tema 5. protección de datos. carácter personal: objeto ... · 7. se prohíbe la recogida de datos...

™Atenea Trabajo Social

Temario Común SAS 2018/2019

Tema 5. Protección de datos.

• Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos deCarácter Personal: Objeto, ámbito de aplicación yprincipios

• Derechos de las personas.

• La Agencia Española de Protección de Datos

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de CarácterPersonal

Objeto, ámbito de aplicación y principios

Artículo 1. Objeto.

La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al

tratamiento de los datos personales, las libertades públicas y los derechos

fundamentales de las personas físicas, y especialmente de su honor e intimidad

personal y familiar.

Artículo 2. Ámbito de aplicación.

1. La presente Ley Orgánica será de aplicación a los datos de carácter personal

registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda

modalidad de uso posterior de estos datos por los sectores público y privado.

Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

a) Cuando el tratamiento sea efectuado en territorio español en el marco de las

actividades de un establecimiento del responsable del tratamiento.

b) Cuando al responsable del tratamiento no establecido en territorio español, le sea

de aplicación la legislación española en aplicación de normas de Derecho

Internacional público.

c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión

Europea y utilice en el tratamiento de datos medios situados en territorio español,

salvo que tales medios se utilicen únicamente con fines de tránsito.

2. El régimen de protección de los datos de carácter personal que se establece en la

presente Ley Orgánica no será de aplicación:

a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades

exclusivamente personales o domésticas.

b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas.

1

Carmen Gallego Moreno. Oposiciones SAS. Atenea Tabajo Social © copyright



c) A los ficheros establecidos para la investigación del terrorismo y de formas graves

de delincuencia organizada. No obstante, en estos supuestos el responsable del

fichero comunicará previamente la existencia del mismo, sus características generales

y su finalidad a la Agencia de Protección de Datos.

3. Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su

caso, por esta Ley Orgánica los siguientes tratamientos de datos personales:

a) Los ficheros regulados por la legislación de régimen electoral.

b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la

legislación estatal o autonómica sobre la función estadística pública.

c) Los que tengan por objeto el almacenamiento de los datos contenidos en los

informes personales de calificación a que se refiere la legislación del régimen del

personal de las Fuerzas Armadas.

d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes.

e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de

videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la

legislación sobre la materia.

Artículo 3. Definiciones.

A los efectos de la presente Ley Orgánica se entenderá por:

a) Datos de carácter personal: cualquier información concerniente a personas físicas

identificadas o identificables.

b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que

fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter

automatizado o no, que permitan la recogida, grabación, conservación, elaboración,

modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de

comunicaciones, consultas, interconexiones y transferencias.

d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza

pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y

uso del tratamiento.

e) Afectado o interesado: persona física titular de los datos que sean objeto del

tratamiento a que se refiere el apartado c) del presente artículo.

f) Procedimiento de disociación: todo tratamiento de datos personales de modo que la

información que se obtenga no pueda asociarse a persona identificada o identificable.

g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o

cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales

por cuenta del responsable del tratamiento.

2




h) Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca,

específica e informada, mediante la que el interesado consienta el tratamiento de

datos personales que le conciernen.

i) Cesión o comunicación de datos: toda revelación de datos realizada a una persona

distinta del interesado.

j) Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada,

por cualquier persona, no impedida por una norma limitativa o sin más exigencia que,

en su caso, el abono de una contraprestación.

Tienen la consideración de fuentes de acceso público, exclusivamente, el censo

promocional, los repertorios telefónicos en los términos previstos por su normativa

específica y las listas de personas pertenecientes a grupos de profesionales que

contengan únicamente los datos de nombre, título, profesión, actividad, grado

académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el

carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de

comunicación.

Principios de la protección de datos

Artículo 4. Calidad de los datos.

1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así

como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no

excesivos en relación con el ámbito y las finalidades determinadas, explícitas y

legítimas para las que se hayan obtenido.

2. Los datos de carácter personal objeto de tratamiento no podrán usarse para

finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.

No se considerará incompatible el tratamiento posterior de éstos con fines históricos,

estadísticos o científicos.

3. Los datos de carácter personal serán exactos y puestos al día de forma que

respondan con veracidad a la situación actual del afectado.

4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en

parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes

datos rectificados o completados, sin perjuicio de las facultades que a los afectados

reconoce el artículo 16.

5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser

necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o

registrados.

No serán conservados en forma que permita la identificación del interesado durante un

período superior al necesario para los fines en base a los cuales hubieran sido

recabados o registrados.

3




Reglamentariamente se determinará el procedimiento por el que, por excepción,

atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación

específica, se decida el mantenimiento íntegro de determinados datos.

6. Los datos de carácter personal serán almacenados de forma que permitan el

ejercicio del derecho de acceso, salvo que sean legalmente cancelados.

7. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.

El Reglamento Europeo de Protección de Datos se enmarca dentro de la legislación

para la protección y control de nuestros datos personales, un derecho fundamental

que poseen todas las personas. Así, se evita que nuestros datos personales sean

usados para vulnerar nuestra intimidad y otros derechos fundamentales y libertades.

La Nueva Ley de Protección de Datos 2018

En España la Ley Orgánica de Protección de Datos lleva activa desde el año 2000, su

nombre completo es Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos

de Carácter Personal y se fundamenta en el artículo 18 de la constitución española

sobre el derecho a la intimidad familiar y personal y el secreto de las comunicaciones.

Dentro de los datos personales existen datos y ficheros con distintos niveles de

seguridad: bajo, medio y alto, y cada uno de ellos debe ir acompañado de distintas

medidas de seguridad.

Por ello, la LOPD, obliga a todas aquellas personas, empresas u organismos (públicos

o privados) que por sus actividades dispongan de datos y archivos de carácter

personal, a cumplir con una serie de requisitos y medidas de seguridad como los que

presentamos a continuación:

Los datos que se recojan han de ser solo los necesarios para cumplir con el fin con el

que van a ser utilizados, nada más

Especificar que los datos van a ser recogidos y con qué fin van a usarse. También se

debe avisar de que si la persona que los facilita quiere rectificarlos o cancelarlos, tiene

el derecho a hacerlo.

Facilitar un modo de contacto para que la persona pueda cancelar o rectificar sus

datos, además de especificar quién está a cargo de esos datos.

La persona que proporciona los datos debe consentir a ello y saber que ese

consentimiento puede ser revocado si existe causa justificada.

Los datos de medio y alto nivel no deben ser recogidos a menos que sea

estrictamente necesario, por lo que información como la ideología, religión o creencias

son datos que no deberían pedirse. Cuando así suceda se debe advertir a la persona

de que está en su derecho a no dar ese tipo de datos.

4




La persona responsable de los datos y ficheros, igual que cualquier otra persona que

interactúe con ellos, está obligada al secreto profesional, que se mantiene incluso al

haber finalizado su relación con estos.

La única situación aceptable en la que los datos y ficheros recogidos pueden ser

compartidos con un tercero es para el cumplimiento de fines directamente

relacionados con la persona que los cede y quien va a recogerlos de nuevo. Para ello,

primero se debe haber informado a la persona que los cedió primero (y cuyos datos

son los que se están cediendo a un tercero) y esta haber consentido.

Como hemos comentado la seguridad de los ficheros y datos es fundamental. Deberán

tomarse medidas técnicas y organizativas para garantizar en todo momento su

seguridad y evitar alteraciones, pérdidas o accesos no autorizados.

