacin en relacin con la inclusin de sus datos en un fichero regulado por el artculo 29.2 de la Ley Orgnica 15/1999, de 13 de diciembre, se tendrn en cuenta las siguientes reglas:

1. Si la solicitud se dirige al titular del fichero comn, ste tomar las medidas oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos, para que sta la resuelva. En el caso de que el responsable del fichero comn no haya recibido contestacin por parte de la entidad en el plazo de siete das, proceder a la rectificacin o cancelacin cautelar de los mismos.

2. Si la solicitud se dirige a quien haya facilitado los datos al fichero comn proceder a la rectificacin o cancelacin de los mismos en sus ficheros y a notificarlo al titular del fichero comn en el plazo de diez das, dando asimismo respuesta al interesado en los trminos previstos en el artculo 33 de este reglamento.

3. Si la solicitud se dirige a otra entidad participante en el sistema, que no hubiera facilitado al fichero comn los datos, dicha entidad informar al afectado sobre este hecho en el plazo mximo de diez das, proporcionndole, adems, la identidad y direccin del titular del fichero comn para, que en su caso, puedan ejercitar sus derechos ante el mismo.

CAPTULO II
Tratamientos para actividades de publicidad y prospeccin comercial
Artculo 45. Datos susceptibles de tratamiento e informacin al interesado.

1. Quienes se dediquen a la recopilacin de direcciones, reparto de documentos, publicidad, venta a distancia, prospeccin comercial y otras actividades anlogas, as como quienes realicen estas actividades con el fin de comercializar sus propios productos o servicios o los de terceros, slo podrn utilizar nombres y direcciones u otros datos de carcter personal cuando los mismos se encuentren en uno de los siguientes casos:

a) Figuren en alguna de las fuentes accesibles al pblico a las que se refiere la letra j) del artculo 3 de la Ley Orgnica 15/1999, de 13 de diciembre y el artculo 7 de este reglamento y el interesado no haya manifestado su negativa u oposicin a que sus datos sean objeto de tratamiento para las actividades descritas en este apartado.

b) Hayan sido facilitados por los propios interesados u obtenidos con su consentimiento para finalidades determinadas, explcitas y legtimas relacionadas con la actividad de publicidad o prospeccin comercial, habindose informado a los interesados sobre los sectores especficos y concretos de actividad respecto de los que podr recibir informacin o publicidad.

2. Cuando los datos procedan de fuentes accesibles al pblico y se destinen a la actividad de publicidad o prospeccin comercial, deber informarse al interesado en cada comunicacin que se le dirija del origen de los datos y de la identidad del responsable del tratamiento as como de los derechos que le asisten, con indicacin de ante quin podrn ejercitarse.

A tal efecto, el interesado deber ser informado de que sus datos han sido obtenidos de fuentes accesibles al pblico y de la entidad de la que hubieran sido obtenidos.

Artculo 46. Tratamiento de datos en campaas publicitarias.

1. Para que una entidad pueda realizar por s misma una actividad publicitaria de sus productos o servicios entre sus clientes ser preciso que el tratamiento se ampare en alguno de los supuestos contemplados en el artculo 6 de la Ley Orgnica 15/1999, de 13 de diciembre.

2. En caso de que una entidad contrate o encomiende a terceros la realizacin de una determinada campaa publicitaria de sus productos o servicios, encomendndole el tratamiento de determinados datos, se aplicarn las siguientes normas:

a) Cuando los parmetros identificativos de los destinatarios de la campaa sean fijados por la entidad que contrate la campaa, sta ser responsable del tratamiento de los datos.

b) Cuando los parmetros fueran determinados nicamente por la entidad o entidades contratadas, dichas entidades sern las responsable del tratamiento.

c) Cuando en la determinacin de los parmetros intervengan ambas entidades, sern ambas responsables del tratamiento.

3. En el supuesto contemplado en el apartado anterior, la entidad que encargue la realizacin de la campaa publicitaria deber adoptar las medidas necesarias para asegurarse de que la entidad contratada ha recabado los datos cumpliendo las exigencias establecidas en la Ley Orgnica 15/1999, de 13 de diciembre, y en el presente reglamento.

4. A los efectos previstos en este artculo, se consideran parmetros identificativos de los destinatarios las variables utilizadas para identificar el pblico objetivo o destinatario de una campaa o promocin comercial de productos o servicios que permitan acotar los destinatarios individuales de la misma.

Artculo 47. Depuracin de datos personales.

Cuando dos o ms responsables por s mismos o mediante encargo a terceros pretendieran constatar sin consentimiento de los afectados, con fines de promocin o comercializacin de sus productos o servicios y mediante un tratamiento cruzado de sus ficheros quines ostentan la condicin de clientes de una u otra o de varios de ellos, el tratamiento as realizado constituir una cesin o comunicacin de datos.

Artculo 48. Ficheros de exclusin del envo de comunicaciones comerciales.

Los responsables a los que el afectado haya manifestado su negativa a recibir publicidad podrn conservar los mnimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envo de publicidad.

Artculo 49. Ficheros comunes de exclusin del envo de comunicaciones comerciales.

1. Ser posible la creacin de ficheros comunes, de carcter general o sectorial, en los que sean objeto de tratamiento los datos de carcter personal que resulten necesarios para evitar el envo de comunicaciones comerciales a los interesados que manifiesten su negativa u oposicin a recibir publicidad.

A tal efecto, los citados ficheros podrn contener los mnimos datos imprescindibles para identificar al afectado.

2. Cuando el afectado manifieste ante un concreto responsable su negativa u oposicin a que sus datos sean tratados con fines de publicidad o prospeccin comercial, aqul deber ser informado de la existencia de los ficheros comunes de exclusin generales o sectoriales, as como de la identidad de su responsable, su domicilio y la finalidad del tratamiento.

El afectado podr solicitar su exclusin respecto de un fichero o tratamiento concreto o su inclusin en ficheros comunes de excluidos de carcter general o sectorial.

3. La entidad responsable del fichero comn podr tratar los datos de los interesados que hubieran manifestado su negativa u oposicin al tratamiento de sus datos con fines de publicidad o prospeccin comercial, cumpliendo las restantes obligaciones establecidas en la Ley Orgnica 15/1999, de 13 de diciembre, y en el presente Reglamento.

4. Quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospeccin comercial debern previamente consultar los ficheros comunes que pudieran afectar a su actuacin, a fin de evitar que sean objeto de tratamiento los datos de los afectados que hubieran manifestado su oposicin o negativa a ese tratamiento.

Artculo 50. Derechos de acceso, rectificacin y cancelacin.

1. El ejercicio de los derechos de acceso, rectificacin y cancelacin en relacin con los tratamientos vinculados a actividades de publicidad y prospeccin comercial se someter a lo previsto en los captulos I a IV del ttulo III de este reglamento.

2. Si el derecho se ejercitase ante una entidad que hubiese encargado a un tercero la realizacin de una campaa publicitaria, aqulla estar obligada, en el plazo de diez das, desde la recepcin de la comunicacin de la solicitud de ejercicio de derechos del afectado, a comunicar la solicitud al responsable del fichero a fin de que el mismo otorgue al afectado su derecho en el plazo de diez das desde la recepcin de la comunicacin, dando cuenta de ello al afectado.

Lo dispuesto en el prrafo anterior se entender sin perjuicio del deber impuesto a la entidad mencionada en el apartado anterior, en todo caso, por el prrafo segundo del artculo 5.5 de la Ley Orgnica 15/1999, de 13 de diciembre.

Artculo 51. Derecho de oposicin.

1. Los interesados tendrn derecho a oponerse, previa peticin y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso sern dados de baja del tratamiento, cancelndose las informaciones que sobre ellos figuren en aqul, a su simple solicitud.

La oposicin a la que se refiere el prrafo anterior deber entenderse sin perjuicio del derecho del interesado a revocar cuando lo estimase oportuno el consentimiento que hubiera otorgado, en su caso, para el tratamiento de los datos.

2. A tal efecto, deber concederse al interesado un medio sencillo y gratuito para oponerse al tratamiento. En particular, se considerar cumplido lo dispuesto en este precepto cuando los derechos puedan ejercitarse mediante la llamada a un nmero telefnico gratuito o la remisin de un correo electrnico.

3. Cuando el responsable del fichero o tratamiento disponga de servicios de cualquier ndole para la atencin a sus clientes o el ejercicio de reclamaciones relacionadas con el servicio prestado o los productos ofertados al mismo, deber concederse la posibilidad al afectado de ejercer su oposicin a travs de dichos servicios.

No se considerarn conformes a lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, los supuestos en que el responsable del tratamiento establezca como medio para que el interesado pueda ejercitar su oposicin el envo de cartas certificadas o envos semejantes, la utilizacin de servicios de telecomunicaciones que implique una tarificacin adicional al afectado o cualesquiera otros medios que impliquen un coste excesivo para el interesado.

En todo caso, el ejercicio por el afectado de sus derechos no podr suponer un ingreso adicional para el responsable del tratamiento ante el que se ejercitan.

4. Si el derecho de oposicin se ejercitase ante una entidad que hubiera encomendado a un tercero la realizacin de una campaa publicitaria, aqulla estar obligada, en el plazo de diez das, desde la recepcin de la comunicacin de la solicitud de ejercicio de derechos del afectado, a comunicar la solicitud al responsable del fichero a fin de que el mismo atienda el derecho del afectado en el plazo de diez das desde la recepcin de la comunicacin, dando cuenta de ello al afectado.

Lo dispuesto en el prrafo anterior se entender sin perjuicio del deber impuesto a la entidad mencionada en el apartado anterior, en todo caso, por el prrafo segundo del artculo 5.5 de la Ley Orgnica 15/1999, de 13 de diciembre.

TTULO V
Obligaciones previas al tratamiento de los datos
CAPTULO I
Creacin, modificacin o supresin de ficheros de titularidad pblica
Artculo 52. Disposicin o Acuerdo de creacin, modificacin o supresin del fichero.

1. La creacin, modificacin o supresin de los ficheros de titularidad pblica slo podr hacerse por medio de disposicin general o acuerdo publicados en el Boletn Oficial del Estado o diario oficial correspondiente.

2. En todo caso, la disposicin o acuerdo deber dictarse y publicarse con carcter previo a la creacin, modificacin o supresin del fichero.

Artculo 53. Forma de la disposicin o acuerdo.

1. Cuando la disposicin se refiera a los rganos de la Administracin General del Estado o a las entidades u organismos vinculados o dependientes de la misma, deber revestir la forma de orden ministerial o resolucin del titular de la entidad u organismo correspondiente.

2. En el caso de los rganos constitucionales del Estado, se estar a lo que establezcan sus normas reguladoras.

3. En relacin con los ficheros de los que sean responsables las comunidades autnomas, entidades locales y las entidades u organismos vinculados o dependientes de las mismas, las universidades pblicas, as como los rganos de las comunidades autnomas con funciones anlogas a los rganos constitucionales del Estado, se estar a su legislacin especfica.

4. La creacin, modificacin o supresin de los ficheros de los que sean responsables las corporaciones de derecho pblico y que se encuentren relacionados con el ejercicio por aqullas de potestades de derecho pblico deber efectuarse a travs de acuerdo de sus rganos de gobierno, en los trminos que establezcan sus respectivos Estatutos, debiendo ser igualmente objeto de publicacin en el Boletn Oficial del Estado o diario oficial correspondiente.

Artculo 54. Contenido de la disposicin o acuerdo.