Al recoger ficheros informáticos, el responsable ha de redactar un documento de

seguridad que será el modelo a seguir para todos los que entren en contacto con esa

información. Puedes encontrar un ejemplo en la web de la Agencia de Protección de

Datos.

A su vez el responsable de los ficheros ha de notificar la existencia de estos a la

Agencia antes de crearlos y registrar la inscripción del fichero de datos en el Registro

General de Protección de datos.

Si alguna vez has leído los términos y condiciones al bajarte una aplicación o al enviar

un formulario, todo esto te sonará. Si no, ya conoces muchas de las cosas de las que

te han informado y has aceptado sin leer.

Como puedes ver, además, estas obligaciones están estrechamente vinculadas con la

ciberseguridad que toda empresa debe aportar a sus archivos y un tema muy actual

en al que todos debemos prestar atención, también los departamentos de recursos

humanos para que los datos de los propios empleados estén seguros y protegidos.

Cambios en la LOPD 2018

Las empresas tienen tiempo hasta mayo de 2018 para aplicar los cambios en su

gestión de datos personales, pero aquí resumimos los cambios más importantes que

debes tener en cuenta y que que puedes ir gestionando ya.

Ampliación del ámbito territorial. El Reglamento pasará a aplicarse también a

empresas y entidades que se encuentren fuera de la Unión Europea cuando estas

realicen acciones destinadas a ciudadanos de la UE o consecuencia de la

monitorización de su comportamiento. Con esto se mejora sobre todo la protección de

los ciudadanos europeos en materia de transacciones por internet cuando estas se

efectúen fuera del territorio de la Unión.

Nuevos avisos. El nuevo Reglamento obliga a incluir nuevas advertencias que hasta

ahora no lo eran. Por ejemplo: la base legal para el tratamiento de los datos o los

períodos de retención de estos. Además, quedará especificada la necesidad de

informar de manera fácil y clara a todos los usuarios.

5




Solo lo necesario. Con el Reglamento en funcionamiento, quedará completamente

prohibido recoger más datos de los estrictamente necesarios. Además, se exigirá

también un consentimiento libre, informado e inequívoco de la persona que cede sus

datos. Invalidando así el acuerdo tácito que existía hasta ahora ante el silencio o la

inacción.

Autoridad de Control. Cada estado miembro deberá disponer de este organismo

para regular, supervisar y vigilar el tratamiento de datos personales. Cuando una

empresa o persona vaya a realizar depende de qué tratamientos, deberá primero

consultarlo con la Autoridad de Control para realizar una evaluación de impacto por si

esa transacción conlleva algún tipo de riesgo para los derechos y libertades de las

personas.

Esta evaluación se llevará a cabo, sobre todo, cuando se den tratamientos a gran

escala, o con datos que tengan que ver con datos relativos a las ideas políticas,

orientación sexual o salud.

Delegado de Protección de datos. Si en una empresa el tratamiento de datos lo lleva

a cabo una autoridad u organismo Las empresas deberán designar un delegado de

Protección de Datos (a excepción de los Tribunales en su función judicial), o la

actividad principal de la empresa consiste en tratar con una gran escala de datos de

alto nivel como categorías de religión, raza o genética, deberán designar un Delegado

de Protección de Datos para que supervise el correcto cumplimiento de la normativa

de protección de datos.

Registro de Actividades. con el nuevo Reglamento, el registro de las actividades de

tratamiento de los datos será obligatorio para personas y empresas.

Derecho al olvido y derecho a la portabilidad

Dentro del nuevo Reglamento Europeo de Protección de Datos quedarán recogido,

además, el derecho al olvido y el derecho a la portabilidad.

El derecho al olvido, recogido ya por el Tribunal de Justicia de la Unión Europea en

2014, defiende el derecho de las personas a que información obsoleta o no relevante

por el transcurso del tiempo sea bloqueada, suprimida o desindexada. Ahora, solicitar

que se supriman los datos personales dadas determinadas circunstancias será más

fácil.

Con el derecho de portabilidad, las personas tendrán derecho a solicitar el envío de

sus datos al responsable de tratar con ellos para transmitirlos a otro responsable.

La creación de un encargado o delegado de protección de datos, es doblemente

importante para las empresas ya que el encargado de recursos humanos o CEO de

las empresas tendrá que decidir sobre quién recae esa tarea y asegurarse de que

reciben la información y formación necesarias.

Como sabemos, ya ha entrado en vigor el Reglamento europeo de protección de

datos, aunque será aplicable obligatoriamente a los dos años de su entrada en vigor,

es decir, el 25 de mayo de 2018.

6




Este Reglamento pretende dar mayor poder a los interesados sobre sus datos

personales, tanto en redes sociales, smartphones, banca online, etc., de forma que

tendrán mayor control sobre sus datos.

No obstante este Reglamento no viene solo.

En España se está tramitando un Proyecto de nueva Ley Orgánica de Protección de Datos, que ajusta nuestro ordenamiento a este nuevo Reglamento, por lo que

habrá que estar atento los próximos meses de la aprobación de la njeva ley y lo que

implica.

NOTA:Ver el documento AnteProyecto de nueva Ley Orgánica de Protección de Datos en la

legislación complementaria.

Derechos de las personas

Artículo 5. Derecho de información en la recogida de datos.

1. Los interesados a los que se soliciten datos personales deberán ser previamente

informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la

finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean

planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y

oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su

representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión


deberá designar, salvo que tales medios se utilicen con fines de trámite, un

representante en España, sin perjuicio de las acciones que pudieran emprenderse

contra el propio responsable del tratamiento.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los

mismos, en forma claramente legible, las advertencias a que se refiere el apartado

anterior.

3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado

1 si el contenido de ella se deduce claramente de la naturaleza de los datos

personales que se solicitan o de las circunstancias en que se recaban.

4. Cuando los datos de carácter personal no hayan sido recabados del interesado,

éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable

7




del fichero o su representante, dentro de los tres meses siguientes al momento del

registro de los datos, salvo que ya hubiera sido informado con anterioridad, del

contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en

las letras a), d) y e) del apartado 1 del presente artículo.

5. No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente

una ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o

científicos, o cuando la información al interesado resulte imposible o exija esfuerzos

desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo

autonómico equivalente, en consideración al número de interesados, a la antigüedad

de los datos y a las posibles medidas compensatorias.

Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos

procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o

prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado

se le informará del origen de los datos y de la identidad del responsable del

tratamiento así como de los derechos que le asisten.

Artículo 6. Consentimiento del afectado.

1. El tratamiento de los datos de carácter personal requerirá el consentimiento

inequívoco del afectado, salvo que la ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal se recojan

para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito

de sus competencias; cuando se refieran a las partes de un contrato o precontrato de

una relación negocial, laboral o administrativa y sean necesarios para su

mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad

proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la

presente Ley, o cuando los datos figuren en fuentes accesibles al público y su

tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el

responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre

que no se vulneren los derechos y libertades fundamentales del interesado.

3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista

causa justificada para ello y no se le atribuyan efectos retroactivos.

4. En los casos en los que no sea necesario el consentimiento del afectado para el

tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo

contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y

legítimos relativos a una concreta situación personal. En tal supuesto, el responsable

del fichero excluirá del tratamiento los datos relativos al afectado.

Artículo 7. Datos especialmente protegidos.

1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución,

nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.

Cuando en relación con estos datos se proceda a recabar el consentimiento a que se

refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no

prestarlo.

8




2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de

tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical,

religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos,

sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones

y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o

sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de

que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a

la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de

interés general, así lo disponga una ley o el afectado consienta expresamente.

4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar

datos de carácter personal que revelen la ideología, afiliación sindical, religión,

creencias, origen racial o étnico, o vida sexual.

5. Los datos de carácter personal relativos a la comisión de infracciones penales o

administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas

competentes en los supuestos previstos en las respectivas normas reguladoras.

6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de

tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de

este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el

diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la

gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por

un profesional sanitario sujeto al secreto profesional o por otra persona sujeta

asimismo a una obligación equivalente de secreto.

También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior

cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o

de otra persona, en el supuesto de que el afectado esté física o jurídicamente

incapacitado para dar su consentimiento.

Artículo 8. Datos relativos a la salud.

Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las

instituciones y los centros sanitarios públicos y privados y los profesionales

correspondientes podrán proceder al tratamiento de los datos de carácter personal

relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los

mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre

sanidad.

Artículo 9. Seguridad de los datos.

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán

adoptar las medidas de índole técnica y organizativas necesarias que garanticen la

seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento

o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los

datos almacenados y los riesgos a que están expuestos, ya provengan de la acción

humana o del medio físico o natural.

9




2. No se registrarán datos de carácter personal en ficheros que no reúnan las

condiciones que se determinen por vía reglamentaria con respecto a su integridad y

seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y

programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir

los ficheros y las personas que intervengan en el tratamiento de los datos a que se

refiere el artículo 7 de esta Ley.

Artículo 10. Deber de secreto.

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de

los datos de carácter personal están obligados al secreto profesional respecto de los

mismos y al deber de guardarlos, obligaciones que subsistirán aun después de

finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del

mismo.

Artículo 13. Impugnación de valoraciones.

1. Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos

jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente

en un tratamiento de datos destinados a evaluar determinados aspectos de su

personalidad.

2. El afectado podrá impugnar los actos administrativos o decisiones privadas que

impliquen una valoración de su comportamiento, cuyo único fundamento sea un

tratamiento de datos de carácter personal que ofrezca una definición de sus

características o personalidad.

3. En este caso, el afectado tendrá derecho a obtener información del responsable del

fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que

sirvió para adoptar la decisión en que consistió el acto.

4. La valoración sobre el comportamiento de los ciudadanos, basada en un tratamiento

de datos, únicamente podrá tener valor probatorio a petición del afectado.

Artículo 14. Derecho de consulta al Registro General de Protección de Datos.

Cualquier persona podrá conocer, recabando a tal fin la información oportuna del

Registro General de Protección de Datos, la existencia de tratamientos de datos de

carácter personal, sus finalidades y la identidad del responsable del tratamiento. El

Registro General será de consulta pública y gratuita.

Artículo 15. Derecho de acceso.

1. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus

datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así

como las comunicaciones realizadas o que se prevén hacer de los mismos.

2. La información podrá obtenerse mediante la mera consulta de los datos por medio

de su visualización, o la indicación de los datos que son objeto de tratamiento

mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e

10




inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos

específicos.

3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a

intervalos no inferiores a doce meses, salvo que el interesado acredite un interés

legítimo al efecto, en cuyo caso podrán ejercitarlo antes.

Artículo 16. Derecho de rectificación y cancelación.

1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de

rectificación o cancelación del interesado en el plazo de diez días.

2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo

tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando

tales datos resulten inexactos o incompletos.

3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a

disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de

las posibles responsabilidades nacidas del tratamiento, durante el plazo de

prescripción de éstas.

Cumplido el citado plazo deberá procederse a la supresión.

4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el

responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a

quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este

último, que deberá también proceder a la cancelación.

5. Los datos de carácter personal deberán ser conservados durante los plazos

previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales

entre la persona o entidad responsable del tratamiento y el interesado.

Artículo 17. Procedimiento de oposición, acceso, rectificación o cancelación.

1. Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de

rectificación y cancelación serán establecidos reglamentariamente.

2. No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición,

acceso, rectificación o cancelación.

Artículo 18. Tutela de los derechos.

1. Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de

reclamación por los interesados ante la Agencia de Protección de Datos, en la forma

que reglamentariamente se determine.

2. El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos

de oposición, acceso, rectificación o cancelación, podrá ponerlo en conocimiento de la

Agencia de Protección de Datos o, en su caso, del organismo competente de cada

Comunidad Autónoma, que deberá asegurarse de la procedencia o improcedencia de

la denegación.

11




3. El plazo máximo en que debe dictarse la resolución expresa de tutela de derechos

será de seis meses.

4. Contra las resoluciones de la Agencia de Protección de Datos procederá recurso

contencioso-administrativo.

Artículo 19. Derecho a indemnización.

1. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la

presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión

en sus bienes o derechos tendrán derecho a ser indemnizados.

2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de

acuerdo con la legislación reguladora del régimen de responsabilidad de las

Administraciones públicas.

3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los

órganos de la jurisdicción ordinaria.

Artículo 23. Excepciones a los derechos de acceso, rectificación y cancelación.

1. Los responsables de los ficheros que contengan los datos a que se refieren los

apartados 2, 3 y 4 del artículo anterior podrán denegar el acceso, la rectificación o

cancelación en función de los peligros que pudieran derivarse para la defensa del

Estado o la seguridad pública, la protección de los derechos y libertades de terceros o

las necesidades de las investigaciones que se estén realizando.

2. Los responsables de los ficheros de la Hacienda Pública podrán, igualmente,

denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el

mismo obstaculice las actuaciones administrativas tendentes a asegurar el

cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté

siendo objeto de actuaciones inspectoras.

3. El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos

mencionados en los apartados anteriores podrá ponerlo en conocimiento del Director

de la Agencia de Protección de Datos o del organismo competente de cada

Comunidad Autónoma en el caso de ficheros mantenidos por Cuerpos de Policía

propios de éstas, o por las Administraciones tributarias autonómicas, quienes deberán

asegurarse de la procedencia o improcedencia de la denegación.

Artículo 24. Otras excepciones a los derechos de los afectados.

1. Lo dispuesto en los apartados 1 y 2 del artículo 5 no será aplicable a la recogida de

datos cuando la información al afectado impida o dificulte gravemente el cumplimiento

de las funciones de control y verificación de las Administraciones públicas o cuando

afecte a la Defensa Nacional, a la seguridad pública o a la persecución de infracciones

penales o administrativas.

2. Lo dispuesto en el artículo 15 y en el apartado 1 del artículo 16 no será de

aplicación si, ponderados los intereses en presencia, resultase que los derechos que

12




dichos preceptos conceden al afectado hubieran de ceder ante razones de interés

público o ante intereses de terceros más dignos de protección. Si el órgano

administrativo responsable del fichero invocase lo dispuesto en este apartado, dictará

resolución motivada e instruirá al afectado del derecho que le asiste a poner la

negativa en conocimiento del Director de la Agencia de Protección de Datos o, en su

caso, del órgano equivalente de las Comunidades Autónomas.

La Agencia Española de Protección de Datos.

Regulacion Normativa

• Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Personal (Título VI con rango de ley ordinaria).