1. La disposicin o acuerdo de creacin del fichero deber contener los siguientes extremos:

a) La identificacin del fichero o tratamiento, indicando su denominacin, as como la descripcin de su finalidad y usos previstos.

b) El origen de los datos, indicando el colectivo de personas sobre los que se pretende obtener datos de carcter personal o que resulten obligados a suministrarlos, el procedimiento de recogida de los datos y su procedencia.

c) La estructura bsica del fichero mediante la descripcin detallada de los datos identificativos, y en su caso, de los datos especialmente protegidos, as como de las restantes categoras de datos de carcter personal incluidas en el mismo y el sistema de tratamiento utilizado en su organizacin.

d) Las comunicaciones de datos previstas, indicando en su caso, los destinatarios o categoras de destinatarios.

e) Las transferencias internacionales de datos previstas a terceros pases, con indicacin, en su caso, de los pases de destino de los datos.

f) Los rganos responsables del fichero.

g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificacin, cancelacin y oposicin.

h) El nivel bsico, medio o alto de seguridad que resulte exigible, de acuerdo con lo establecido en el ttulo VIII del presente reglamento.

2. La disposicin o acuerdo de modificacin del fichero deber indicar las modificaciones producidas en cualquiera de los extremos a los que se refiere el apartado anterior.

3. En las disposiciones o acuerdos que se dicten para la supresin de los ficheros se establecer el destino que vaya a darse a los datos o, en su caso, las previsiones que se adopten para su destruccin.

CAPTULO II
Notificacin e inscripcin de los ficheros de titularidad pblica o privada
Artculo 55. Notificacin de ficheros.

1. Todo fichero de datos de carcter personal de titularidad pblica ser notificado a la Agencia Espaola de Proteccin de Datos por el rgano competente de la Administracin responsable del fichero para su inscripcin en el Registro General de Proteccin de Datos, en el plazo de treinta das desde la publicacin de su norma o acuerdo de creacin en el diario oficial correspondiente.

2. Los ficheros de datos de carcter personal de titularidad privada sern notificados a la Agencia Espaola de Proteccin de Datos por la persona o entidad privada que pretenda crearlos, con carcter previo a su creacin. La notificacin deber indicar la identificacin del responsable del fichero, la identificacin del fichero, sus finalidades y los usos previstos, el sistema de tratamiento empleado en su organizacin, el colectivo de personas sobre el que se obtienen los datos, el procedimiento y procedencia de los datos, las categoras de datos, el servicio o unidad de acceso, la indicacin del nivel de medidas de seguridad bsico, medio o alto exigible, y en su caso, la identificacin del encargado del tratamiento en donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales de datos.

3. Cuando la obligacin de notificar afecte a ficheros sujetos a la competencia de la autoridad de control de una comunidad autnoma que haya creado su propio registro de ficheros, la notificacin se realizar a la autoridad autonmica competente, que dar traslado de la inscripcin al Registro General de Proteccin de Datos.

El Registro General de Proteccin de Datos podr solicitar de las autoridades de control de las comunidades autnomas el traslado al que se refiere el prrafo anterior, procediendo, en su defecto, a la inclusin de oficio del fichero en el Registro.

4. La notificacin se realizar conforme al procedimiento establecido en la seccin primera del captulo IV del ttulo IX del presente reglamento.

Artculo 56. Tratamiento de datos en distintos soportes.

1. La notificacin de un fichero de datos de carcter personal es independiente del sistema de tratamiento empleado en su organizacin y del soporte o soportes empleados para el tratamiento de los datos.

2. Cuando los datos de carcter personal objeto de un tratamiento estn almacenados en diferentes soportes, automatizados y no automatizados o exista una copia en soporte no automatizado de un fichero automatizado slo ser precisa una sola notificacin, referida a dicho fichero.

Artculo 57. Ficheros en los que exista ms de un responsable.

Cuando se tenga previsto crear un fichero del que resulten responsables varias personas o entidades simultneamente, cada una de ellas deber notificar, a fin de proceder a su inscripcin en el Registro General de Proteccin de Datos y, en su caso, en los Registros de Ficheros creados por las autoridades de control de las comunidades autnomas, la creacin del correspondiente fichero.

Artculo 58. Notificacin de la modificacin o supresin de ficheros.

1. La inscripcin del fichero deber encontrarse actualizada en todo momento. Cualquier modificacin que afecte al contenido de la inscripcin de un fichero deber ser previamente notificada a la Agencia Espaola de Proteccin de Datos o a las autoridades de control autonmicas competentes, a fin de proceder a su inscripcin en el registro correspondiente, conforme a lo dispuesto en el artculo 55.

2. Cuando el responsable del fichero decida su supresin, deber notificarla a efectos de que se proceda a la cancelacin de la inscripcin en el registro correspondiente.

3. Tratndose de ficheros de titularidad pblica, cuando se pretenda la modificacin que afecte a alguno de los requisitos previstos en el artculo 55 o la supresin del fichero deber haberse adoptado, con carcter previo a la notificacin la correspondiente norma o acuerdo en los trminos previstos en el captulo I de este ttulo.

Artculo 59. Modelos y soportes para la notificacin.

1. La Agencia Espaola de Proteccin de Datos publicar mediante la correspondiente Resolucin del Director los modelos o formularios electrnicos de notificacin de creacin, modificacin o supresin de ficheros, que permitan su presentacin a travs de medios telemticos o en soporte papel, as como, previa consulta de las autoridades de proteccin de datos de las comunidades autnomas, los formatos para la comunicacin telemtica de ficheros pblicos por las autoridades de control autonmicas, de conformidad con lo establecido en los artculos 55 y 58 del presente reglamento.

2. Los modelos o formularios electrnicos de notificacin se podrn obtener gratuitamente en la pgina web de la Agencia Espaola de Proteccin de Datos.

3. El Director de la Agencia Espaola de Proteccin de Datos podr establecer procedimientos simplificados de notificacin en atencin a las circunstancias que concurran en el tratamiento o el tipo de fichero al que se refiera la notificacin.

Artculo 60. Inscripcin de los ficheros.

1. El Director de la Agencia Espaola de Proteccin de Datos, a propuesta del Registro General de Proteccin de Datos, dictar resolucin acordando, en su caso, la inscripcin, una vez tramitado el procedimiento previsto en el captulo IV del ttulo IX.

2. La inscripcin contendr el cdigo asignado por el Registro, la identificacin del responsable del fichero, la identificacin del fichero o tratamiento, la descripcin de su finalidad y usos previstos, el sistema de tratamiento empleado en su organizacin, en su caso, el colectivo de personas sobre el que se obtienen los datos, el procedimiento y procedencia de los datos, las categoras de datos, el servicio o unidad de acceso, y la indicacin del nivel de medidas de seguridad exigible conforme a lo dispuesto en el artculo 81.

Asimismo, se incluirn, en su caso, la identificacin del encargado del tratamiento en donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales.

En el caso de ficheros de titularidad pblica tambin se har constar la referencia de la disposicin general por la que ha sido creado, y en su caso, modificado.

3. La inscripcin de un fichero en el Registro General de Proteccin de Datos, no exime al responsable del cumplimiento del resto de las obligaciones previstas en la Ley Orgnica 15/1999, de 13 de diciembre, y dems disposiciones reglamentarias.

Artculo 61. Cancelacin de la inscripcin.

1. Cuando el responsable del tratamiento comunicase, en virtud de lo dispuesto en el artculo 58 de este reglamento, la supresin del fichero, el Director de la Agencia Espaola de Proteccin de Datos, previa la tramitacin del procedimiento establecido en la seccin primera del captulo IV del ttulo IX, dictar resolucin acordando la cancelacin de la inscripcin correspondiente al fichero.

2. El Director de la Agencia Espaola de Proteccin de Datos podr, en ejercicio de sus competencias, acordar de oficio la cancelacin de la inscripcin de un fichero cuando concurran circunstancias que acrediten la imposibilidad de su existencia, previa la tramitacin del procedimiento establecido en la seccin segunda del captulo IV del ttulo IX de este reglamento.

Artculo 62. Rectificacin de errores.

El Registro General de Proteccin de Datos podr rectificar en cualquier momento, de oficio o a instancia de los interesados, los errores materiales, de hecho o aritmticos que pudieran existir en las inscripciones, de conformidad con lo dispuesto en el artculo 105 de la Ley 30/1992, de 26 de noviembre.

Artculo 63. Inscripcin de oficio de ficheros de titularidad pblica.

1. En supuestos excepcionales con el fin de garantizar el derecho a la proteccin de datos de los afectados, y sin perjuicio de la obligacin de notificacin, se podr proceder a la inscripcin de oficio de un determinado fichero en el Registro General de Proteccin de Datos.

2. Para que lo dispuesto en el apartado anterior resulte de aplicacin, ser requisito indispensable que la correspondiente norma o acuerdo regulador de los ficheros que contengan datos de carcter personal haya sido publicado en el correspondiente diario oficial y cumpla los requisitos establecidos en la Ley Orgnica 15/1999, de 13 de diciembre, y el presente reglamento.

3. El Director de la Agencia Espaola de Proteccin de Datos podr, a propuesta del Registro General de Proteccin de Datos, acordar la inscripcin del fichero de titularidad pblica en el Registro, notificndose dicho acuerdo al rgano responsable del fichero.

Cuando la inscripcin se refiera a ficheros sujetos a la competencia de la autoridad de control de una comunidad autnoma que haya creado su propio registro de ficheros, se comunicar a la referida autoridad de control autonmica para que proceda, en su caso, a la inscripcin de oficio.

Artculo 64. Colaboracin con las autoridades de control de las comunidades autnomas.

El Director de la Agencia Espaola de Proteccin de Datos podr celebrar con los directores de las autoridades de control de las comunidades autnomas los convenios de colaboracin o acuerdos que estime pertinentes, a fin de garantizar la inscripcin en el Registro General de Proteccin de Datos de los ficheros sometidos a la competencia de dichas autoridades autonmicas.

TTULO VI
Transferencias internacionales de datos
CAPTULO I
Disposiciones generales
Artculo 65. Cumplimiento de las disposiciones de la Ley Orgnica 15/1999, de 13 de diciembre.

La transferencia internacional de datos no excluye en ningn caso la aplicacin de las disposiciones contenidas en la Ley Orgnica 15/1999, de 13 de diciembre, y en el presente reglamento.

Artculo 66. Autorizacin y notificacin.

1. Para que la transferencia internacional de datos pueda considerarse conforme a lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, y en el presente Reglamento ser necesaria la autorizacin del Director de la Agencia Espaola de Proteccin de Datos, que se otorgar en caso de que el exportador aporte las garantas a las que se refiere el artculo 70 del presente reglamento.

La autorizacin se otorgar conforme al procedimiento establecido en la seccin primera del captulo V del ttulo IX de este reglamento.

2. La autorizacin no ser necesaria:

a) Cuando el Estado en el que se encontrase el importador ofrezca un nivel adecuado de proteccin conforme a lo previsto en el captulo II de este ttulo.

b) Cuando la transferencia se encuentre en uno de los supuestos contemplados en los apartados a) a j) del artculo 34 de la Ley Orgnica 15/1999, de 13 de diciembre.

3. En todo caso, la transferencia internacional de datos deber ser notificada a fin de proceder a su inscripcin en el Registro General de Proteccin de Datos, conforme al procedimiento establecido en la seccin primera del captulo IV del ttulo IX del presente reglamento.

CAPTULO II
Transferencias a estados que proporcionen un nivel adecuado de proteccin
Artculo 67. Nivel adecuado de proteccin acordado por la Agencia Espaola de Proteccin de Datos.