• Real Decreto 1720/2007 por el que se aprueba el Reglamento de desarrollo de

la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de

Carácter Personal.

• Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de

la Agencia Española de Protección de Datos.

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de CarácterPersonal

Artículo 35. Naturaleza y régimen jurídico.

1. La Agencia de Protección de Datos es un ente de derecho público, con personalidad

jurídica propia y plena capacidad pública y privada, que actúa con plena

independencia de las Administraciones públicas en el ejercicio de sus funciones. Se

regirá por lo dispuesto en la presente Ley y en un Estatuto propio, que será aprobado

por el Gobierno.

2. En el ejercicio de sus funciones públicas, y en defecto de lo que disponga la

presente Ley y sus disposiciones de desarrollo, la Agencia de Protección de Datos

actuará de conformidad con la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico

de las Administraciones Públicas y del Procedimiento Administrativo Común. En sus

adquisiciones patrimoniales y contratación estará sujeta al derecho privado.

3. Los puestos de trabajo de los órganos y servicios que integren la Agencia de

Protección de Datos serán desempeñados por funcionarios de las Administraciones

públicas y por personal contratado al efecto, según la naturaleza de las funciones

asignadas a cada puesto de trabajo. Este personal está obligado a guardar secreto de

los datos de carácter personal de que conozca en el desarrollo de su función.

4. La Agencia de Protección de Datos contará, para el cumplimiento de sus fines, con

los siguientes bienes y medios económicos:

13




a) Las asignaciones que se establezcan anualmente con cargo a los Presupuestos

Generales del Estado.

b) Los bienes y valores que constituyan su patrimonio, así como los productos y rentas

del mismo.

c) Cualesquiera otros que legalmente puedan serle atribuidos.

5. La Agencia de Protección de Datos elaborará y aprobará con carácter anual el

correspondiente anteproyecto de presupuesto y lo remitirá al Gobierno para que sea

integrado, con la debida independencia, en los Presupuestos Generales del Estado.

Artículo 36. El Director.

1. El Director de la Agencia de Protección de Datos dirige la Agencia y ostenta su

representación. Será nombrado, de entre quienes componen el Consejo Consultivo,

mediante Real Decreto, por un período de cuatro años.

2. Ejercerá sus funciones con plena independencia y objetividad y no estará sujeto a

instrucción alguna en el desempeño de aquéllas.

En todo caso, el Director deberá oír al Consejo Consultivo en aquellas propuestas que

éste le realice en el ejercicio de sus funciones.

3. El Director de la Agencia de Protección de Datos sólo cesará antes de la expiración

del período a que se refiere el apartado 1, a petición propia o por separación acordada

por el Gobierno, previa instrucción de expediente, en el que necesariamente serán

oídos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus

obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad

o condena por delito doloso.

4. El Director de la Agencia de Protección de Datos tendrá la consideración de alto

cargo y quedará en la situación de servicios especiales si con anterioridad estuviera

desempeñando una función pública. En el supuesto de que sea nombrado para el

cargo algún miembro de la carrera judicial o fiscal, pasará asimismo a la situación

administrativa de servicios especiales.

Artículo 37. Funciones.

Son funciones de la Agencia de Protección de Datos:

a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su

aplicación, en especial en lo relativo a los derechos de información, acceso,

rectificación, oposición y cancelación de datos.

b) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.

c) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las

instrucciones precisas para adecuar los tratamientos a los principios de la presente

Ley.

d) Atender las peticiones y reclamaciones formuladas por las personas afectadas.

14




e) Proporcionar información a las personas acerca de sus derechos en materia de

tratamiento de los datos de carácter personal.

f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia

de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de

datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los

tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones.

g) Ejercer la potestad sancionadora en los términos previstos por el Título VII de la

presente Ley.

h) Informar, con carácter preceptivo, los proyectos de disposiciones generales que

desarrollen esta Ley.

i) Recabar de los responsables de los ficheros cuanta ayuda e información estime

necesaria para el desempeño de sus funciones.

j) Velar por la publicidad de la existencia de los ficheros de datos con carácter

personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con

la información adicional que el Director de la Agencia determine.

k) Redactar una memoria anual y remitirla al Ministerio de Justicia.

l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los

movimientos internacionales de datos, así como desempeñar las funciones de

cooperación internacional en materia de protección de datos personales.

m) Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística

Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico,

así como dictar las instrucciones precisas, dictaminar sobre las condiciones de

seguridad de los ficheros constituidos con fines exclusivamente estadísticos y ejercer

la potestad a la que se refiere el artículo 46.

n) Cuantas otras le sean atribuidas por normas legales o reglamentarias.

Artículo 38. Consejo Consultivo.

El Director de la Agencia de Protección de Datos estará asesorado por un Consejo

Consultivo compuesto por los siguientes miembros:

Un Diputado, propuesto por el Congreso de los Diputados.

Un Senador, propuesto por el Senado.

Un representante de la Administración Central, designado por el Gobierno.

Un representante de la Administración Local, propuesto por la Federación Española de

Municipios y Provincias.

Un miembro de la Real Academia de la Historia, propuesto por la misma.

Un experto en la materia, propuesto por el Consejo Superior de Universidades.

15




Un representante de los usuarios y consumidores, seleccionado del modo que se

prevea reglamentariamente.

Un representante de cada Comunidad Autónoma que haya creado una agencia de

protección de datos en su ámbito territorial, propuesto de acuerdo con el

procedimiento que establezca la respectiva Comunidad Autónoma.

Un representante del sector de ficheros privados, para cuya propuesta se seguirá el

procedimiento que se regule reglamentariamente.

El funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias que

al efecto se establezcan.

Artículo 39. El Registro General de Protección de Datos.

1. El Registro General de Protección de Datos es un órgano integrado en la Agencia

de Protección de Datos.

2. Serán objeto de inscripción en el Registro General de Protección de Datos:

a) Los ficheros de que sean titulares las Administraciones públicas.

b) Los ficheros de titularidad privada.

c) Las autorizaciones a que se refiere la presente Ley.

d) Los códigos tipo a que se refiere el artículo 32 de la presente Ley.

e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los

derechos de información, acceso, rectificación, cancelación y oposición.

3. Por vía reglamentaria se regulará el procedimiento de inscripción de los ficheros,

tanto de titularidad pública como de titularidad privada, en el Registro General de

Protección de Datos, el contenido de la inscripción, su modificación, cancelación,

reclamaciones y recursos contra las resoluciones correspondientes y demás extremos

pertinentes.

Artículo 40. Potestad de inspección.

1. Las autoridades de control podrán inspeccionar los ficheros a que hace referencia la

presente Ley, recabando cuantas informaciones precisen para el cumplimiento de sus

cometidos.

A tal efecto, podrán solicitar la exhibición o el envío de documentos y datos y

examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los

equipos físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los

locales donde se hallen instalados.

2. Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior

tendrán la consideración de autoridad pública en el desempeño de sus cometidos.

16




Estarán obligados a guardar secreto sobre las informaciones que conozcan en el

ejercicio de las mencionadas funciones, incluso después de haber cesado en las

mismas.

Artículo 41. Órganos correspondientes de las Comunidades Autónomas.

1. Las funciones de la Agencia de Protección de Datos reguladas en el artículo 37, a

excepción de las mencionadas en los apartados j), k) y l), y en los apartados f) y g) en

lo que se refiere a las transferencias internacionales de datos, así como en los

artículos 46 y 49, en relación con sus específicas competencias serán ejercidas,

cuando afecten a ficheros de datos de carácter personal creados o gestionados por las

Comunidades Autónomas y por la Administración Local de su ámbito territorial, por los

órganos correspondientes de cada Comunidad, que tendrán la consideración de

autoridades de control, a los que garantizarán plena independencia y objetividad en el

ejercicio de su cometido.

2. Las Comunidades Autónomas podrán crear y mantener sus propios registros de

ficheros para el ejercicio de las competencias que se les reconoce sobre los mismos.

3. El Director de la Agencia de Protección de Datos podrá convocar regularmente a los

órganos correspondientes de las Comunidades Autónomas a efectos de cooperación

institucional y coordinación de criterios o procedimientos de actuación. El Director de la

Agencia de Protección de Datos y los órganos correspondientes de las Comunidades

Autónomas podrán solicitarse mutuamente la información necesaria para el

cumplimiento de sus funciones.

Artículo 42. Ficheros de las Comunidades Autónomas en materia de su exclusivacompetencia.

1. Cuando el Director de la Agencia de Protección de Datos constate que el

mantenimiento o uso de un determinado fichero de las Comunidades Autónomas

contraviene algún precepto de esta Ley en materia de su exclusiva competencia podrá

requerir a la Administración correspondiente que se adopten las medidas correctoras

que determine en el plazo que expresamente se fije en el requerimiento.

2. Si la Administración pública correspondiente no cumpliera el requerimiento

formulado, el Director de la Agencia de Protección de Datos podrá impugnar la

resolución adoptada por aquella Administración.

REGLAMENTO DE DESARROLLO DE LA LEY ORGÁNICA 15/1999, DE 13 DEDICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Artículo 1. Objeto.

1. El presente reglamento tiene por objeto el desarrollo de la Ley Orgánica 15/1999, de

13 de diciembre, de Protección de datos de carácter personal.

2. Asimismo, el capítulo III del título IX de este reglamento desarrolla las disposiciones

relativas al ejercicio por la Agencia Española de Protección de Datos de la potestad

sancionadora, en aplicación de lo dispuesto en la Ley Orgánica 15/1999, de 13 de

17




diciembre, en el título VII de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad

de la información y de comercio electrónico, y en el título VIII de la Ley 32/2003, de 3

de noviembre, General de Telecomunicaciones.

Artículo 2. Ámbito objetivo de aplicación.

1. El presente reglamento será de aplicación a los datos de carácter personal

registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda

modalidad de uso posterior de estos datos por los sectores público y privado.

2. Este reglamento no será aplicable a los tratamientos de datos referidos a personas

jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas

que presten sus servicios en aquéllas, consistentes únicamente en su nombre y

apellidos, las funciones o puestos desempeñados, así como la dirección postal o

electrónica, teléfono y número de fax profesionales.

3. Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a

ellos en su calidad de comerciantes, industriales o navieros, también se entenderán

excluidos del régimen de aplicación de la protección de datos de carácter personal.

4. Este reglamento no será de aplicación a los datos referidos a personas fallecidas.

No obstante, las personas vinculadas al fallecido, por razones familiares o análogas,

podrán dirigirse a los responsables de los ficheros o tratamientos que contengan datos

de éste con la finalidad de notificar el óbito, aportando acreditación suficiente del

mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos.

Artículo 3. Ámbito territorial de aplicación.

1. Se regirá por el presente reglamento todo tratamiento de datos de carácter

personal:

a) Cuando el tratamiento sea efectuado en el marco de las actividades de un

establecimiento del responsable del tratamiento, siempre que dicho establecimiento se

encuentre ubicado en territorio español.

Cuando no resulte de aplicación lo dispuesto en el párrafo anterior, pero exista un

encargado del tratamiento ubicado en España, serán de aplicación al mismo las

normas contenidas en el título VIII del presente reglamento.

b) Cuando al responsable del tratamiento no establecido en territorio español, le sea

de aplicación la legislación española, según las normas de Derecho internacional

público.

c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión


salvo que tales medios se utilicen únicamente con fines de tránsito.

En este supuesto, el responsable del tratamiento deberá designar un representante

establecido en territorio español.

18




2. A los efectos previstos en los apartados anteriores, se entenderá por

establecimiento, con independencia de su forma jurídica, cualquier instalación estable

que permita el ejercicio efectivo y real de una actividad.

Artículo 4. Ficheros o tratamientos excluidos.

El régimen de protección de los datos de carácter personal que se establece en el

presente reglamento no será de aplicación a los siguientes ficheros y tratamientos:

a) A los realizados o mantenidos por personas físicas en el ejercicio de actividades

exclusivamente personales o domésticas.

Sólo se considerarán relacionados con actividades personales o domésticas los

tratamientos relativos a las actividades que se inscriben en el marco de la vida privada

o familiar de los particulares.

b) A los sometidos a la normativa sobre protección de materias clasificadas.

c) A los establecidos para la investigación del terrorismo y de formas graves de

delincuencia organizada. No obstante el responsable del fichero comunicará

previamente la existencia del mismo, sus características generales y su finalidad a la

Agencia Española de Protección de Datos.

Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de laAgencia de Protección de Datos.

Artículo 1. La Agencia de Protección de Datos.

1. La Agencia de Protección de Datos es un ente de Derecho público de los previstos

en el artículo 6, apartado 5, del texto refundido de la Ley General Presupuestaria,

aprobado por Real Decreto legislativo 1091/1988, de 23 de septiembre, que tiene por

objeto la garantía del cumplimiento y aplicación de las previsiones contenidas en la

Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado

de los Datos de Carácter Personal.

2. La Agencia de Protección de Datos actúa con plena independencia de las

Administraciones Públicas en el ejercicio de sus funciones y se relaciona con el

Gobierno a través del Ministerio de Justicia.

Artículo 2. Régimen jurídico.

1. La Agencia de Protección de Datos goza de personalidad jurídica propia y plena

capacidad pública y privada.

2. La Agencia de Protección de Datos se regirá por las disposiciones legales y

reglamentarias siguientes:

a) El título VI de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del

Tratamiento Automatizado de los Datos de Carácter Personal.

19




b) El presente Estatuto y las demás disposiciones de desarrollo de la Ley Orgánica

5/1992.

c) En defecto de las anteriores, y para el ejercicio de sus funciones públicas, las

normas de procedimiento contenidas en la Ley 30/1992, de 26 de noviembre, de

Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo

Común.

d) Los preceptos de la Ley General Presupuestaria, texto refundido aprobado por Real

Decreto legislativo 1091/1988, de 23 de septiembre, que resulten de aplicación.

e) Cuantas otras disposiciones resulten de aplicación.

3. La Agencia ejercerá sus funciones por medio del Director, a cuyo efecto los actos

del Director se consideran actos de la Agencia.

4. Los actos dictados por el Director en el ejercicio de las funciones públicas de la

Agencia agotan la vía administrativa. Contra ellos se podrán interponer los recursos

contencioso-administrativos que resulten procedentes.

Funciones de la Agencia de Protección de Datos

Artículo 3. Funciones.

1. Corresponde a la Agencia de Protección de Datos ejercer las funciones que le

atribuye el artículo 36 de la Ley Orgánica 5/1992.