1. No ser precisa autorizacin del Director de la Agencia Espaola de Proteccin de Datos a una transferencia internacional de datos cuando las normas aplicables al Estado en que se encontrase el importador ofrezcan dicho nivel adecuado de proteccin a juicio del Director de la Agencia Espaola de Proteccin de Datos.

El carcter adecuado del nivel de proteccin que ofrece el pas de destino se evaluar atendiendo a todas las circunstancias que concurran en la transferencia o categora de transferencia de datos. En particular, se tomar en consideracin la naturaleza de los datos, la finalidad y la duracin del tratamiento o de los tratamientos previstos, el pas de origen y el pas de destino final, las normas de Derecho, generales o sectoriales, vigentes en el pas tercero de que se trate, el contenido de los informes de la Comisin de la Unin Europea, as como las normas profesionales y las medidas de seguridad en vigor en dichos pases.

Las resoluciones del Director de la Agencia Espaola de Proteccin de Datos por las que se acordase que un determinado pas proporciona un nivel adecuado de proteccin de datos sern publicadas en el Boletn Oficial del Estado.

2. El Director de la Agencia Espaola de Proteccin de Datos acordar la publicacin de la relacin de pases cuyo nivel de proteccin haya sido considerado equiparable conforme a lo dispuesto en el apartado anterior.

Esta lista se publicar y mantendr actualizada asimismo a travs de medios informticos o telemticos.

Artculo 68. Nivel adecuado de proteccin declarado por Decisin de la Comisin Europea.

No ser necesaria la autorizacin del Director de la Agencia Espaola de Proteccin de Datos para la realizacin de una transferencia internacional de datos que tuvieran por importador una persona o entidad, pblica o privada, situada en el territorio de un Estado respecto del que se haya declarado por la Comisin Europea la existencia de un nivel adecuado de proteccin.

Artculo 69. Suspensin temporal de las transferencias.

1. En los supuestos previstos en los artculos precedentes, el Director de la Agencia Espaola de Proteccin de Datos, en uso de la potestad que le otorga el artculo 37.1 f) de la Ley Orgnica 15/1999, de 13 de diciembre, podr acordar, previa audiencia del exportador, la suspensin temporal de la transferencia de datos hacia un importador ubicado en un tercer Estado del que se haya declarado la existencia de un nivel adecuado de proteccin, cuando concurra alguna de las circunstancias siguientes:

a) Que las autoridades de Proteccin de Datos del Estado importador o cualquier otra competente, en caso de no existir las primeras, resuelvan que el importador ha vulnerado las normas de proteccin de datos establecidas en su derecho interno.

b) Que existan indicios racionales de que se estn vulnerando las normas o, en su caso, los principios de proteccin de datos por la entidad importadora de la transferencia y que las autoridades competentes en el Estado en que se encuentre el importador no han adoptado o no van a adoptar en el futuro las medidas oportunas para resolver el caso en cuestin, habiendo sido advertidas de la situacin por la Agencia Espaola de Proteccin de Datos. En este caso se podr suspender la transferencia cuando su continuacin pudiera generar un riesgo inminente de grave perjuicio a los afectados.

2. La suspensin se acordar previa la tramitacin del procedimiento establecido en la seccin segunda del captulo V del ttulo IX del presente reglamento.

En estos casos, la decisin del Director de la Agencia Espaola de Proteccin de Datos ser notificada a la Comisin Europea.

CAPTULO III
Transferencias a Estados que no proporcionen un nivel adecuado de proteccin
Artculo 70. Transferencias sujetas a autorizacin del Director de la Agencia Espaola de Proteccin de Datos.

1. Cuando la transferencia tenga por destino un Estado respecto del que no se haya declarado por la Comisin Europea o no se haya considerado por el Director de la Agencia Espaola de Proteccin de Datos que existe un nivel adecuado de proteccin, ser necesario recabar la autorizacin del Director de la Agencia Espaola de Proteccin de Datos.

La autorizacin de la transferencia se tramitar conforme al procedimiento establecido en la seccin primera del captulo V del ttulo IX del presente reglamento.

2. La autorizacin podr ser otorgada en caso de que el responsable del fichero o tratamiento aporte un contrato escrito, celebrado entre el exportador y el importador, en el que consten las necesarias garantas de respeto a la proteccin de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.

A tal efecto, se considerar que establecen las adecuadas garantas los contratos que se celebren de acuerdo con lo previsto en las Decisiones de la Comisin Europea 2001/497/CE, de 15 de Junio de 2001, 2002/16/CE, de 27 de diciembre de 2001, y 2004/915/CE, de 27 de diciembre de 2004 o de lo que dispongan las Decisiones de la Comisin que den cumplimiento a lo establecido en el artculo 26.4 de la Directiva 95/46/CE.

3. En el supuesto contemplado en el apartado anterior, el Director de la Agencia Espaola de Proteccin de Datos podr denegar o, en uso de la potestad que le otorga el artculo 37.1 f) de la Ley Orgnica 15/1999, de 13 de diciembre, suspender temporalmente, previa audiencia del exportador, la transferencia, cuando concurra alguna de las circunstancias siguientes:

a) Que la situacin de proteccin de los derechos fundamentales y libertades pblicas en el pas de destino o su legislacin impidan garantizar el ntegro cumplimiento del contrato y el ejercicio por los afectados de los derechos que el contrato garantiza.

b) Que la entidad destinataria haya incumplido previamente las garantas establecidas en clusulas contractuales de este tipo.

c) Que existan indicios racionales de que las garantas ofrecidas por el contrato no estn siendo o no sern respetadas por el importador.

d) Que existan indicios racionales de que los mecanismos de aplicacin del contrato no son o no sern efectivos.

e) Que la transferencia, o su continuacin, en caso de haberse iniciado, pudiera crear una situacin de riesgo de dao efectivo a los afectados.

La suspensin se acordar previa la tramitacin del procedimiento establecido en la seccin segunda del captulo V del ttulo IX del presente reglamento.

Las resoluciones del Director de la Agencia Espaola de Proteccin de Datos por las que se deniegue o suspenda una transferencia internacional de datos en virtud de las causas a las que se refiere este apartado sern notificadas a la Comisin de las Comunidades Europeas cuando as sea exigible.

4. Tambin podr otorgarse la autorizacin para la transferencia internacional de datos en el seno de grupos multinacionales de empresas cuando hubiesen sido adoptados por los mismos normas o reglas internas en que consten las necesarias garantas de respeto a la proteccin de la vida privada y el derecho fundamental a la proteccin de datos de los afectados y se garantice asimismo el cumplimiento de los principios y el ejercicio de los derechos reconocidos en la Ley Orgnica 15/1999, de 13 de diciembre, y el presente reglamento.

En este caso, para que proceda la autorizacin del Director de la Agencia Espaola de Proteccin de Datos ser preciso que las normas o reglas resulten vinculantes para las empresas del Grupo y exigibles conforme al ordenamiento jurdico espaol.

En todo caso, la autorizacin del Director de la Agencia Espaola de Proteccin de Datos implicar la exigibilidad de lo previsto en las normas o reglas internas tanto por la Agencia como por los afectados cuyos datos hubieran sido objeto de tratamiento.

TTULO VII
Cdigos tipo
Artculo 71. Objeto y naturaleza.

1. Los cdigos tipo a los que se refiere el artculo 32 de la Ley Orgnica 15/1999, de 13 de diciembre, tienen por objeto adecuar lo establecido en la citada Ley Orgnica y en el presente reglamento a las peculiaridades de los tratamientos efectuados por quienes se adhieren a los mismos.

A tal efecto, contendrn reglas o estndares especficos que permitan armonizar los tratamientos de datos efectuados por los adheridos, facilitar el ejercicio de los derechos de los afectados y favorecer el cumplimiento de lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, y el presente reglamento.

2. Los cdigos tipo tendrn el carcter de cdigos deontolgicos o de buena prctica profesional y sern vinculantes para quienes se adhieran a los mismos.

Artculo 72. Iniciativa y mbito de aplicacin.

1. Los cdigos tipo tendrn carcter voluntario.

2. Los cdigos tipo de carcter sectorial podrn referirse a la totalidad o a parte de los tratamientos llevados a cabo por entidades pertenecientes a un mismo sector, debiendo ser formulados por organizaciones representativas de dicho sector, al menos en su mbito territorial de aplicacin, y sin perjuicio de la potestad de dichas entidades de ajustar el cdigo tipo a sus peculiaridades.

3. Los cdigos tipo promovidos por una empresa debern referirse a la totalidad de los tratamientos llevados a cabo por la misma.

4. Las Administraciones pblicas y las corporaciones de Derecho Pblico podrn adoptar cdigos tipo de acuerdo con lo establecido en las normas que les sean aplicables.

Artculo 73. Contenido.

1. Los cdigos tipo debern estar redactados en trminos claros y accesibles.

2. Los cdigos tipo deben respetar la normativa vigente e incluir, como mnimo, con suficiente grado de precisin:

a) La delimitacin clara y precisa de su mbito de aplicacin, las actividades a que el cdigo se refiere y los tratamientos sometidos al mismo.

b) Las previsiones especficas para la aplicacin de los principios de proteccin de datos.

c) El establecimiento de estndares homogneos para el cumplimiento por los adheridos al cdigo de las obligaciones establecidas en la Ley Orgnica 15/1999, de 13 de diciembre.

d) El establecimiento de procedimientos que faciliten el ejercicio por los afectados de sus derechos de acceso, rectificacin, cancelacin y oposicin.

e) La determinacin de las cesiones y transferencias internacionales de datos que, en su caso, se prevean, con indicacin de las garantas que deban adoptarse.

f) Las acciones formativas en materia de proteccin de datos dirigidas a quienes los traten, especialmente en cuanto a su relacin con los afectados.

g) Los mecanismos de supervisin a travs de los cuales se garantice el cumplimiento por los adheridos de lo establecido en el cdigo tipo, en los trminos previstos en el artculo 74 de este reglamento.

3. En particular, debern contenerse en el cdigo:

a) Clusulas tipo para la obtencin del consentimiento de los afectados al tratamiento o cesin de sus datos.

b) Clusulas tipo para informar a los afectados del tratamiento, cuando los datos no sean obtenidos de los mismos.

c) Modelos para el ejercicio por los afectados de sus derechos de acceso, rectificacin, cancelacin y oposicin.

d) Modelos de clusulas para el cumplimiento de los requisitos formales exigibles para la contratacin de un encargado del tratamiento, en su caso.

Artculo 74. Compromisos adicionales.

1. Los cdigos tipo podrn incluir cualquier otro compromiso adicional que asuman los adheridos para un mejor cumplimiento de la legislacin vigente en materia de proteccin de datos.

2. Adems podrn contener cualquier otro compromiso que puedan establecer las entidades promotoras y, en particular, sobre:

a) La adopcin de medidas de seguridad adicionales a las exigidas por la Ley Orgnica 15/1999, de 13 de diciembre, y el presente Reglamento.

b) La identificacin de las categoras de cesionarios o importadores de los datos.

c) Las medidas concretas adoptadas en materia de proteccin de los menores o de determinados colectivos de afectados.

d) El establecimiento de un sello de calidad que identifique a los adheridos al cdigo.

Artculo 75. Garantas del cumplimiento de los cdigos tipo.

1. Los cdigos tipo debern incluir procedimientos de supervisin independientes para garantizar el cumplimiento de las obligaciones asumidas por los adheridos, y establecer un rgimen sancionador adecuado, eficaz y disuasorio.