2. A este efecto la Agencia de Protección de Datos podrá dirigirse directamente a los

titulares y responsables de cualesquiera ficheros de datos de carácter personal.

Artículo 4. Relaciones con los afectados.

1. La Agencia de Protección de Datos informará a las personas de los derechos que la

Ley les reconoce en relación con el tratamiento automatizado de sus datos de carácter

personal y a tal efecto podrá promover campañas de difusión, valiéndose de los

medios de comunicación social.

2. La Agencia atenderá las peticiones que le dirijan los afectados y resolverá las

reclamaciones formuladas por los mismos, sin perjuicio de las vías de recurso

procedentes.

Artículo 5. Cooperación en la elaboración y aplicación de las normas.

La Agencia de Protección de Datos colaborará con los órganos competentes en lo que

respecta al desarrollo normativo y aplicación de las normas que incidan en materia

propia de la Ley Orgánica 5/1992, y a tal efecto:

a) Informará preceptivamente los proyectos de disposiciones generales de desarrollo

de la Ley Orgánica.

20




b) Informará preceptivamente cualesquiera proyectos de ley o reglamento que incidan

en la materia propia de la Ley Orgánica.

c) Dictará instrucciones y recomendaciones precisas para adecuar los tratamientos

automatizados a los principios de la Ley Orgánica.

d) Dictará recomendaciones de aplicación de las disposiciones legales y

reglamentarias en materia de seguridad de los datos y control de acceso a los

ficheros.

Artículo 6. Ficheros estadísticos.

La Agencia de Protección de Datos ejercerá el control de la observancia de lo

dispuesto en los artículos 4, 7 y 10 a 22 de la Ley 12/1989, de 9 de mayo, de la

Función Estadística Pública, y en especial:

a) Informará con carácter preceptivo el contenido y formato de los cuestionarios, hojas

censuales y otros documentos de recogida de datos con fines estadísticos.

b) Dictaminará sobre los procesos de recogida y tratamiento automatizado de los

datos personales a efectos estadísticos.

c) Informará sobre los proyectos de ley por los que se exijan datos con carácter

obligatorio y su adecuación a lo dispuesto en el artículo 7 de la Ley de la Función

Estadística Pública.

d) Dictaminará sobre las condiciones de seguridad de los ficheros constituidos con

fines exclusivamente estadísticos.

Artículo 7. Publicidad de los ficheros automatizados.

La Agencia de Protección de Datos velará por la publicidad de la existencia de los

ficheros automatizados de datos de carácter personal, a cuyo efecto publicará y

difundirá un catálogo anual de los ficheros inscritos en el Registro General de

Protección de Datos, con expresión de la información que al amparo de lo dispuesto

en el artículo 36, j), de la Ley Orgánica 5/1992, determine el Director.

Artículo 8. Memoria anual.

1. La Agencia de Protección de Datos redactará una Memoria anual sobre la

aplicación de la Ley Orgánica 5/1992, y de las demás disposiciones legales y

reglamentarias sobre protección de datos, la cual comprenderá, además de la

información necesaria sobre el funcionamiento de la Agencia:

a) Una relación de los códigos tipo depositados e inscritos en el Registro General de

Protección de Datos.

21




b) Un análisis de las tendencias legislativas, jurisprudenciales y doctrinales de los

distintos países en materia de protección de datos.

c) Un análisis y una valoración de los problemas de la protección de datos a escala

nacional.

2. La Memoria anual será remitida por el Director al Ministro de Justicia, para su

ulterior envío a las Cortes Generales.

Artículo 9. Relaciones internacionales.

1. Corresponde a la Agencia de Protección de Datos la cooperación con organismos

internacionales y órganos de las Comunidades Europeas en materia de protección de

datos.

2. La Agencia prestará asistencia a las autoridades designadas por los Estados parte

en el Convenio del Consejo de Europa de 28 de enero de 1981, sobre protección de

las personas en relación con el tratamiento automatizado de los datos de carácter

personal, a los efectos previstos en el artículo 13 del Convenio.

Artículo 10. Sistema de Información Schengen.

1. La Agencia de Protección de Datos ejercerá el control de los datos de carácter

personal introducidos en la parte nacional española de la base de datos del Sistema

de Información Schengen (SIS).

2. El Director de la Agencia designará dos representantes para la autoridad de control

común de protección de datos del Sistema de Información Schengen.

Organos de la Agencia de Protección de Datos

Sección 1. Estructura orgánica de la Agencia de Protección de Datos

Artículo 11. Estructura orgánica.

La Agencia de Protección de Datos se estructura en los siguientes órganos:

1. El Director de la Agencia de Protección de Datos.

2. El Consejo Consultivo.

3. El Registro General de Protección de Datos, la Inspección de Datos y la Secretaría

General, como órganos jerárquicamente dependientes del Director de la Agencia.

Sección 2. El Director de la Agencia de Protección de Datos

Artículo 12. Funciones de dirección.

1. El Director de la Agencia de Protección de Datos dirige la Agencia y ostenta su

representación.

22




2. Corresponde al Director de la Agencia de Protección de Datos dictar las

resoluciones e instrucciones que requiera el ejercicio de las funciones de la Agencia y,

en especial:

a) Resolver motivadamente sobre la procedencia o improcedencia de las inscripciones

que deban practicarse en el Registro General de Protección de Datos.

b) Requerir a los responsables de ficheros de titularidad privada a que subsanen

deficiencias de los códigos tipo.

c) Resolver motivadamente, previo informe del responsable del fichero, sobre la

procedencia o improcedencia de la denegación, total o parcial, del acceso a los

ficheros policiales o tributarios automatizados.

d) Autorizar transferencias temporales o definitivas de datos que hayan sido objeto de

tratamiento automatizado o recogidos a tal efecto, con destino a países cuya

legislación no ofrezca un nivel de protección equiparable al de la Ley Orgánica 5/1992

y el presente estatuto.

e) Convocar regularmente a los órganos competentes de las Comunidades Autónomas

a efectos de cooperación institucional y coordinación de criterios o procedimientos de

actuación.

f) Recabar de las distintas Administraciones Públicas la información necesaria para el

cumplimiento de sus funciones.

g) Solicitar de los órganos correspondientes de las Comunidades Autónomas, a que se

refiere el artículo 40 de la Ley Orgánica 5/1992, la información necesaria para el

cumplimiento de sus funciones, así como facilitar a aquéllos la información que le

soliciten a idénticos efectos.

h) Adoptar las medidas cautelares y provisionales que requiera el ejercicio de la

potestad sancionadora de la Agencia con relación a los responsables de los ficheros

privados.

i) Iniciar, impulsar la instrucción y resolver los expedientes sancionadores referentes a

los responsables de los ficheros privados.

j) Instar la incoación de expedientes disciplinarios en los casos de infracciones

cometidas por órganos responsables de ficheros de las Administraciones Públicas.

k) Autorizar la entrada en los locales en los que se hallen los ficheros, con el fin de

proceder a las inspecciones pertinentes, sin perjuicio de la aplicación de las reglas que

garantizan la inviolabilidad del domicilio.

Artículo 13. Funciones de gestión.

1. Corresponde asimismo al Director de la Agencia de Protección de Datos:

a) Adjudicar y formalizar los contratos que requiera la gestión de la Agencia y vigilar su

cumplimiento y ejecución.

23




b) Aprobar gastos y ordenar pagos, dentro de los límites de los créditos del

presupuesto de gastos de la Agencia.

c) Ejercer el control económico-financiero de la Agencia.

d) Programar la gestión de la Agencia.

e) Elaborar el anteproyecto de presupuesto de la Agencia.

f) Proponer la relación de puestos de trabajo de la Agencia.

g) Aprobar la Memoria anual de la Agencia.

h) Ordenar la convocatoria de las reuniones del Consejo Consultivo.

2. El Director podrá delegar en el Secretario general el ejercicio de las funciones a que

se refieren las letras a), b), d), e) y f) del apartado anterior.

Artículo 14. Nombramiento y mandato.

1. El Director de la Agencia de Protección de Datos será nombrado por el Gobierno,

mediante Real Decreto, a propuesta del Ministro de Justicia, de entre los miembros del

Consejo Consultivo.

2. El Director de la Agencia de Protección de Datos gozará de los mismos honores y

tratamiento que los Subsecretarios.

3. El mandato del Director de la Agencia de Protección de Datos tendrá una duración

de cuatro años contados desde su nombramiento y sólo cesará por las causas

previstas en el artículo 15 del presente Estatuto.

Artículo 15. Cese y separación.

1. El Director de la Agencia de Protección de Datos cesará en el desempeño de su

cargo por la expiración de su mandado o, con anterioridad, a petición propia.

2. El Gobierno sólo podrá acordar la separación del Director de la Agencia de

Protección de Datos antes de que hubiera expirado el plazo de su mandato en los

casos siguientes:

a) Incumplimiento grave de las obligaciones del cargo.

b) Incapacidad sobrevenida para el ejercicio de sus funciones.

c) Incompatibilidad.

d) Condena por delito doloso.

La separación se acordará por el Gobierno, mediante Real Decreto a propuesta del

Ministro de Justicia, previa instrucción de expediente, en el cual serán oídos los

restantes miembros del Consejo Consultivo.

3. El cargo de Director de la Agencia de Protección de Datos está sujeto a las

incompatibilidades que para los altos cargos prevé la Ley 25/1983, de 26 de diciembre.

24




Artículo 16. Independencia.

1. El Director de la Agencia de Protección de Datos desempeñará su cargo con

dedicación absoluta, plena independencia y total objetividad.

2. El Director no estará sujeto a mandato imperativo, ni recibirá instrucciones de

autoridad alguna.

Artículo 17. Remuneración.

1. El Director de la Agencia de Protección de Datos percibirá la remuneración que en

los Presupuestos Generales del Estado tengan asignada los subsecretarios.

2. La remuneración será incompatible con la percepción de pensiones de derechos

pasivos o de cualquier régimen de Seguridad Social público y obligatorio, quedando en

suspenso dichas percepciones durante el plazo de mandato.

Sección 3. El Consejo Consultivo

Artículo 18. El Consejo Consultivo.

1. El Consejo Consultivo de la Agencia de Protección de Datos, establecido por el

artículo 37 de la Ley Orgánica 5/1992, de 29 de octubre, es un órgano colegiado de

asesoramiento del Director de la Agencia de Protección de Datos.

2. El Consejo Consultivo emitirá informe en todas las cuestiones que le someta el

Director de la Agencia de Protección de Datos y podrá formular propuestas en temas

relacionados con las materias de competencia de ésta.

Artículo 19. Propuesta y nombramiento.

1. Los miembros del Consejo Consultivo serán propuestos en la forma siguiente:

a) El Congreso de los Diputados propondrá, como Vocal, a un Diputado.

b) El Senado propondrá, como Vocal, a un Senador.

c) El Ministro de Justicia propondrá al Vocal de la Administración General del Estado.

d) Las Comunidades Autónomas decidirán, mediante acuerdo adoptado por mayoría

simple, el Vocal a proponer.

e) La Federación Española de Municipios y Provincias propondrá al Vocal de la

Administración Local.

f) La Real Academia de la Historia propondrá, como Vocal, a un miembro de la

Corporación.

g) El Consejo de Universidades propondrá a un Vocal experto en la materia de entre

los cuerpos docentes de enseñanza superior e investigadores con acreditado

conocimiento en el tratamiento automatizado de datos.

h) El Consejo de Consumidores y Usuarios propondrá, mediante terna, al Vocal de los

usuarios y consumidores.

25




i) El Consejo Superior de Cámaras de Comercio, Industria y Navegación propondrá,

mediante terna, al Vocal del sector de ficheros privados.

2. Las propuestas serán elevadas al Gobierno por conducto del Ministro de Justicia.

3. Los miembros del Consejo Consultivo serán nombrados y, en su caso, cesados por

el Gobierno.

Artículo 20. Plazo y vacantes.

1. Los miembros del Consejo Consultivo desempeñarán su cargo durante cuatro años.

2. Se exceptúan de lo establecido en el apartado anterior los siguientes supuestos:

a) Nombramiento del Vocal como Director de la Agencia de Protección de Datos.

b) Renuncia anticipada del Vocal.

c) Pérdida de la condición que habilitó al Vocal para ser propuesto, en los supuestos

previstos en las letras a), b), f) y g) del apartado 1 del artículo anterior.

d) Propuesta de cese emanada de las instituciones, órganos, corporaciones u

organizaciones a las que se refiere el artículo anterior.

3. Las vacantes que se produzcan en el Consejo Consultivo antes de expirar el plazo a

que se refiere el apartado 1 deberán ser cubiertas dentro del mes siguiente a la fecha

en que la vacante se hubiera producido, por el procedimiento previsto en el artículo

anterior y por el tiempo que reste para completar el mandato de quien causó la

vacante a cubrir.

4. Los miembros del Consejo Consultivo no percibirán retribución alguna, sin perjuicio

del abono de los gastos, debidamente justificados, que les ocasione el ejercicio de su

función.

Artículo 21. Renovación del Consejo Consultivo.

1. Antes de finalizar el mandato de los miembros del Consejo Consultivo, el Gobierno,

por conducto del Ministro de Justicia, requerirá a las instituciones, órganos,

corporaciones y organizaciones a que se refiere el artículo 19 del presente Estatuto, a

fin de que le comuniquen los nombres de las personas que propongan para un nuevo

mandato en el Consejo Consultivo, lo que deberá efectuarse dentro del mes siguiente

a la formulación del referido requerimiento.

2. Una vez transcurrido el plazo señalado para cumplimentar el requerimiento, el

Gobierno procederá, sin más trámites, a nombrar como miembros del Consejo

Consultivo a los propuestos, quienes tomarán posesión de su condición en la misma

fecha en que expire el anterior mandato de los miembros del Consejo.

Artículo 22. Funcionamiento.

1. En defecto de disposiciones específicas del presente Estatuto, el Consejo

Consultivo ajustará su actuación, en lo que le sea de aplicación, a las disposiciones

26




del capítulo II del título II de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico

de las Administraciones Públicas y del Procedimiento Administrativo Común.

2. El Consejo Consultivo adoptará sus acuerdos en sesión plenaria.

3. Actuará como presidente del Consejo Consultivo el Director de la Agencia de

Protección de Datos.

4. Actuará como secretario del Consejo Consultivo, con voz y sin voto, el titular de la

Secretaría General de la Agencia de Protección de Datos. En caso de vacante,

ausencia o enfermedad, actuará de secretario un funcionario adscrito a la Secretaría

General designado por el Director de la Agencia a tal efecto.