2. El procedimiento que se prevea deber garantizar:

a) La independencia e imparcialidad del rgano responsable de la supervisin.

b) La sencillez, accesibilidad, celeridad y gratuidad para la presentacin de quejas y reclamaciones ante dicho rgano por los eventuales incumplimientos del cdigo tipo.

c) El principio de contradiccin.

d) Una graduacin de sanciones que permita ajustarlas a la gravedad del incumplimiento. Esas sanciones debern ser disuasorias y podrn implicar la suspensin de la adhesin al cdigo o la expulsin de la entidad adherida. Asimismo, podr establecerse, en su caso, su publicidad.

e) La notificacin al afectado de la decisin adoptada.

3. Asimismo, y sin perjuicio de lo dispuesto en el artculo 19 de la Ley Orgnica 15/1999, de 13 de diciembre, los cdigos tipo podrn contemplar procedimientos para la determinacin de medidas reparadoras en caso de haberse causado un perjuicio a los afectados como consecuencia del incumplimiento del cdigo tipo.

4. Lo dispuesto en este artculo se aplicar sin perjuicio de las competencias de la Agencia Espaola de Proteccin de Datos y, en su caso, de las autoridades de control de las comunidades autnomas.

Artculo 76. Relacin de adheridos.

El cdigo tipo deber incorporar como anexo una relacin de adheridos, que deber mantenerse actualizada, a disposicin de la Agencia Espaola de Proteccin de Datos.

Artculo 77. Depsito y publicidad de los cdigos tipo.

1. Para que los cdigos tipo puedan ser considerados como tales a los efectos previstos en el artculo 32 de la Ley Orgnica 15/1999, de 13 de diciembre, y el presente reglamento, debern ser depositados e inscritos en el Registro General de Proteccin de Datos de la Agencia Espaola de Proteccin de Datos o, cuando corresponda, en el registro que fuera creado por las comunidades autnomas, que darn traslado para su inclusin al Registro General de Proteccin de Datos.

2. A tal efecto, los cdigos tipo debern ser presentados ante la correspondiente autoridad de control, tramitndose su inscripcin, en caso de estar sometidos a la decisin de la Agencia Espaola de Proteccin de Datos, conforme al procedimiento establecido en el captulo VI del ttulo IX de este reglamento.

3. En todo caso, la Agencia Espaola de Proteccin de Datos dar publicidad a los cdigos tipo inscritos, preferentemente a travs de medios informticos o telemticos.

Artculo 78. Obligaciones posteriores a la inscripcin del cdigo tipo.

Las entidades promotoras o los rganos, personas o entidades que al efecto se designen en el propio cdigo tipo tendrn, una vez el mismo haya sido publicado, las siguientes obligaciones:

a) Mantener accesible al pblico la informacin actualizada sobre las entidades promotoras, el contenido del cdigo tipo, los procedimientos de adhesin y de garanta de su cumplimiento y la relacin de adheridos a la que se refiere el artculo anterior.

Esta informacin deber presentarse de forma concisa y clara y estar permanentemente accesible por medios electrnicos.

b) Remitir a la Agencia Espaola de Proteccin de Datos una memoria anual sobre las actividades realizadas para difundir el cdigo tipo y promover la adhesin a ste, las actuaciones de verificacin del cumplimiento del cdigo y sus resultados, las quejas y reclamaciones tramitadas y el curso que se les hubiera dado y cualquier otro aspecto que las entidades promotoras consideren adecuado destacar.

Cuando se trate de cdigos tipo inscritos en el registro de una autoridad de control de una comunidad autnoma, la remisin se realizar a dicha autoridad, que dar traslado al registro General de Proteccin de Datos.

c) Evaluar peridicamente la eficacia del cdigo tipo, midiendo el grado de satisfaccin de los afectados y, en su caso, actualizar su contenido para adaptarlo a la normativa general o sectorial de proteccin de datos existente en cada momento.

Esta evaluacin deber tener lugar, al menos, cada cuatro aos, salvo que sea precisa la adaptacin de los compromisos del cdigo a la modificacin de la normativa aplicable en un plazo menor.

d) Favorecer la accesibilidad de todas las personas, con especial atencin a las que tengan alguna discapacidad o de edad avanzada a toda la informacin disponible sobre el cdigo tipo.

TTULO VIII
De las medidas de seguridad en el tratamiento de datos de carcter personal
CAPTULO I
Disposiciones generales
Artculo 79. Alcance.

Los responsables de los tratamientos o los ficheros y los encargados del tratamiento debern implantar las medidas de seguridad con arreglo a lo dispuesto en este Ttulo, con independencia de cual sea su sistema de tratamiento.

Artculo 80. Niveles de seguridad.

Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: bsico, medio y alto.

Artculo 81. Aplicacin de los niveles de seguridad.

1. Todos los ficheros o tratamientos de datos de carcter personal debern adoptar las medidas de seguridad calificadas de nivel bsico.

2. Debern implantarse, adems de las medidas de seguridad de nivel bsico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carcter personal:

a) Los relativos a la comisin de infracciones administrativas o penales.

b) Aquellos cuyo funcionamiento se rija por el artculo 29 de la Ley Orgnica 15/1999, de 13 de diciembre.

c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.

d) Aqullos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestacin de servicios financieros.

e) Aqullos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

f) Aqullos que contengan un conjunto de datos de carcter personal que ofrezcan una definicin de las caractersticas o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

3. Adems de las medidas de nivel bsico y medio, las medidas de nivel alto se aplicarn en los siguientes ficheros o tratamientos de datos de carcter personal:

a) Los que se refieran a datos de ideologa, afiliacin sindical, religin, creencias, origen racial, salud o vida sexual.

b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.

c) Aqullos que contengan datos derivados de actos de violencia de gnero.

4. A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrnicas disponibles al pblico o exploten redes pblicas de comunicaciones electrnicas respecto a los datos de trfico y a los datos de localizacin, se aplicarn, adems de las medidas de seguridad de nivel bsico y medio, la medida de seguridad de nivel alto contenida en el artculo 103 de este reglamento.

5. En caso de ficheros o tratamientos de datos de ideologa, afiliacin sindical, religin, creencias, origen racial, salud o vida sexual bastar la implantacin de las medidas de seguridad de nivel bsico cuando:

a) Los datos se utilicen con la nica finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.

b) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relacin con su finalidad.

6. Tambin podrn implantarse las medidas de seguridad de nivel bsico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaracin de la condicin de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes pblicos.

7. Las medidas incluidas en cada uno de los niveles descritos anteriormente tienen la condicin de mnimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias especficas vigentes que pudieran resultar de aplicacin en cada caso o las que por propia iniciativa adoptase el responsable del fichero.

8. A los efectos de facilitar el cumplimiento de lo dispuesto en este ttulo, cuando en un sistema de informacin existan ficheros o tratamientos que en funcin de su finalidad o uso concreto, o de la naturaleza de los datos que contengan, requieran la aplicacin de un nivel de medidas de seguridad diferente al del sistema principal, podrn segregarse de este ltimo, siendo de aplicacin en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse los datos afectados y los usuarios con acceso a los mismos, y que esto se haga constar en el documento de seguridad.

Artculo 82. Encargado del tratamiento.

1. Cuando el responsable del fichero o tratamiento facilite el acceso a los datos, a los soportes que los contengan o a los recursos del sistema de informacin que los trate, a un encargado de tratamiento que preste sus servicios en los locales del primero deber hacerse constar esta circunstancia en el documento de seguridad de dicho responsable, comprometindose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento.

Cuando dicho acceso sea remoto habindose prohibido al encargado incorporar tales datos a sistemas o soportes distintos de los del responsable, este ltimo deber hacer constar esta circunstancia en el documento de seguridad del responsable, comprometindose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento.

2. Si el servicio fuera prestado por el encargado del tratamiento en sus propios locales, ajenos a los del responsable del fichero, deber elaborar un documento de seguridad en los trminos exigidos por el artculo 88 de este reglamento o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relacin con dicho tratamiento.

3. En todo caso, el acceso a los datos por el encargado del tratamiento estar sometido a las medidas de seguridad contempladas en este reglamento.

Artculo 83. Prestaciones de servicios sin acceso a datos personales.

El responsable del fichero o tratamiento adoptar las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de informacin, para la realizacin de trabajos que no impliquen el tratamiento de datos personales.

Cuando se trate de personal ajeno, el contrato de prestacin de servicios recoger expresamente la prohibicin de acceder a los datos personales y la obligacin de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestacin del servicio.

Artculo 84. Delegacin de autorizaciones.

Las autorizaciones que en este ttulo se atribuyen al responsable del fichero o tratamiento podrn ser delegadas en las personas designadas al efecto. En el documento de seguridad debern constar las personas habilitadas para otorgar estas autorizaciones as como aquellas en las que recae dicha delegacin. En ningn caso esta designacin supone una delegacin de la responsabilidad que corresponde al responsable del fichero.

Artculo 85. Acceso a datos a travs de redes de comunicaciones.

Las medidas de seguridad exigibles a los accesos a datos de carcter personal a travs de redes de comunicaciones, sean o no pblicas, debern garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local, conforme a los criterios establecidos en el artculo 80.

Artculo 86. Rgimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento.

1. Cuando los datos personales se almacenen en dispositivos porttiles o se traten fuera de los locales del responsable de fichero o tratamiento, o del encargado del tratamiento ser preciso que exista una autorizacin previa del responsable del fichero o tratamiento, y en todo caso deber garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.

2. La autorizacin a la que se refiere el prrafo anterior tendr que constar en el documento de seguridad y podr establecerse para un usuario o para un perfil de usuarios y determinando un periodo de validez para las mismas.

Artculo 87. Ficheros temporales o copias de trabajo de documentos.

1. Aquellos ficheros temporales o copias de documentos que se hubiesen creado exclusivamente para la realizacin de trabajos temporales o auxiliares debern cumplir el nivel de seguridad que les corresponda conforme a los criterios establecidos en el artculo 81.

2. Todo fichero temporal o copia de trabajo as creado ser borrado o destruido una vez que haya dejado de ser necesario para los fines que motivaron su creacin.

CAPTULO II
Del documento de seguridad
Artculo 88. El documento de seguridad.

1. El responsable del fichero o tratamiento elaborar un documento de seguridad que recoger las medidas de ndole tcnica y organizativa acordes a la normativa de seguridad vigente que ser de obligado cumplimiento para el personal con acceso a los sistemas de informacin.

2. El documento de seguridad podr ser nico y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento. Tambin podrn elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos segn el sistema de tratamiento utilizado para su organizacin, o bien atendiendo a criterios organizativos del responsable. En todo caso, tendr el carcter de documento interno de la organizacin.

3. El documento deber contener, como mnimo, los siguientes aspectos:

a) mbito de aplicacin del documento con especificacin detallada de los recursos protegidos.

b) Medidas, normas, procedimientos de actuacin, reglas y estndares encaminados a garantizar el nivel de seguridad exigido en este reglamento.

c) Funciones y obligaciones del personal en relacin con el tratamiento de los datos de carcter personal incluidos en los ficheros.

d) Estructura de los ficheros con datos de carcter personal y descripcin de los sistemas de informacin que los tratan.

e) Procedimiento de notificacin, gestin y respuesta ante las incidencias.

f) Los procedimientos de realizacin de copias de respaldo y de recuperacin de los datos en los ficheros o tratamientos automatizados.

g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, as como para la destruccin de los documentos y soportes, o en su caso, la reutilizacin de estos ltimos.

4. En caso de que fueran de aplicacin a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este ttulo, el documento de seguridad deber contener adems:

a) La identificacin del responsable o responsables de seguridad.

b) Los controles peridicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

5. Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deber contener la identificacin de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, as como de la identificacin del responsable y del perodo de vigencia del encargo.