5. El Consejo Consultivo se reunirá cuando así lo decida el Director de la Agencia que,

en todo caso, lo convocará una vez cada seis meses. También se reunirá cuando así

lo solicite la mayoría de sus miembros.

6. El Secretario convocará las reuniones del Consejo Consultivo, de orden del Director

de la Agencia, y trasladará la convocatoria a los miembros del Consejo.

7. El Consejo Consultivo quedará válidamente constituido, en primera convocatoria, si

están presentes el presidente, el secretario y la mitad de los miembros del Consejo, y,

en segunda convocatoria, si están presentes el presidente, el secretario y la tercera

parte de los miembros del Consejo.

Sección 4. El Registro General de Protección de Datos

Artículo 23. El Registro General de Protección de Datos.

El Registro General de Protección de Datos es el órgano de la Agencia de Protección

de Datos al que corresponde velar por la publicidad de la existencia de los ficheros

automatizados de datos de carácter personal, con miras a hacer posible el ejercicio de

los derechos de información, acceso, rectificación y cancelación de datos regulados en

los artículos 13 a 15 de la Ley Orgánica 5/1992, de 29 de octubre.

Artículo 24. Ficheros inscribibles.

1. Serán objeto de inscripción en el Registro los ficheros automatizados que contengan

datos personales y de los cuales sean titulares:

a) La Administración General del Estado.

b) Las entidades y organismos de la Seguridad Social.

c) Los organismos autónomos del Estado, cualquiera que sea su clasificación.

d) Las sociedades estatales y entes del sector público a que se refiere el artículo 6 de

la Ley General Presupuestaria.

e) Las Administraciones de las Comunidades Autónomas y de sus Territorios

Históricos, así como sus entes y organismos dependientes, sin perjuicio de que se

inscriban además en los registros a que se refiere el artículo 40.2 de la Ley Orgánica

5/1992.

27




f) Las entidades que integran la Administración Local y los entes y organismos

dependientes de la misma.

g) Cualesquiera otras personas jurídico-públicas, así como las personas privadas,

físicas o jurídicas.

2. En los asientos de inscripción de los ficheros de titularidad pública figurará, en todo

caso, la información contenida en la disposición general de creación o modificación del

fichero, de conformidad con lo previsto en el artículo 18.2 de la Ley Orgánica 5/1992,

de 29 de octubre.

3. En los asientos de inscripción de los ficheros de titularidad privada figurarán, en

todo caso, la información contenida en la notificación del fichero a excepción de las

medidas de seguridad, así como los cambios de finalidad del fichero, de responsable y

de ubicación del fichero.

4. En los asientos de inscripción de cualesquiera ficheros de datos de carácter

personal figurarán los datos relativos a los ficheros que sean necesarios para el

ejercicio de los derechos de información, acceso, rectificación y cancelación.

Artículo 25. Actos y documentos inscribibles.

Se inscribirán en el Registro General de Protección de Datos los siguientes actos y

documentos:

a) Las autorizaciones de transferencia de datos personales a otros países, en los

casos en que, a tenor de lo dispuesto en el artículo 32 de la Ley Orgánica 5/1992, de

29 de octubre, sea preceptiva para la transferencia la autorización previa del Director.

b) Los códigos tipo elaborados al amparo de lo previsto en el artículo 31 de la Ley

Orgánica 5/1992.

Artículo 26. Inscripción y certificaciones.

1. Corresponde al Registro General de Protección de Datos instruir los expedientes de

inscripción de los ficheros automatizados de titularidad privada y pública.

2. Corresponde asimismo al Registro General de Protección de Datos:

a) Instruir los expedientes de modificación y cancelación del contenido de los asientos.

b) Instruir los expedientes de autorización de las transferencias internacionales de

datos.

c) Rectificar de oficio los errores materiales de los asientos.

d) Expedir certificaciones de los asientos.

e) Publicar una relación anual de los ficheros notificados e inscritos.

28




Sección 5. La Inspección de Datos

Artículo 27. La Inspección de Datos.

1. La Inspección de Datos es el órgano de la Agencia de Protección de Datos al cual

competen las funciones inherentes al ejercicio de la potestad de inspección que el

artículo 39 de la Ley Orgánica 5/1992, de 29 de octubre, atribuye a la Agencia.

2. Los funcionarios que ejerzan funciones inspectoras tendrán la consideración de

autoridad pública en el desempeño de sus funciones, y estarán obligados a guardar

secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas

funciones, incluso después de haber cesado en las mismas.

Artículo 28. Funciones inspectoras.

1. Compete, en particular, a la Inspección de Datos efectuar inspecciones, periódicas o

circunstanciales, de oficio o a instancia de los afectados, de cualesquiera ficheros, de

titularidad pública o privada, en los locales en los que se hallen los ficheros y los

equipos informáticos correspondientes, y a tal efecto podrá:

a) Examinar los soportes de información que contengan los datos personales.

b) Examinar los equipos físicos.

c) Requerir el pase de programas y examinar la documentación pertinente al objeto de

determinar, en caso necesario, los algoritmos de los procesos de que los datos sean

objeto.

d) Examinar los sistemas de transmisión y acceso a los datos.

e) Realizar auditorías de los sistemas informáticos con miras a determinar su

conformidad con las disposiciones de la Ley Orgánica 5/1992.

f) Requerir la exhibición de cualesquiera otros documentos pertinentes.

g) Requerir el envío de toda información precisa para el ejercicio de las funciones

inspectoras.

2. El responsable del fichero estará obligado a permitir el acceso a los locales en los

que se hallen los ficheros y los equipos informáticos previa exhibición por el

funcionario actuante de la autorización expedida por el Director de la Agencia. Cuando

dichos locales tengan la consideración legal de domicilio, la labor inspectora deberá

ajustarse además a las reglas que garantizan su inviolabilidad.

Artículo 29. Funciones instructoras.

Compete a la Inspección de Datos el ejercicio de los actos de instrucción relativos a

los expedientes sancionadores a los que se refiere el artículo 12.2.h) del presente

Estatuto.

29




Sección 6. La Secretaría General

Artículo 30. Funciones de apoyo y ejecución.

Corresponde a la Secretaría General:

a) Elaborar los informes y propuestas que le solicite el Director.

b) Notificar las resoluciones del Director.

c) Ejercer la Secretaría del Consejo Consultivo.

d) Gestionar los medios personales y materiales adscritos a la Agencia.

e) Atender a la gestión económico-administrativa del presupuesto de la Agencia.

f) Llevar el inventario de bienes y derechos que se integren en el patrimonio de la

Agencia.

g) Gestionar los asuntos de carácter general no atribuidos a otros órganos de la

Agencia.

Artículo 31. Otras funciones.

Corresponde asimismo a la Secretaría General:

a) Formar y actualizar un fondo de documentación sobre legislación, jurisprudencia y

doctrina en materia de protección de datos personales y cualesquiera materias

conexas.

b) Editar los repertorios oficiales de ficheros inscritos en el Registro General de

Protección de Datos, las Memorias anuales de la Agencia y cualesquiera

publicaciones de la Agencia.

c) Organizar conferencias, seminarios y cualesquiera actividades de cooperación

internacional e interregional sobre protección de datos.

d) Facilitar la información a que se refiere el artículo 4.1 del presente Estatuto.

30




31


tema 5. protección de datos. carácter personal: objeto ... · 7. se prohíbe la recogida de datos...

Documents