6. En aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deber anotarlo en su documento de seguridad. Cuando tal circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, podr delegarse en el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios. Este hecho se indicar de modo expreso en el contrato celebrado al amparo del artculo 12 de la Ley Orgnica 15/1999, de 13 de diciembre, con especificacin de los ficheros o tratamientos afectados.

En tal caso, se atender al documento de seguridad del encargado al efecto del cumplimiento de lo dispuesto por este reglamento.

7. El documento de seguridad deber mantenerse en todo momento actualizado y ser revisado siempre que se produzcan cambios relevantes en el sistema de informacin, en el sistema de tratamiento empleado, en su organizacin, en el contenido de la informacin incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles peridicos realizados. En todo caso, se entender que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.

8. El contenido del documento de seguridad deber adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carcter personal.

CAPTULO III
Medidas de seguridad aplicables a ficheros y tratamientos automatizados
Seccin 1. Medidas de seguridad de nivel bsico
Artculo 89. Funciones y obligaciones del personal.

1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carcter personal y a los sistemas de informacin estarn claramente definidas y documentadas en el documento de seguridad.

Tambin se definirn las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.

2. El responsable del fichero o tratamiento adoptar las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones as como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Artculo 90. Registro de incidencias.

Deber existir un procedimiento de notificacin y gestin de las incidencias que afecten a los datos de carcter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificacin, a quin se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.

Artculo 91. Control de acceso.

1. Los usuarios tendrn acceso nicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

2. El responsable del fichero se encargar de que exista una relacin actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.

3. El responsable del fichero establecer mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.

4. Exclusivamente el personal autorizado para ello en el documento de seguridad podr conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.

5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deber estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

Artculo 92. Gestin de soportes y documentos.

1. Los soportes y documentos que contengan datos de carcter personal debern permitir identificar el tipo de informacin que contienen, ser inventariados y solo debern ser accesibles por el personal autorizado para ello en el documento de seguridad.

Se exceptan estas obligaciones cuando las caractersticas fsicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad.

2. La salida de soportes y documentos que contengan datos de carcter personal, incluidos los comprendidos y/o anejos a un correo electrnico, fuera de los locales bajo el control del responsable del fichero o tratamiento deber ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.

3. En el traslado de la documentacin se adoptarn las medidas dirigidas a evitar la sustraccin, prdida o acceso indebido a la informacin durante su transporte.

4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carcter personal deber procederse a su destruccin o borrado, mediante la adopcin de medidas dirigidas a evitar el acceso a la informacin contenida en el mismo o su recuperacin posterior.

5. La identificacin de los soportes que contengan datos de carcter personal que la organizacin considerase especialmente sensibles se podr realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificacin para el resto de personas.

Artculo 93. Identificacin y autenticacin.

1. El responsable del fichero o tratamiento deber adoptar las medidas que garanticen la correcta identificacin y autenticacin de los usuarios.

2. El responsable del fichero o tratamiento establecer un mecanismo que permita la identificacin de forma inequvoca y personalizada de todo aquel usuario que intente acceder al sistema de informacin y la verificacin de que est autorizado.

3. Cuando el mecanismo de autenticacin se base en la existencia de contraseas existir un procedimiento de asignacin, distribucin y almacenamiento que garantice su confidencialidad e integridad.

4. El documento de seguridad establecer la periodicidad, que en ningn caso ser superior a un ao, con la que tienen que ser cambiadas las contraseas que, mientras estn vigentes, se almacenarn de forma ininteligible.

Artculo 94. Copias de respaldo y recuperacin.

1. Debern establecerse procedimientos de actuacin para la realizacin como mnimo semanal de copias de respaldo, salvo que en dicho perodo no se hubiera producido ninguna actualizacin de los datos.

2. Asimismo, se establecern procedimientos para la recuperacin de los datos que garanticen en todo momento su reconstruccin en el estado en que se encontraban al tiempo de producirse la prdida o destruccin.

nicamente, en el caso de que la prdida o destruccin afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentacin permita alcanzar el objetivo al que se refiere el prrafo anterior, se deber proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad.

3. El responsable del fichero se encargar de verificar cada seis meses la correcta definicin, funcionamiento y aplicacin de los procedimientos de realizacin de copias de respaldo y de recuperacin de los datos.

4. Las pruebas anteriores a la implantacin o modificacin de los sistemas de informacin que traten ficheros con datos de carcter personal no se realizarn con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacin en el documento de seguridad.

Si est previsto realizar pruebas con datos reales, previamente deber haberse realizado una copia de seguridad.

Seccin 2. Medidas de seguridad de nivel medio
Artculo 95. Responsable de seguridad.

En el documento de seguridad debern designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designacin puede ser nica para todos los ficheros o tratamientos de datos de carcter personal o diferenciada segn los sistemas de tratamiento utilizados, circunstancia que deber hacerse constar claramente en el documento de seguridad.

En ningn caso esta designacin supone una exoneracin de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento.

Artculo 96. Auditora.

1. A partir del nivel medio los sistemas de informacin e instalaciones de tratamiento y almacenamiento de datos se sometern, al menos cada dos aos, a una auditora interna o externa que verifique el cumplimiento del presente ttulo.

Con carcter extraordinario deber realizarse dicha auditora siempre que se realicen modificaciones sustanciales en el sistema de informacin que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacin, adecuacin y eficacia de las mismas. Esta auditora inicia el cmputo de dos aos sealado en el prrafo anterior.

2. El informe de auditora deber dictaminar sobre la adecuacin de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deber, igualmente, incluir los datos, hechos y observaciones en que se basen los dictmenes alcanzados y las recomendaciones propuestas.

3. Los informes de auditora sern analizados por el responsable de seguridad competente, que elevar las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarn a disposicin de la Agencia Espaola de Proteccin de Datos o, en su caso, de las autoridades de control de las comunidades autnomas.

Artculo 97. Gestin de soportes y documentos.

1. Deber establecerse un sistema de registro de entrada de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor, el nmero de documentos o soportes incluidos en el envo, el tipo de informacin que contienen, la forma de envo y la persona responsable de la recepcin que deber estar debidamente autorizada.

2. Igualmente, se dispondr de un sistema de registro de salida de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el destinatario, el nmero de documentos o soportes incluidos en el envo, el tipo de informacin que contienen, la forma de envo y la persona responsable de la entrega que deber estar debidamente autorizada.

Artculo 98. Identificacin y autenticacin.

El responsable del fichero o tratamiento establecer un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacin.

Artculo 99. Control de acceso fsico.

Exclusivamente el personal autorizado en el documento de seguridad podr tener acceso a los lugares donde se hallen instalados los equipos fsicos que den soporte a los sistemas de informacin.

Artculo 100. Registro de incidencias.

1. En el registro regulado en el artculo 90 debern consignarse, adems, los procedimientos realizados de recuperacin de los datos, indicando la persona que ejecut el proceso, los datos restaurados y, en su caso, qu datos ha sido necesario grabar manualmente en el proceso de recuperacin.

2. Ser necesaria la autorizacin del responsable del fichero para la ejecucin de los procedimientos de recuperacin de los datos.

Seccin 3. Medidas de seguridad de nivel alto
Artculo 101. Gestin y distribucin de soportes.

1. La identificacin de los soportes se deber realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificacin para el resto de personas.

2. La distribucin de los soportes que contengan datos de carcter personal se realizar cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacin no sea accesible o manipulada durante su transporte.

Asimismo, se cifrarn los datos que contengan los dispositivos porttiles cuando stos se encuentren fuera de las instalaciones que estn bajo el control del responsable del fichero.

3. Deber evitarse el tratamiento de datos de carcter personal en dispositivos porttiles que no permitan su cifrado. En caso de que sea estrictamente necesario se har constar motivadamente en el documento de seguridad y se adoptarn medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.

Artculo 102. Copias de respaldo y recuperacin.

Deber conservarse una copia de respaldo de los datos y de los procedimientos de recuperacin de los mismos en un lugar diferente de aquel en que se encuentren los equipos informticos que los tratan, que deber cumplir en todo caso las medidas de seguridad exigidas en este ttulo, o utilizando elementos que garanticen la integridad y recuperacin de la informacin, de forma que sea posible su recuperacin.

Artculo 103. Registro de accesos.

1. De cada intento de acceso se guardarn, como mnimo, la identificacin del usuario, la fecha y hora en que se realiz, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

2. En el caso de que el acceso haya sido autorizado, ser preciso guardar la informacin que permita identificar el registro accedido.

3. Los mecanismos que permiten el registro de accesos estarn bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacin ni la manipulacin de los mismos.

4. El perodo mnimo de conservacin de los datos registrados ser de dos aos.

5. El responsable de seguridad se encargar de revisar al menos una vez al mes la informacin de control registrada y elaborar un informe de las revisiones realizadas y los problemas detectados.

6. No ser necesario el registro de accesos definido en este artculo en caso de que concurran las siguientes circunstancias:

a) Que el responsable del fichero o del tratamiento sea una persona fsica.

b) Que el responsable del fichero o del tratamiento garantice que nicamente l tiene acceso y trata los datos personales.

La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deber hacerse constar expresamente en el documento de seguridad.

Artculo 104. Telecomunicaciones.

Cuando, conforme al artculo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisin de datos de carcter personal a travs de redes pblicas o redes inalmbricas de comunicaciones electrnicas se realizar cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacin no sea inteligible ni manipulada por terceros.

CAPTULO IV
Medidas de seguridad aplicables a los ficheros y tratamientos no automatizados
Seccin 1. Medidas de seguridad de nivel bsico
Artculo 105. Obligaciones comunes.

1. Adems de lo dispuesto en el presente captulo, a los ficheros no automatizados les ser de aplicacin lo dispuesto en los captulos I y II del presente ttulo en lo relativo a:

a) Alcance.

b) Niveles de seguridad.

c) Encargado del tratamiento.

d) Prestaciones de servicios sin acceso a datos personales.

e) Delegacin de autorizaciones.

f) Rgimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento.

g) Copias de trabajo de documentos.

h) Documento de seguridad.

2. Asimismo se les aplicar lo establecido por la seccin primera del captulo III del presente ttulo en lo relativo a:

a) Funciones y obligaciones del personal.

b) Registro de incidencias.

c) Control de acceso.

d) Gestin de soportes.

Artculo 106. Criterios de archivo.

El archivo de los soportes o documentos se realizar de acuerdo con los criterios previstos en su respectiva legislacin. Estos criterios debern garantizar la correcta conservacin de los documentos, la localizacin y consulta de la informacin y posibilitar el ejercicio de los derechos de oposicin al tratamiento, acceso, rectificacin y cancelacin.

En aquellos casos en los que no exista norma aplicable, el responsable del fichero deber establecer los criterios y procedimientos de actuacin que deban seguirse para el archivo.

Artculo 107. Dispositivos de almacenamiento.

Los dispositivos de almacenamiento de los documentos que contengan datos de carcter personal debern disponer de mecanismos que obstaculicen su apertura. Cuando las caractersticas fsicas de aqullos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptar medidas que impidan el acceso de personas no autorizadas.

Artculo 108. Custodia de los soportes.

Mientras la documentacin con datos de carcter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artculo anterior, por estar en proceso de revisin o tramitacin, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deber custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada.

Seccin 2. Medidas de seguridad de nivel medio
Artculo 109. Responsable de seguridad.

Se designar uno o varios responsables de seguridad en los trminos y con las funciones previstas en el artculo 95 de este reglamento.

Artculo 110. Auditora.

Los ficheros comprendidos en la presente seccin se sometern, al menos cada dos aos, a una auditora interna o externa que verifique el cumplimiento del presente ttulo.

Seccin 3. Medidas de seguridad de nivel alto
Artculo 111. Almacenamiento de la informacin.

1. Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carcter personal debern encontrarse en reas en las que el acceso est protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas reas debern permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.

2. Si, atendidas las caractersticas de los locales de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir lo establecido en el apartado anterior, el responsable adoptar medidas alternativas que, debidamente motivadas, se incluirn en el documento de seguridad.

Artculo 112. Copia o reproduccin.

1. La generacin de copias o la reproduccin de los documentos nicamente podr ser realizada bajo el control del personal autorizado en el documento de seguridad.

2. Deber procederse a la destruccin de las copias o reproducciones desechadas de forma que se evite el acceso a la informacin contenida en las mismas o su recuperacin posterior.

Artculo 113. Acceso a la documentacin.

1. El acceso a la documentacin se limitar exclusivamente al personal autorizado.

2. Se establecern mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por mltiples usuarios.

3. El acceso de personas no incluidas en el prrafo anterior deber quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad.

Artculo 114. Traslado de documentacin.

Siempre que se proceda al traslado fsico de la documentacin contenida en un fichero, debern adoptarse medidas dirigidas a impedir el acceso o manipulacin de la informacin objeto de traslado.

TTULO IX
Procedimientos tramitados por la Agencia Espaola de Proteccin de Datos
CAPTULO I
Disposiciones generales
Artculo 115. Rgimen aplicable.

1. Los procedimientos tramitados por la Agencia Espaola de Proteccin de Datos se regirn por lo dispuesto en el presente ttulo, y supletoriamente, por la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn.

2. Especficamente sern de aplicacin las normas reguladoras del procedimiento administrativo comn al rgimen de representacin en los citados procedimientos.

Artculo 116. Publicidad de las resoluciones.

1. La Agencia Espaola de Proteccin de Datos har pblicas sus resoluciones, con excepcin de las correspondientes a la inscripcin de un fichero o tratamiento en el Registro General de Proteccin de Datos y de aqullas por las que se resuelva la inscripcin en el mismo de los cdigos tipo, siempre que se refieran a procedimientos que se hubieran iniciado con posterioridad al 1 de enero de 2004, o correspondan al archivo de actuaciones inspectoras incoadas a partir de dicha fecha.

2. La publicacin de estas resoluciones se realizar preferentemente mediante su insercin en el sitio web de la Agencia Espaola de Proteccin de Datos, dentro del plazo de un mes a contar desde la fecha de su notificacin a los interesados.

3. En la notificacin de las resoluciones se informar expresamente a los interesados de la publicidad prevista en el artculo 37.2 de la Ley Orgnica 15/1999, de 13 de diciembre.

4. La publicacin se realizar aplicando los criterios de disociacin de los datos de carcter personal que a tal efecto se establezcan mediante Resolucin del Director de la Agencia.

CAPTULO II
Procedimiento de tutela de los derechos de acceso, rectificacin, cancelacin y oposicin
Artculo 117. Instruccin del procedimiento.

1. El procedimiento se iniciar a instancia del afectado o afectados, expresando con claridad el contenido de su reclamacin y de los preceptos de la Ley Orgnica 15/1999, de 13 de diciembre, que se consideran vulnerados.

2. Recibida la reclamacin en la Agencia Espaola de Proteccin de Datos, se dar traslado de la misma al responsable del fichero, para que, en el plazo de quince das, formule las alegaciones que estime pertinentes.

3. Recibidas las alegaciones o transcurrido el plazo previsto en el apartado anterior, la Agencia Espaola de Proteccin de Datos, previos los informes, pruebas y otros actos de instruccin pertinentes, incluida la audiencia del afectado y nuevamente del responsable del fichero, resolver sobre la reclamacin formulada.

Artculo 118. Duracin del procedimiento y efectos de la falta de resolucin expresa.

1. El plazo mximo para dictar y notificar resolucin en el procedimiento de tutela de derechos ser de seis meses, a contar desde la fecha de entrada en la Agencia Espaola de Proteccin de Datos de la reclamacin del afectado o afectados.

2. Si en dicho plazo no se hubiese dictado y notificado resolucin expresa, el afectado podr considerar estimada su reclamacin por silencio administrativo positivo.

Artculo 119. Ejecucin de la resolucin.

Si la resolucin de tutela fuese estimatoria, se requerir al responsable del fichero para que, en el plazo de diez das siguientes a la notificacin, haga efectivo el ejercicio de los derechos objeto de la tutela, debiendo dar cuenta por escrito de dicho cumplimiento a la Agencia Espaola de Proteccin de Datos en idntico plazo.

CAPTULO III
Procedimientos relativos al ejercicio de la potestad sancionadora
Seccin 1. Disposiciones generales
Artculo 120. mbito de aplicacin.

1. Las disposiciones contenidas en el presente captulo sern de aplicacin a los procedimientos relativos al ejercicio por la Agencia Espaola de Proteccin de Datos de la potestad sancionadora que le viene atribuida por la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de datos de carcter personal, en la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la informacin y de comercio electrnico, y en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

2. No obstante, las disposiciones previstas en el ar-tculo 121 y en la seccin cuarta de este captulo nicamente sern aplicables a los procedimientos referidos al ejercicio de la potestad sancionadora prevista en la Ley Orgnica 15/1999, de 13 de diciembre.

Artculo 121. Inmovilizacin de ficheros.

1. En el supuesto previsto como infraccin muy grave en la Ley Orgnica 15/1999, de 13 de diciembre, consistente en la utilizacin o cesin ilcita de los datos de carcter personal en la que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitucin y las leyes garantizan, el Director de la Agencia Espaola de Proteccin de Datos podr, en cualquier momento del procedimiento, requerir a los responsables de ficheros o tratamientos de datos de carcter personal, tanto de titularidad pblica como privada, la cesacin en la utilizacin o cesin ilcita de los datos.

2. El requerimiento deber ser atendido en el plazo improrrogable de tres das, durante el cual el responsable del fichero podr formular las alegaciones que tenga por convenientes en orden al levantamiento de la medida.

3. Si el requerimiento fuera desatendido, el Director de la Agencia Espaola de Proteccin de Datos podr, mediante resolucin motivada, acordar la inmovilizacin de tales ficheros o tratamientos, a los solos efectos de restaurar los derechos de las personas afectadas.

Seccin 2. Actuaciones previas
Artculo 122. Iniciacin.

1. Con anterioridad a la iniciacin del procedimiento sancionador, se podrn realizar actuaciones previas con objeto de determinar si concurren circunstancias que justifiquen tal iniciacin. En especial, estas actuaciones se orientarn a determinar, con la mayor precisin posible, los hechos que pudieran justificar la incoacin del procedimiento, identificar la persona u rgano que pudiera resultar responsable y fijar las circunstancias relevantes que pudieran concurrir en el caso.

2. Las actuaciones previas se llevarn a cabo de oficio por la Agencia Espaola de Proteccin de Datos, bien por iniciativa propia o como consecuencia de la existencia de una denuncia o una peticin razonada de otro rgano.

3. Cuando las actuaciones se lleven a cabo como consecuencia de la existencia de una denuncia o de una peticin razonada de otro rgano, la Agencia Espaola de Proteccin de Datos acusar recibo de la denuncia o peticin, pudiendo solicitar cuanta documentacin se estime oportuna para poder comprobar los hechos susceptibles de motivar la incoacin del procedimiento sancionador.

4. Estas actuaciones previas tendrn una duracin mxima de doce meses a contar desde la fecha en la que la denuncia o peticin razonada a las que se refiere el apartado 2 hubieran tenido entrada en la Agencia Espaola de Proteccin de Datos o, en caso de no existir aqullas, desde que el Director de la Agencia acordase la realizacin de dichas actuaciones.

El vencimiento del plazo sin que haya sido dictado y notificado acuerdo de inicio de procedimiento sancionador producir la caducidad de las actuaciones previas.

Artculo 123. Personal competente para la realizacin de las actuaciones previas.

1. Las actuaciones previas sern llevadas a cabo por el personal del rea de la Inspeccin de Datos habilitado para el ejercicio de funciones inspectoras.

2. En supuestos excepcionales, el Director de la Agencia Espaola de Proteccin de Datos podr designar para la realizacin de actuaciones especficas a funcionarios de la propia Agencia no habilitados con carcter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en la Agencia, siempre que renan las condiciones de idoneidad y especializacin necesarias para la realizacin de tales actuaciones. En estos casos, la autorizacin indicar expresamente la identificacin del funcionario y las concretas actuaciones previas de inspeccin a realizar.

3. Los funcionarios que ejerzan la inspeccin a los que se refieren los dos apartados anteriores tendrn la consideracin de autoridad pblica en el desempeo de sus cometidos.

Estarn obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso despus de haber cesado en las mismas.

Artculo 124. Obtencin de informacin.

Los inspectores podrn recabar cuantas informaciones precisen para el cumplimiento de sus cometidos. A tal fin podrn requerir la exhibicin o el envo de los documentos y datos y examinarlos en el lugar en que se encuentren depositados, como obtener copia de los mismos, inspeccionar los equipos fsicos y lgicos, as como requerir la ejecucin de tratamientos y programas o procedimientos de gestin y soporte del fichero o ficheros sujetos a investigacin, accediendo a los lugares donde se hallen instalados.

Artculo 125. Actuaciones presenciales.

1. En el desarrollo de las actuaciones previas se podrn realizar visitas de inspeccin por parte de los inspectores designados, en los locales o sede del inspeccionado, o donde se encuentren ubicados los ficheros, en su caso. A tal efecto, los inspectores habrn sido previamente autorizados por el Director de la Agencia Espaola de Proteccin de Datos.

Las inspecciones podrn realizarse en el domicilio del inspeccionado, en la sede o local concreto relacionado con el mismo o en cualquiera de sus locales, incluyendo aqullos en que el tratamiento sea llevado a cabo por un encargado.

La autorizacin se limitar a indicar la habilitacin del inspector autorizado y la identificacin de la persona u rgano inspeccionado.

2. En el supuesto contemplado en el apartado anterior, las inspecciones concluirn con el levantamiento de la correspondiente acta, en la que quedar constancia de las actuaciones practicadas durante la visita o visitas de inspeccin.

3. El acta, que se emitir por duplicado, ser firmada por los inspectores actuantes y por el inspeccionado, que podr hacer constar en la misma las alegaciones o manifestaciones que tenga por conveniente.

En caso de negativa del inspeccionado a la firma del acta, se har constar expresamente esta circunstancia en la misma. En todo caso, la firma por el inspeccionado del acta no supondr su conformidad, sino tan slo la recepcin de la misma.

Se entregar al inspeccionado uno de los originales del acta de inspeccin, incorporndose el otro a las actuaciones.

Artculo 126. Resultado de las actuaciones previas.

1. Finalizadas las actuaciones previas, stas se sometern a la decisin del Director de la Agencia Espaola de Proteccin de Datos.

Si de las actuaciones no se derivasen hechos susceptibles de motivar la imputacin de infraccin alguna, el Director de la Agencia Espaola de Proteccin de Datos dictar resolucin de archivo que se notificar al investigado y al denunciante, en su caso.

2. En caso de apreciarse la existencia de indicios susceptibles de motivar la imputacin de una infraccin, el Director de la Agencia Espaola de Proteccin de Datos dictar acuerdo de inicio de procedimiento sancionador o de infraccin de las Administraciones pblicas, que se tramitarn conforme a lo dispuesto, respectivamente, en las secciones tercera y cuarta del presente captulo.

Seccin 3. Procedimiento sancionador
Artculo 127. Iniciacin del procedimiento.

Con carcter especfico el acuerdo de inicio del procedimiento sancionador deber contener:

a) Identificacin de la persona o personas presuntamente responsables.

b) Descripcin sucinta de los hechos imputados, su posible calificacin y las sanciones que pudieran corresponder, sin perjuicio de lo que resulte de la instruccin.

c) Indicacin de que el rgano competente para resolver el procedimiento es el Director de la Agencia Espaola de Proteccin de Datos.

d) Indicacin al presunto responsable de que puede reconocer voluntariamente su responsabilidad, en cuyo caso se dictar directamente resolucin.

e) Designacin de instructor y, en su caso, secretario, con expresa indicacin del rgimen de recusacin de los mismos.

f) Indicacin expresa del derecho del responsable a formular alegaciones, a la audiencia en el procedimiento y a proponer las pruebas que estime procedentes.

g) Medidas de carcter provisional que pudieran acordarse, en su caso, conforme a lo establecido en la seccin primera del presente captulo.

Artculo 128. Plazo mximo para resolver.

1. El plazo para dictar resolucin ser el que determinen las normas aplicables a cada procedimiento sancionador y se computar desde la fecha en que se dicte el acuerdo de inicio hasta que se produzca la notificacin de la resolucin sancionadora, o se acredite debidamente el intento de notificacin.

2. El vencimiento del citado plazo mximo, sin que se haya dictada y notificada resolucin expresa, producir la caducidad del procedimiento y el archivo de las actuaciones.

Seccin 4. Procedimiento de declaracin de infraccin de la Ley Orgnica 15/1999, de 13 de diciembre, por las administraciones pblicas
Artculo 129. Disposicin general.

El procedimiento por el que se declare la existencia de una infraccin de la Ley Orgnica 15/1999, de 13 de diciembre, cometida por las Administraciones pblicas ser el establecido en la seccin tercera de este captulo.

CAPTULO IV
Procedimientos relacionados con la inscripcin o cancelacin de ficheros
Seccin 1. Procedimiento de inscripcin de la creacin, modificacin o supresin de ficheros
Artculo 130. Iniciacin del procedimiento.

1. El procedimiento se iniciar como consecuencia de la notificacin de la creacin, modificacin o supresin del fichero por el interesado o, en su caso, de la comunicacin efectuada por las autoridades de control de las comunidades autnomas, a la que se refiere el presente reglamento.

2. La notificacin se deber efectuar cumplimentando los modelos o formularios electrnicos publicados al efecto por la Agencia Espaola de Proteccin de Datos, en virtud de lo dispuesto en el apartado 1 del artculo 59 de este reglamento.

Tratndose de la notificacin de la modificacin o supresin de un fichero, deber indicarse en la misma el cdigo de inscripcin del fichero en el Registro General de Proteccin de Datos.

3. La notificacin se efectuar en soporte electrnico, ya mediante comunicacin electrnica a travs de Internet mediante firma electrnica o en soporte informtico, utilizando al efecto el programa de ayuda para la generacin de notificaciones que la Agencia pondr a disposicin de los interesados de forma gratuita.

Ser igualmente vlida la notificacin efectuada en soporte papel cuando para su cumplimentacin hayan sido utilizados los modelos o formularios publicados por la Agencia.

4. En la notificacin, el responsable del fichero deber declarar un domicilio a efectos de notificaciones en el procedimiento.

Artculo 131. Especialidades en la notificacin de ficheros de titularidad pblica.

1. Cuando se trate de la notificacin de ficheros de titularidad pblica, deber acompaarse a la notificacin una copia de la norma o acuerdo de creacin, modificacin o supresin del fichero a que hace referencia el ar-tculo 52 del presente reglamento.

Cuando el diario oficial en el que se encuentre publicada la citada norma o acuerdo sea accesible a travs de Internet, bastar con indicar en la notificacin la direccin electrnica que permita su concreta localizacin.

2. Recibida la notificacin, si la misma no contuviera la informacin preceptiva o se advirtieran defectos formales, el Registro General de Proteccin de Datos requerir al responsable del fichero para que complete o subsane la notificacin. El plazo para la subsanacin o mejora de la solicitud ser de tres meses, en el caso de que se precise la modificacin de la norma o acuerdo de creacin del fichero.

Artculo 132. Acuerdo de inscripcin o cancelacin.

Si la notificacin referida a la creacin, modificacin o supresin del fichero contuviera la informacin preceptiva y se cumplieran las restantes exigencias legales, el Director de la Agencia Espaola de Proteccin de Datos, a propuesta del Registro General de Proteccin de Datos, acordar, respectivamente, la inscripcin del fichero, asignando al mismo el correspondiente cdigo de inscripcin, la modificacin de la inscripcin del fichero o la cancelacin de la inscripcin correspondiente.

Artculo 133. Improcedencia o denegacin de la inscripcin.

El Director de la Agencia Espaola de Proteccin de Datos, a propuesta del Registro General de Proteccin de Datos, dictar resolucin denegando la inscripcin, modificacin o cancelacin cuando de los documentos aportados por el responsable del fichero se desprenda que la notificacin no resulta conforme a lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre.

La resolucin ser debidamente motivada, con indicacin expresa de las causas que impiden la inscripcin, modificacin o cancelacin.

Artculo 134. Duracin del procedimiento y efectos de la falta de resolucin expresa.

1. El plazo mximo para dictar y notificar resolucin acerca de la inscripcin, modificacin o cancelacin ser de un mes.

2. Si en dicho plazo no se hubiese dictado y notificado resolucin expresa, se entender inscrito, modificado o cancelado el fichero a todos los efectos.

Seccin 2. Procedimiento de cancelacin de oficio de ficheros inscritos
Artculo 135. Iniciacin del procedimiento.

El procedimiento de cancelacin de oficio de los ficheros inscritos en el Registro General de Proteccin de Datos se iniciar siempre de oficio, bien por propia iniciativa o en virtud de denuncia, por acuerdo del Director de la Agencia Espaola de Proteccin de Datos.

Artculo 136. Terminacin del expediente.

La resolucin, previa audiencia del interesado, acordar haber lugar o no a la cancelacin del fichero.

Si la resolucin acordase la cancelacin del fichero, se dar traslado de la misma al Registro General de Proteccin de Datos, para que proceda a la cancelacin.

CAPTULO V
Procedimientos relacionados con las transferencias internacionales de datos
Seccin 1. Procedimiento de autorizacin de transferencias internacionales de datos
Artculo 137. Iniciacin del procedimiento.

1. El procedimiento para la obtencin de la autorizacin para las transferencias internacionales de datos a pases terceros a las que se refiere el artculo 33 de la Ley Orgnica 15/1999, de 13 de diciembre, y el artculo 70 de este reglamento se iniciar siempre a solicitud del exportador que pretenda llevar a cabo la transferencia.

2. En su solicitud, adems de los requisitos legalmente exigidos, el exportador deber consignar, en todo caso:

a) La identificacin del fichero o ficheros a cuyos datos se refiera la transferencia internacional, con indicacin de su denominacin y cdigo de inscripcin del fichero en el Registro General de Proteccin de Datos.

b) La transferencia o transferencias respecto de las que se solicita la autorizacin, con indicacin de la finalidad que la justifica.

c) La documentacin que incorpore las garantas exigibles para la obtencin de la autorizacin as como el cumplimiento de los requisitos legales necesarios para la realizacin de la transferencia, en su caso.

Cuando la autorizacin se fundamente en la existencia de un contrato entre el exportador y el importador de los datos, deber aportarse copia del mismo, acreditndose asimismo la concurrencia de poder suficiente en sus otorgantes.

Si la autorizacin se pretendiera fundar en lo dispuesto en el apartado 4 del artculo 70, debern aportarse las normas o reglas adoptadas en relacin con el tratamiento de los datos en el seno del grupo, as como la documentacin que acredite su carcter vinculante y su eficacia dentro del grupo. Igualmente deber aportarse la documentacin que acredite la posibilidad de que el afectado o la Agencia Espaola de Proteccin de Datos puedan exigir la responsabilidad que corresponda en caso de perjuicio del afectado o vulneracin de las normas de proteccin de datos por parte de cualquier empresa importadora.

Artculo 138. Instruccin del procedimiento.

1. Cuando el Director de la Agencia Espaola de Proteccin de Datos acuerde, conforme a lo dispuesto en el artculo 86.1 de la Ley 30/1992, de 26 de noviembre, la apertura de un perodo de informacin pblica, el plazo para la formulacin de alegaciones ser de diez das a contar desde la publicacin en el Boletn Oficial del Estado del anuncio previsto en dicha Ley.

2. No ser posible el acceso a la informacin del expediente en que concurran las circunstancias establecidas en el artculo 37.5 de la Ley 30/1992, de 26 de noviembre.

3. Transcurrido el plazo previsto en el apartado 1, en caso de que se hubieran formulado alegaciones, se dar traslado de las mismas al solicitante de la autorizacin, a fin de que en el plazo de diez das alegue lo que estime procedente.

Artculo 139. Actos posteriores a la resolucin.

1. Cuando el Director de la Agencia Espaola de Proteccin de Datos resuelva autorizar la transferencia internacional de datos, se dar traslado de la resolucin de autorizacin al Registro General de Proteccin de Datos, a fin de proceder a su inscripcin.

El Registro General de Proteccin de Datos inscribir de oficio la autorizacin de transferencia internacional.

2. En todo caso, se dar traslado de la resolucin de autorizacin o denegacin de la autorizacin de la transferencia internacional de datos al Ministerio de Justicia, al efecto de que se proceda a su notificacin a la Comisin Europea y a los dems Estados miembros de la Unin Europea de acuerdo a lo previsto en el artculo 26.3 de la Directiva 95/46/CE.

Artculo 140. Duracin del procedimiento y efectos de la falta de resolucin expresa.

1. El plazo mximo para dictar y notificar resolucin ser de tres meses, a contar desde la fecha de entrada en la Agencia Espaola de Proteccin de Datos de la solicitud.

2. Si en dicho plazo no se hubiese dictado y notificado resolucin expresa, se entender autorizada la transferencia internacional de datos.

Seccin 2. Procedimiento de suspensin temporal de transferencias internacionales de datos
Artculo 141. Iniciacin.

1. En los supuestos contemplados en el artculo 69 y en el apartado 3 del artculo 70, el Director de la Agencia Espaola de Proteccin de Datos podr acordar la suspensin temporal de una transferencia internacional de datos.

2. En tales supuestos, el Director dictar acuerdo de inicio referido a la suspensin temporal de la transferencia. El acuerdo deber ser motivado y fundarse en los supuestos previstos en este reglamento.

Artculo 142. Instruccin y resolucin.

1. Se dar traslado del acuerdo al exportador, a fin de que en el plazo de quince das formule lo que a su derecho convenga.

2. Recibidas las alegaciones o cumplido el plazo sealado, el Director dictar resolucin acordando, en su caso, la suspensin temporal de la transferencia internacional de datos.

Artculo 143. Actos posteriores a la resolucin.

1. El Director de la Agencia Espaola de Proteccin de Datos dar traslado de la resolucin al Registro General de Proteccin de Datos, a fin de que la misma se haga constar en el registro.

El Registro General de Proteccin de Datos inscribir de oficio la suspensin temporal de la transferencia internacional.

2. En todo caso, se dar traslado de la resolucin al Ministerio de Justicia, al efecto de que se proceda a su notificacin a la Comisin Europea y a los dems Estados miembros de la Unin Europea de acuerdo a lo previsto en el artculo 26.3 de la Directiva 95/46/CE.

Artculo 144. Levantamiento de la suspensin temporal.

1. La suspensin se levantar tan pronto como cesen las causas que la hubieran justificado, mediante resolucin del Director de la Agencia Espaola de Proteccin de Datos, del que se dar traslado al exportador.

2. El Director de la Agencia Espaola de Proteccin de Datos dar traslado de la resolucin al Registro General de Proteccin de Datos, a fin de que la misma se haga constar en el Registro.

El Registro General de Proteccin de Datos har constar de oficio el levantamiento de la suspensin temporal de la transferencia internacional.

3. El acuerdo ser notificado al exportador y al Ministerio de Justicia, al efecto de que se proceda a su notificacin a la Comisin Europea y a los dems Estados miembros de la Unin Europea de acuerdo a lo previsto en el artculo 26. 3 de la Directiva 95/46/CE.

CAPTULO VI
Procedimiento de inscripcin de cdigos tipo
Artculo 145. Iniciacin del procedimiento.

1. El procedimiento para la inscripcin en el Registro General de Proteccin de Datos de los cdigos tipo se iniciar siempre a solicitud de la entidad, rgano o asociacin promotora del cdigo tipo.

2. La solicitud, que deber reunir los requisitos legalmente establecidos, habr de acompaarse de los siguientes documentos:

a) Acreditacin de la representacin que concurra en la persona que presente la solicitud.

b) Contenido del acuerdo, convenio o decisin por la que se aprueba, en el mbito correspondiente el contenido del cdigo tipo presentado.

c) En caso de que el cdigo tipo proceda de un acuerdo sectorial o una decisin de empresa certificacin referida a la adopcin del acuerdo y legitimacin del rgano que lo adopt.

d) En el supuesto contemplado en la letra anterior, copia de los estatutos de la asociacin, organizacin sectorial o entidad en cuyo marco haya sido aprobado el cdigo.

e) En caso de cdigos tipo presentados por asociaciones u organizaciones de carcter sectorial, documentacin relativa a su representatividad en el sector.

f) En caso de cdigos tipo basados en decisiones de empresa, descripcin de los tratamientos a los que se refiere el cdigo tipo.

g) Cdigo tipo sometido a la Agencia Espaola de Proteccin de Datos.

Artculo 146. Anlisis de los aspectos sustantivos del cdigo tipo.

1. Durante los treinta das siguientes a la notificacin o subsanacin de los defectos el Registro General de Proteccin de Datos podr convocar a los solicitantes, a fin de obtener aclaraciones o precisiones relativas al contenido sustantivo del cdigo tipo.

2. Transcurrido el plazo sealado en el apartado anterior, el Registro General de Proteccin de Datos elaborar un informe sobre las caractersticas del proyecto de cdigo tipo.

3. La documentacin presentada y el informe del Registro sern remitidos al Gabinete Jurdico, a fin de que por el mismo se informe acerca del cumplimiento de los requisitos establecidos en el Ttulo VII de este Reglamento.

Artculo 147. Informacin pblica.

1. Cuando el Director de la Agencia Espaola de Proteccin de Datos acuerde, conforme a lo dispuesto en el artculo 86.1 de la Ley 30/1992, de 26 de noviembre, la apertura de un perodo de informacin pblica, el plazo para la formulacin de alegaciones ser de diez das a contar desde la publicacin en el Boletn Oficial del Estado del anuncio previsto en dicha ley.

2. No ser posible el acceso a la informacin del expediente en que concurran las circunstancias establecidas en el artculo 37.5 de la Ley 30/1992, de 26 de noviembre.

Artculo 148. Mejora del cdigo tipo.

Si durante la tramitacin del procedimiento resultase necesaria la aportacin de nuevos documentos o la modificacin del cdigo tipo presentado, la Agencia Espaola de Proteccin de Datos podr requerir al solicitante, a fin de que en el plazo de treinta das introduzca las modificaciones que sean precisas, remitiendo el texto resultante a la Agencia Espaola de Proteccin de Datos.

Se declarar la suspensin del procedimiento en tanto el solicitante no d cumplimiento al requerimiento.

Artculo 149. Trmite de audiencia.

En caso de que durante el trmite previsto en el ar-tculo 148 se hubieran formulado alegaciones, se dar traslado de las mismas al solicitante de la autorizacin, a fin de que en el plazo de diez das alegue lo que estime procedente.

Artculo 150. Resolucin.

1. Cumplidos los trminos establecidos en los artculos precedentes, el Director de la Agencia resolver sobre la procedencia o improcedencia de la inscripcin del cdigo tipo en el Registro General de Proteccin de Datos.

2. Cuando el Director de la Agencia Espaola de Proteccin de Datos resuelva autorizar la inscripcin del cdigo tipo, se dar traslado de la resolucin al Registro General de Proteccin de Datos, a fin de proceder a su inscripcin.

Artculo 151. Duracin del procedimiento y efectos de la falta de resolucin expresa.

1. El plazo mximo para dictar y notificar resolucin ser de seis meses, a contar desde la fecha de entrada de la solicitud en la Agencia Espaola de Proteccin de Datos.

2. Si en dicho plazo no se hubiese dictado y notificado resolucin expresa, el solicitante podr considerar estimada su solicitud.

Artculo 152. Publicacin de los cdigos tipo por la Agencia Espaola de Proteccin de Datos.

La Agencia Espaola de Proteccin de Datos dar publicidad al contenido de los cdigos tipo inscritos en el Registro General de Proteccin de Datos, utilizando para ello, con carcter preferente, medios electrnicos o telemticos.

CAPTULO VII
Otros procedimientos tramitados por la agencia espaola de proteccin de datos
Seccin 1. Procedimiento de exencin del deber de informacin al interesado
Artculo 153. Iniciacin del procedimiento.

1. El procedimiento para obtener de la Agencia Espaola de Proteccin de Datos la exencin del deber de informar al interesado acerca del tratamiento de sus datos de carcter personal cuando resulte imposible o exija esfuerzos desproporcionados, prevista en el apartado 5 del artculo 5 de la Ley Orgnica 15/1999, de 13 de diciembre, se iniciar siempre a peticin del responsable que pretenda obtener la aplicacin de la exencin.

2. En el escrito de solicitud, adems de los requisitos recogidos en el art. 70 de la Ley 30/1992, de 26 de noviembre, el responsable deber:

a) Identificar claramente el tratamiento de datos al que pretende aplicarse la exencin del deber de informar.

b) Motivar expresamente las causas en que fundamenta la imposibilidad o el carcter desproporcionado del esfuerzo que implicara el cumplimiento del deber de informar.

c) Exponer detalladamente las medidas compensatorias que propone realizar en caso de exoneracin del cumplimiento del deber de informar.

d) Aportar una clusula informativa que, mediante su difusin, en los trminos que se indiquen en la solicitud, permita compensar la exencin del deber de informar.

Artculo 154. Propuesta de nuevas medidas compensatorias.

1. Si la Agencia Espaola de Proteccin de Datos considerase insuficientes las medidas compensatorias propuestas por el solicitante, podr acordar la adopcin de medidas complementarias o sustitutivas a las propuestas por aqul en su solicitud.

2. Del acuerdo se dar traslado al solicitante, a fin de que exponga lo que a su derecho convenga en el plazo de quince das.

Artculo 155. Terminacin del procedimiento.

Concluidos los trmites previstos en los artculos precedentes, el Director de la Agencia dictar resolucin, concediendo o denegando la exencin del deber de informar. La resolucin podr imponer la adopcin de las medidas complementarias a las que se refiere el artculo anterior.

Artculo 156. Duracin del procedimiento y efectos de la falta de resolucin expresa.

1. El plazo mximo para dictar y notificar resolucin en el procedimiento ser de seis meses, a contar desde la fecha de entrada en la Agencia Espaola de Proteccin de Datos de la solicitud del responsable del fichero.

2. Si en dicho plazo no se hubiese dictado y notificado resolucin expresa, el afectado podr considerar estimada su solicitud por silencio administrativo positivo.

Seccin 2. Procedimiento para la autorizacin de conservacin de datos para fines histricos, estadsticos o cientficos
Artculo 157. Iniciacin del procedimiento.

1. El procedimiento para obtener de la Agencia Espaola de Proteccin de Datos la declaracin de la concurrencia en un determinado tratamiento de datos de valores histricos, cientficos o estadsticos, a los efectos previstos en la Ley Orgnica 15/1999, de 13 de diciembre, y en el presente Reglamento, se iniciar siempre a peticin del responsable que pretenda obtener la declaracin.

2. En el escrito de solicitud, el responsable deber:

a) Identificar claramente el tratamiento de datos al que pretende aplicarse la excepcin.

b) Motivar expresamente las causas que justificaran la declaracin.

c) Exponer detalladamente las medidas que el responsable del fichero se propone implantar para garantizar el derecho de los ciudadanos.

3. La solicitud deber acompaarse de cuantos documentos o pruebas sean necesarios para justificar la existencia de los valores histricos, cientficos o estadsticos que fundamentaran la declaracin de la Agencia.

Artculo 158. Duracin del procedimiento y efectos de la falta de resolucin expresa.

1. El plazo mximo para dictar y notificar resolucin en el procedimiento ser de tres meses, a contar desde la fecha de entrada en la Agencia Espaola de Proteccin de Datos de la solicitud del responsable del fichero.

2. Si en dicho plazo no se hubiese dictado y notificado resolucin expresa, el afectado podr considerar estimada su solicitud.

Disposicin adicional nica. Productos de software.

Los productos de software destinados al tratamiento automatizado de datos personales debern incluir en su descripcin tcnica el nivel de seguridad, bsico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el ttulo VIII de este reglamento.

Disposicin final nica. Aplicacin supletoria.

En lo no establecido en el captulo III del ttulo IX sern de aplicacin a los procedimientos sancionadores tramitados por la Agencia Espaola de Proteccin de Datos las disposiciones contenidas en el Reglamento del Procedimiento para el ejercicio de la potestad sancionadora, aprobado por Real Decreto 1398/1993, de 4 de agosto.

Análisis

  • Rango: Real Decreto
  • Fecha de disposición: 21/12/2007
  • Fecha de publicación: 19/01/2008
  • Entrada en vigor: 19 de abril de 2008.
Referencias posteriores

Criterio de ordenación:

  • SE DECLARA:
    • la nulidad del art. 10.2.b), por Sentencia del TS de 8 de febrero de 2012 (Ref. BOE-A-2012-3270).
    • la nulidad del art. 10.2.b), por Sentencia de 8 de febrero de 2012 (Ref. BOE-A-2012-3269).
    • la nulidad de los arts. 11, 18, 38.2, 123.2 y de lo indicado del art. 38.1.a), por Sentencia del TS de 15 de julio de 2010 (Ref. BOE-A-2010-16301).
    • la nulidad del art. 18, por Sentencia del TS de 15 de julio de 2010 (Ref. BOE-A-2010-16300).
    • la nulidad de lo indicado del art. 38.1.a), por Sentencia del TS de 15 de julio de 2010 (Ref. BOE-A-2010-16299).
  • SE MODIFICA el art. 81.5.b), por Real Decreto 3/2010, de 8 de enero (Ref. BOE-A-2010-1330).
Referencias anteriores
Materias
  • Agencia Espaola de Proteccin de Datos
  • Autorizaciones
  • Consentimiento informado
  • Derecho de acceso a los datos
  • Derecho de cancelacin de los datos
  • Derecho de rectificacin de los datos
  • Ficheros con datos personales
  • Flujo transfronterizo de datos
  • Medidas de seguridad
  • Procedimiento administrativo
  • Procedimiento sancionador
  • Publicidad
  • Registro General de Proteccin de Datos

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid