Ley Española 15/1999 (protección datos)
Disposiciones Generales
Martes 14 diciembre 1999 BOE núm. 298 JEFATURA DEL
ESTADO 23750 LEY ORGÁNICA 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter
Personal.
JUAN CARLOS I REY DE ESPAÑA
A todos los que la presente vieren y entendieren.
Sabed: Que las Cortes Generales han aprobado y Yo
vengo en sancionar la siguiente Ley Orgánica.
TÍTULO I Disposiciones generales
Artículo 1. Objeto.
La presente Ley Orgánica tiene por objeto garantizar
y proteger, en lo que concierne al tratamiento de
los datos personales, las libertades públicas y los
derechos fundamentales de las personas físicas, y
especialmente de su honor e intimidad personal y
familiar.
Artículo 2. Ámbito de aplicación.
1. La presente Ley Orgánica será de aplicación a los
datos de carácter personal registrados en soporte
físico, que los haga susceptibles de tratamiento, y
a toda modalidad de uso posterior de estos datos por
los sectores público y privado. Se regirá por la
presente Ley Orgánica todo tratamiento de datos de
carácter personal:
a) Cuando el tratamiento sea efectuado en territorio
español en el marco de las actividades de un
establecimiento del responsable del tratamiento.
b) Cuando al responsable del tratamiento no
establecido en territorio español, le sea de
aplicación la legislación española en aplicación de
normas de Derecho Internacional público.
c) Cuando el responsable del tratamiento no esté
establecido en territorio de la Unión Europea y
utilice en el tratamiento de datos medios situados
en territorio español, salvo que tales medios se
utilicen únicamente con fines de tránsito.
2. El régimen de protección de los datos de carácter
personal que se establece en la presente Ley
Orgánica no será de aplicación:
a) A los ficheros mantenidos por personas físicas en
el ejercicio de actividades exclusivamente
personales o domésticas.
b) A los ficheros sometidos a la normativa sobre
protección de materias clasificadas. c) A los
ficheros establecidos para la investigación del
terrorismo y de formas graves de delincuencia
organizada. No obstante, en estos supuestos el
responsable del fichero comunicará previamente la
existencia del mismo, sus características generales
y su finalidad a la Agencia de Protección de Datos.
3. Se regirán por sus disposiciones específicas, y
por lo especialmente previsto, en su caso, por esta
Ley Orgánica los siguientes tratamientos de datos
personales:
a) Los ficheros regulados por la legislación de
régimen electoral.
b) Los que sirvan a fines exclusivamente
estadísticos, y estén amparados por la legislación
estatal o autonómica sobre la función estadística
pública.
c) Los que tengan por objeto el almacenamiento de
los datos contenidos en los informes personales de
calificación a que se refiere la legislación del
régimen del personal de las Fuerzas Armadas.
d) Los derivados del Registro Civil y del Registro
Central de penados y rebeldes.
e) Los procedentes de imágenes y sonidos obtenidos
mediante la utilización de videocámaras por las
Fuerzas y Cuerpos de Seguridad, de conformidad con
la legislación sobre la materia.
Artículo 3. Definiciones.
A los efectos de la presente Ley Orgánica se
entenderá por:
a) Datos de carácter personal: cualquier información
concerniente a personas físicas identificadas o
identificables.
b) Fichero: todo conjunto organizado de datos de
carácter personal, cualquiera que fuere la forma o
modalidad de su creación, almacenamiento,
organización y acceso.
c) Tratamiento de datos: operaciones y
procedimientos técnicos de carácter automatizado o
no, que permitan la recogida, grabación,
conservación, elaboración, modificación, bloqueo y
cancelación, así como las cesiones de datos que
resulten de comunicaciones, consultas,
interconexiones y transferencias.
d) Responsable del fichero o tratamiento: persona
física o jurídica, de naturaleza pública o privada,
u órgano administrativo, que decida sobre la
finalidad, contenido y uso del tratamiento.
e) Afectado o interesado: persona física titular de
los datos que sean objeto del tratamiento a que se
refiere el apartado
c) del presente artículo.
f) Procedimiento de disociación: todo tratamiento de
datos personales de modo que la información que se
obtenga no pueda asociarse a persona identificada o
identificable.
g) Encargado del tratamiento: la persona física o
jurídica, autoridad pública, servicio o cualquier
otro organismo que, sólo o conjuntamente con otros,
trate datos personales por cuenta del responsable
del tratamiento.
h) Consentimiento del interesado: toda manifestación
de voluntad, libre, inequívoca, específica e
informada, mediante la que el interesado consienta
el tratamiento de datos personales que le
conciernen.
i) Cesión o comunicación de datos: toda revelación
de datos realizada a una persona distinta del
interesado.
j) Fuentes accesibles al público: aquellos ficheros
cuya consulta puede ser realizada, por cualquier
persona, no impedida por una norma limitativa o sin
más exigencia que, en su caso, el abono de una
contraprestación. Tienen la consideración de fuentes
de acceso público, exclusivamente, el censo
promocional, los repertorios telefónicos en los
términos previstos por su normativa específica y las
listas de personas pertenecientes a grupos de
profesionales que contengan únicamente los datos de
nombre, título, profesión, actividad, grado
académico, dirección e indicación de su pertenencia
al grupo. Asimismo, tienen el carácter de fuentes de
acceso público los diarios y boletines oficiales y
los medios de comunicación. TÍTULO II Principios de
la protección de datos
Artículo 4. Calidad de los datos.
1. Los datos de carácter personal sólo se podrán
recoger para su tratamiento, así como someterlos a
dicho tratamiento, cuando sean adecuados,
pertinentes y no excesivos en relación con el ámbito
y las finalidades determinadas, explícitas y
legítimas para las que se hayan obtenido. 2. Los
datos de carácter personal objeto de tratamiento no
podrán usarse para finalidades incompatibles con
aquellas para las que los datos hubieran sido
recogidos. No se considerará incompatible el
tratamiento posterior de éstos con fines históricos,
estadísticos o científicos. 3. Los datos de carácter
personal serán exactos y puestos al día de forma que
respondan con veracidad a la situación actual del
afectado. 4. Si los datos de carácter personal
registrados resultaran ser inexactos, en todo o en
parte, o incompletos, serán cancelados y sustituidos
de oficio por los correspondientes datos
rectificados o completados, sin perjuicio de las
facultades que a los afectados reconoce el artículo
16. 5. Los datos de carácter personal serán
cancelados cuando hayan dejado de ser necesarios o
pertinentes para la finalidad para la cual hubieran
sido recabados o registrados. No serán conservados
en forma que permita la identificación del
interesado durante un período superior al necesario
para los fines en base a los cuales hubieran sido
recabados o registrados. Reglamentariamente se
determinará el procedimiento por el que, por
excepción, atendidos los valores históricos,
estadísticos o científicos de acuerdo con la
legislación específica, se decida el mantenimiento
íntegro de determinados datos. 6. Los datos de
carácter personal serán almacenados de forma que
permitan el ejercicio del derecho de acceso, salvo
que sean legalmente cancelados. 7. Se prohíbe la
recogida de datos por medios fraudulentos, desleales
o ilícitos.
Artículo 5. Derecho de información en la
recogida de datos.
1. Los interesados a los que se soliciten datos
personales deberán ser previamente informados de
modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de
datos de carácter personal, de la finalidad de la
recogida de éstos y de los destinatarios de la
información.
b) Del carácter obligatorio o facultativo de su
respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos
o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de
acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del
tratamiento o, en su caso, de su representante.
Cuando el responsable del tratamiento no esté
establecido en el territorio de la Unión Europea y
utilice en el tratamiento de datos medios situados
en territorio español, deberá designar, salvo que
tales medios se utilicen con fines de trámite, un
representante en España, sin perjuicio de las
acciones que pudieran emprenderse contra el propio
responsable del tratamiento. 2. Cuando se utilicen
cuestionarios u otros impresos para la recogida,
figurarán en los mismos, en forma claramente
legible, las advertencias a que se refiere el
apartado anterior. 3. No será necesaria la
información a que se refieren las letras b), c) y d)
del apartado 1 si el contenido de ella se deduce
claramente de la naturaleza de los datos personales
que se solicitan o de las circunstancias en que se
recaban. 4. Cuando los datos de carácter personal no
hayan sido recabados del interesado, éste deberá ser
informado de forma expresa, precisa e inequívoca,
por el responsable del fichero o su representante,
dentro de los tres meses siguientes al momento del
registro de los datos, salvo que ya hubiera sido
informado con anterioridad, del contenido del
tratamiento, de la procedencia de los datos, así
como de lo previsto en las letras a), d) y e) del
apartado 1 del presente artículo. 5. No será de
aplicación lo dispuesto en el apartado anterior,
cuando expresamente una ley lo prevea, cuando el
tratamiento tenga fines históricos, estadísticos o
científicos, o cuando la información al interesado
resulte imposible o exija esfuerzos
desproporcionados, a criterio de la Agencia de
Protección de Datos o del organismo autonómico
equivalente, en consideración al número de
interesados, a la antigüedad de los datos y a las
posibles medidas compensatorias. Asimismo, tampoco
regirá lo dispuesto en el apartado anterior cuando
los datos procedan de fuentes accesibles al público
y se destinen a la actividad de publicidad o
prospección comercial, en cuyo caso, en cada
comunicación que se dirija al interesado se le
informará del origen de los datos y de la identidad
del responsable del tratamiento, así como de los
derechos que le asisten.
Artículo 6. Consentimiento del afectado.
1. El tratamiento de los datos de carácter personal
requerirá el consentimiento inequívoco del afectado,
salvo que la ley disponga otra cosa. 2. No será
preciso el consentimiento cuando los datos de
carácter personal se recojan para el ejercicio de
las funciones propias de las Administraciones
públicas en el ámbito de sus competencias; cuando se
refieran a las partes de un contrato o precontrato
de una relación negocial, laboral o administrativa y
sean necesarios para su mantenimiento o
cumplimiento; cuando el tratamiento de los datos
tenga por finalidad proteger un interés vital del
interesado en los términos del artículo 7, apartado
6, de la presente Ley, o cuando los datos figuren en
fuentes accesibles al público y su tratamiento sea
necesario para la satisfacción del interés legítimo
perseguido por el responsable del fichero o por el
del tercero a quien se comuniquen los datos, siempre
que no se vulneren los derechos y libertades
fundamentales del interesado. 3. El consentimiento a
que se refiere el artículo podrá ser revocado cuando
exista causa justificada para ello y no se le
atribuyan efectos retroactivos. 4. En los casos en
los que no sea necesario el consentimiento del
afectado para el tratamiento de los datos de
carácter personal, y siempre que una ley no disponga
lo contrario, éste podrá oponerse a su tratamiento
cuando existan motivos fundados y legítimos
relativos a una concreta situación personal. En tal
supuesto, el responsable del fichero excluirá del
tratamiento los datos relativos al afectado.
Artículo 7. Datos especialmente protegidos.
1. De acuerdo con lo establecido en el apartado 2
del artículo 16 de la Constitución, nadie podrá ser
obligado a declarar sobre su ideología, religión o
creencias. Cuando en relación con estos datos se
proceda a recabar el consentimiento a que se refiere
el apartado siguiente, se advertirá al interesado
acerca de su derecho a no prestarlo. 2. Sólo con el
consentimiento expreso y por escrito del afectado
podrán ser objeto de tratamiento los datos de
carácter personal que revelen la ideología,
afiliación sindical, religión y creencias. Se
exceptúan los ficheros mantenidos por los partidos
políticos, sindicatos, iglesias, confesiones o
comunidades religiosas y asociaciones, fundaciones y
otras entidades sin ánimo de lucro, cuya finalidad
sea política, filosófica, religiosa o sindical, en
cuanto a los datos relativos a sus asociados o
miembros, sin perjuicio de que la cesión de dichos
datos precisará siempre el previo consentimiento del
afectado. 3. Los datos de carácter personal que
hagan referencia al origen racial, a la salud y a la
vida sexual sólo podrán ser recabados, tratados y
cedidos cuando, por razones de interés general, así
lo disponga una ley o el afectado consienta
expresamente. 4. Quedan prohibidos los ficheros
creados con la finalidad exclusiva de almacenar
datos de carácter personal que revelen la ideología,
afiliación sindical, religión, creencias, origen
racial o étnico, o vida sexual. 5. Los datos de
carácter personal relativos a la comisión de
infracciones penales o administrativas sólo podrán
ser incluidos en ficheros de las Administraciones
públicas competentes en los supuestos previstos en
las respectivas normas reguladoras. 6. No obstante
lo dispuesto en los apartados anteriores, podrán ser
objeto de tratamiento los datos de carácter personal
a que se refieren los apartados 2 y 3 de este
artículo, cuando dicho tratamiento resulte necesario
para la prevención o para el diagnóstico médicos, la
prestación de asistencia sanitaria o tratamientos
médicos o la gestión de servicios sanitarios,
siempre que dicho tratamiento de datos se realice
por un profesional sanitario sujeto al secreto
profesional o por otra persona sujeta asimismo a una
obligación equivalente de secreto. También podrán
ser objeto de tratamiento los datos a que se refiere
el párrafo anterior cuando el tratamiento sea
necesario para salvaguardar el interés vital del
afectado o de otra persona, en el supuesto de que el
afectado esté física o jurídicamente incapacitado
para dar su consentimiento.
Artículo 8. Datos relativos a la salud.
Sin perjuicio de lo que se dispone en el artículo 11
respecto de la cesión, las instituciones y los
centros sanitarios públicos y privados y los
profesionales correspondientes podrán proceder al
tratamiento de los datos de carácter personal
relativos a la salud de las personas que a ellos
acudan o hayan de ser tratados en los mismos, de
acuerdo con lo dispuesto en la legislación estatal o
autonómica sobre sanidad.
Artículo 9. Seguridad de los datos.
1. El responsable del fichero, y, en su caso, el
encargado del tratamiento deberán adoptar las
medidas de índole técnica y organizativas necesarias
que garanticen la seguridad de los datos de carácter
personal y eviten su alteración, pérdida,
tratamiento o acceso no autorizado, habida cuenta
del estado de la tecnología, la naturaleza de los
datos almacenados y los riesgos a que están
expuestos, ya provengan de la acción humana o del
medio físico o natural. 2. No se registrarán datos
de carácter personal en ficheros que no reúnan las
condiciones que se determinen por vía reglamentaria
con respecto a su integridad y seguridad y a las de
los centros de tratamiento, locales, equipos,
sistemas y programas. 3. Reglamentariamente se
establecerán los requisitos y condiciones que deban
reunir los ficheros y las personas que intervengan
en el tratamiento de los datos a que se refiere el
artículo 7 de esta Ley.
Art����culo 10. Deber de secreto.
El responsable del fichero y quienes intervengan en
cualquier fase del tratamiento de los datos de
carácter personal están obligados al secreto
profesional respecto de los mismos y al deber de
guardarlos, obligaciones que subsistirán aun después
de finalizar sus relaciones con el titular del
fichero o, en su caso, con el responsable del mismo.
Artículo 11. Comunicación de datos.
1. Los datos de carácter personal objeto del
tratamiento sólo podrán ser comunicados a un tercero
para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente
y del cesionario con el previo consentimiento del
interesado. 2. El consentimiento exigido en el
apartado anterior no será preciso:
a) Cuando la cesión está autorizada en una ley.
b) Cuando se trate de datos recogidos de fuentes
accesibles al público.
c) Cuando el tratamiento responda a la libre y
legítima aceptación de una relación jurídica cuyo
desarrollo, cumplimiento y control implique
necesariamente la conexión de dicho tratamiento con
ficheros de terceros. En este caso la comunicación
sólo será legítima en cuanto se limite a la
finalidad que la justifique. d) Cuando la
comunicación que deba efectuarse tenga por
destinatario al Defensor del Pueblo, el Ministerio
Fiscal o los Jueces o Tribunales o el Tribunal de
Cuentas, en el ejercicio de las funciones que tiene
atribuidas. Tampoco será preciso el consentimiento
cuando la comunicación tenga como destinatario a
instituciones autonómicas con funciones análogas al
Defensor del Pueblo o al Tribunal de Cuentas. e)
Cuando la cesión se produzca entre Administraciones
públicas y tenga por objeto el tratamiento posterior
de los datos con fines históricos, estadísticos o
científicos. f) Cuando la cesión de datos de
carácter personal relativos a la salud sea necesaria
para solucionar una urgencia que requiera acceder a
un fichero o para realizar los estudios
epidemiológicos en los términos establecidos en la
legislación sobre sanidad estatal o autonómica. 3.
Será nulo el consentimiento para la comunicación de
los datos de carácter personal a un tercero, cuando
la información que se facilite al interesado no le
permita conocer la finalidad a que destinarán los
datos cuya comunicación se autoriza o el tipo de
actividad de aquel a quien se pretenden comunicar.
4. El consentimiento para la comunicación de los
datos de carácter personal tiene también un carácter
de revocable. 5. Aquel a quien se comuniquen los
datos de carácter personal se obliga, por el solo
hecho de la comunicación, a la observancia de las
disposiciones de la presente Ley. 6. Si la
comunicación se efectúa previo procedimiento de
disociación, no será aplicable lo establecido en los
apartados anteriores.
Artículo 12. Acceso a los datos por cuenta
de terceros.
1. No se considerará comunicación de datos el acceso
de un tercero a los datos cuando dicho acceso sea
necesario para la prestación de un servicio al
responsable del tratamiento. 2. La realización de
tratamientos por cuenta de terceros deberá estar
regulada en un contrato que deberá constar por
escrito o en alguna otra forma que permita acreditar
su celebración y contenido, estableciéndose
expresamente que el encargado del tratamiento
únicamente tratará los datos conforme a las
instrucciones del responsable del tratamiento, que
no los aplicará o utilizará con fin distinto al que
figure en dicho contrato, ni los comunicará, ni
siquiera para su conservación, a otras personas. En
el contrato se estipularán, asimismo, las medidas de
seguridad a que se refiere el artículo 9 de esta Ley
que el encargado del tratamiento está obligado a
implementar. 3. Una vez cumplida la prestación
contractual, los datos de carácter personal deberán
ser destruidos o devueltos al responsable del
tratamiento, al igual que cualquier soporte o
documentos en que conste algún dato de carácter
personal objeto del tratamiento. 4. En el caso de
que el encargado del tratamiento destine los datos a
otra finalidad, los comunique o los utilice
incumpliendo las estipulaciones del contrato, será
considerado también responsable del tratamiento,
respondiendo de las infracciones en que hubiera
incurrido personalmente. TÍTULO III Derechos de las
personas
Artículo 13. Impugnación de valoraciones.
1. Los ciudadanos tienen derecho a no verse
sometidos a una decisión con efectos jurídicos,
sobre ellos o que les afecte de manera
significativa, que se base únicamente en un
tratamiento de datos destinados a evaluar
determinados aspectos de su personalidad. 2. El
afectado podrá impugnar los actos administrativos o
decisiones privadas que impliquen una valoración de
su comportamiento, cuyo único fundamento sea un
tratamiento de datos de carácter personal que
ofrezca una definición de sus características o
personalidad. 3. En este caso, el afectado tendrá
derecho a obtener información del responsable del
fichero sobre los criterios de valoración y el
programa utilizados en el tratamiento que sirvió
para adoptar la decisión en que consistió el acto.
4. La valoración sobre el comportamiento de los
ciudadanos, basada en un tratamiento de datos,
únicamente podrá tener valor probatorio a petición
del afectado.
Artículo 14. Derecho de consulta al Registro
General de Protección de Datos.
Cualquier persona podrá conocer, recabando a tal fin
la información oportuna del Registro General de
Protección de Datos, la existencia de tratamientos
de datos de carácter personal, sus finalidades y la
identidad del responsable del tratamiento. El
Registro General será de consulta pública y
gratuita.
Artículo 15. Derecho de acceso.
1. El interesado tendrá derecho a solicitar y
obtener gratuitamente información de sus datos de
carácter personal sometidos a tratamiento, el origen
de dichos datos, así como las comunicaciones
realizadas o que se prevén hacer de los mismos. 2.
La información podrá obtenerse mediante la mera
consulta de los datos por medio de su visualización,
o la indicación de los datos que son objeto de
tratamiento mediante escrito, copia, telecopia o
fotocopia, certificada o no, en forma legible e
inteligible, sin utilizar claves o códigos que
requieran el uso de dispositivos mecánicos
específicos. 3. El derecho de acceso a que se
refiere este artículo sólo podrá ser ejercitado a
intervalos no inferiores a doce meses, salvo que el
interesado acredite un interés legítimo al efecto,
en cuyo caso podrán ejercitarlo antes.
Artículo 16. Derecho de rectificación y
cancelación.
1. El responsable del tratamiento tendrá la
obligación de hacer efectivo el derecho de
rectificación o cancelación del interesado en el
plazo de diez días. 2. Serán rectificados o
cancelados, en su caso, los datos de carácter
personal cuyo tratamiento no se ajuste a lo
dispuesto en la presente Ley y, en particular,
cuando tales datos resulten inexactos o incompletos.
3. La cancelación dará lugar al bloqueo de los
datos, conservándose únicamente a disposición de las
Administraciones públicas, Jueces y Tribunales, para
la atención de las posibles responsabilidades
nacidas del tratamiento, durante el plazo de
prescripción de éstas. Cumplido el citado plazo
deberá procederse a la supresión. 4. Si los datos
rectificados o cancelados hubieran sido comunicados
previamente, el responsable del tratamiento deberá
notificar la rectificación o cancelación efectuada a
quien se hayan comunicado, en el caso de que se
mantenga el tratamiento por este último, que deberá
también proceder a la cancelación. 5. Los datos de
carácter personal deberán ser conservados durante
los plazos previstos en las disposiciones aplicables
o, en su caso, en las relaciones contractuales entre
la persona o entidad responsable del tratamiento y
el interesado.
Artículo 17. Procedimiento de oposición,
acceso, rectificación o cancelación.
1. Los procedimientos para ejercitar el derecho
de oposición, acceso, así como los de rectificación
y cancelación serán establecidos reglamentariamente.
2. No se exigirá contraprestación alguna por el
ejercicio de los derechos de oposición, acceso,
rectificación o cancelación.
Articulo 18. Tutela de los derechos.
1. Las actuaciones contrarias a lo dispuesto en la
presente Ley pueden ser objeto de reclamación por
los interesados ante la Agencia de Protección de
Datos, en la forma que reglamentariamente se
determine. 2. El interesado al que se deniegue,
total o parcialmente, el ejercicio de los derechos
de oposición, acceso, rectificación o cancelación,
podrá ponerlo en conocimiento de la Agencia de
Protección de Datos o, en su caso, del organismo
competente de cada Comunidad Autónoma, que deberá
asegurarse de la procedencia o improcedencia de la
denegación. 3. El plazo máximo en que debe dictarse
la resolución expresa de tutela de derechos será de
seis meses. 4. Contra las resoluciones de la Agencia
de Protección de Datos procederá recurso
contencioso-administrativo.
Artículo 19. Derecho a indemnización.
1. Los interesados que, como consecuencia del
incumplimiento de lo dispuesto en la presente Ley
por el responsable o el encargado del tratamiento,
sufran daño o lesión en sus bienes o derechos
tendrán derecho a ser indemnizados. 2. Cuando se
trate de ficheros de titularidad pública, la
responsabilidad se exigirá de acuerdo con la
legislación reguladora del régimen de
responsabilidad de las Administraciones públicas. 3.
En el caso de los ficheros de titularidad privada,
la acción se ejercitará ante los órganos de la
jurisdicción ordinaria. TÍTULO IV Disposiciones
sectoriales CAPÍTULO I Ficheros de titularidad
pública
Artículo 20. Creación, modificación o supresión.
1. La creación, modificación o supresión de los
ficheros de las Administraciones públicas sólo
podrán hacerse por medio de disposición general
publicada en el «Boletín Oficial del Estado» o
Diario oficial correspondiente. 2. Las disposiciones
de creación o de modificación de ficheros deberán
indicar: a) La finalidad del fichero y los usos
previstos para el mismo. b) Las personas o
colectivos sobre los que se pretenda obtener datos
de carácter personal o que resulten obligados a
suministrarlos. c) El procedimiento de recogida de
los datos de carácter personal. d) La estructura
básica del fichero y la descripción de los tipos de
datos de carácter personal incluidos en el mismo. e)
Las cesiones de datos de carácter personal y, en su
caso, las transferencias de datos que se prevean a
países terceros. f) Los órganos de las
Administraciones responsables del fichero. g) Los
servicios o unidades ante los que pudiesen
ejercitarse los derechos de acceso, rectificación,
cancelación y oposición. h) Las medidas de seguridad
con indicación del nivel básico, medio o alto
exigible. 3. En las disposiciones que se dicten para
la supresión de los ficheros, se establecerá el
destino de los mismos o, en su caso, las previsiones
que se adopten para su destrucción.
Artículo 21. Comunicación de datos entre
Administraciones públicas.
1. Los datos de carácter personal recogidos o
elaborados por las Administraciones públicas para el
desempeño de sus atribuciones no serán comunicados a
otras Administraciones públicas para el ejercicio de
competencias diferentes o de competencias que versen
sobre materias distintas, salvo cuando la
comunicación hubiere sido prevista por las
disposiciones de creación del fichero o por
disposición de superior rango que regule su uso, o
cuando la comunicación tenga por objeto el
tratamiento posterior de los datos con fines
históricos, estadísticos o científicos. 2. Podrán,
en todo caso, ser objeto de comunicación los datos
de carácter personal que una Administración pública
obtenga o elabore con destino a otra. 3. No obstante
lo establecido en el artículo 11.2.b), la
comunicación de datos recogidos de fuentes
accesibles al público no podrá efectuarse a ficheros
de titularidad privada, sino con el consentimiento
del interesado o cuando una ley prevea otra cosa. 4.
En los supuestos previstos en los apartados 1 y 2
del presente artículo no será necesario el
consentimiento del afectado a que se refiere el
artículo 11 de la presente Ley.
Artículo 22. Ficheros de las Fuerzas y Cuerpos de
Seguridad.
1. Los ficheros creados por las Fuerzas y Cuerpos de
Seguridad que contengan datos de carácter personal
que, por haberse recogido para fines
administrativos, deban ser objeto de registro
permanente, estarán sujetos al régimen general de la
presente Ley. 2. La recogida y tratamiento para
fines policiales de datos de carácter personal por
las Fuerzas y Cuerpos de Seguridad sin
consentimiento de las personas afectadas están
limitados a aquellos supuestos y categorías de datos
que resulten necesarios para la prevención de un
peligro real para la seguridad pública o para la
represión de infracciones penales, debiendo ser
almacenados en ficheros específicos establecidos al
efecto, que deberán clasificarse por categorías en
función de su grado de fiabilidad. 3. La recogida y
tratamiento por las Fuerzas y Cuerpos de Seguridad
de los datos, a que hacen referencia los apartados 2
y 3 del artículo 7, podrán realizarse exclusivamente
en los supuestos en que sea absolutamente necesario
para los fines de una investigación concreta, sin
perjuicio del control de legalidad de la actuación
administrativa o de la obligación de resolver las
pretensiones formuladas en su caso por los
interesados que corresponden a los órganos
jurisdiccionales. 4. Los datos personales
registrados con fines policiales se cancelarán
cuando no sean necesarios para las averiguaciones
que motivaron su almacenamiento. A estos efectos, se
considerará especialmente la edad del afectado y el
carácter de los datos almacenados, la necesidad de
mantener los datos hasta la conclusión de una
investigación o procedimiento concreto, la
resolución judicial firme, en especial la
absolutoria, el indulto, la rehabilitación y la
prescripción de responsabilidad.
Artículo 23. Excepciones a los derechos de acceso,
rectificación y cancelación.
1. Los responsables de los ficheros que contengan
los datos a que se refieren los apartados 2, 3 y 4
del artículo anterior podrán denegar el acceso, la
rectificación o cancelación en función de los
peligros que pudieran derivarse para la defensa del
Estado o la seguridad pública, la protección de los
derechos y libertades de terceros o las necesidades
de las investigaciones que se estén realizando. 2.
Los responsables de los ficheros de la Hacienda
Pública podrán, igualmente, denegar el ejercicio de
los derechos a que se refiere el apartado anterior
cuando el mismo obstaculice las actuaciones
administrativas tendentes a asegurar el cumplimiento
de las obligaciones tributarias y, en todo caso,
cuando el afectado esté siendo objeto de actuaciones
inspectoras. 3. El afectado al que se deniegue,
total o parcialmente, el ejercicio de los derechos
mencionados en los apartados anteriores podrá
ponerlo en conocimiento del Director de la Agencia
de Protección de Datos o del organismo competente de
cada Comunidad Autónoma en el caso de ficheros
mantenidos por Cuerpos de Policía propios de éstas,
o por las Administraciones tributarias autonómicas,
quienes deberán asegurarse de la procedencia o
improcedencia de la denegación.
Artículo 24. Otras excepciones a los derechos de los
afectados.
1. Lo dispuesto en los apartados 1 y 2 del artículo
5 no será aplicable a la recogida de datos cuando la
información al afectado impida o dificulte
gravemente el cumplimiento de las funciones de
control y verificación de las Administraciones
públicas o cuando afecte a la Defensa Nacional, a la
seguridad pública o a la persecución de infracciones
penales o administrativas. 2. Lo dispuesto en el
artículo 15 y en el apartado 1 del artículo 16 no
será de aplicación si, ponderados los intereses en
presencia, resultase que los derechos que dichos
preceptos conceden al afectado hubieran de ceder
ante razones de interés público o ante intereses de
terceros más dignos de protección. Si el órgano
administrativo responsable del fichero invocase lo
dispuesto en este apartado, dictará resolución
motivada e instruirá al afectado del derecho que le
asiste a poner la negativa en conocimiento del
Director de la Agencia de Protección de Datos o, en
su caso, del órgano equivalente de las Comunidades
Autónomas.
CAPÍTULO II Ficheros de titularidad privada
Artículo 25. Creación.
Podrán crearse ficheros de
titularidad privada que contengan datos de carácter
personal cuando resulte necesario para el logro de
la actividad u objeto legítimos de la persona,
empresa o entidad titular y se respeten las
garantías que esta Ley establece para la protección
de las personas.
Artículo 26. Notificación e inscripción registral.
1. Toda persona o entidad que proceda a la creación
de ficheros de datos de carácter personal lo
notificará previamente a la Agencia de Protección de
Datos.
2. Por vía reglamentaria se procederá a la
regulación detallada de los distintos extremos que
debe contener la notificación, entre los cuales
figurarán necesariamente el responsable del fichero,
la finalidad del mismo, su ubicación, el tipo de
datos de carácter personal que contiene, las medidas
de seguridad, con indicación del nivel básico, medio
o alto exigible y las cesiones de datos de carácter
personal que se prevean realizar y, en su caso, las
transferencias de datos que se prevean a países
terceros.
3. Deberán comunicarse a la Agencia de Protección de
Datos los cambios que se produzcan en la finalidad
del fichero automatizado, en su responsable y en la
dirección de su ubicación.
4. El Registro General de Protección de Datos
inscribirá el fichero si la notificación se ajusta a
los requisitos exigibles. En caso contrario podrá
pedir que se completen los datos que falten o se
proceda a su subsanación.
5. Transcurrido un mes desde la presentación de la
solicitud de inscripción sin que la Agencia de
Protección de Datos hubiera resuelto sobre la misma,
se entenderá inscrito el fichero automatizado a
todos los efectos.
Artículo 27. Comunicación de la cesión de datos.
1. El responsable del fichero, en el momento en que
se efectúe la primera cesión de datos, deberá
informar de ello a los afectados, indicando,
asimismo, la finalidad del fichero, la naturaleza de
los datos que han sido cedidos y el nombre y
dirección del cesionario. 2. La obligación
establecida en el apartado anterior no existirá en
el supuesto previsto en los apartados 2, letras c),
d), e) y 6 del artículo 11, ni cuando la cesión
venga impuesta por ley.
Artículo 28. Datos incluidos en las fuentes de
acceso público.
1. Los datos personales que figuren en el censo
promocional, o las listas de personas pertenecientes
a grupos de profesionales a que se refiere el
artículo 3, j) de esta Ley deberán limitarse a los
que sean estrictamente necesarios para cumplir la
finalidad a que se destina cada listado. La
inclusión de datos adicionales por las entidades
responsables del mantenimiento de dichas fuentes
requerirá el consentimiento del interesado, que
podrá ser revocado en cualquier momento. 2. Los
interesados tendrán derecho a que la entidad
responsable del mantenimiento de los listados de los
Colegios profesionales indique gratuitamente que sus
datos personales no pueden utilizarse para fines de
publicidad o prospección comercial. Los interesados
tendrán derecho a exigir gratuitamente la exclusión
de la totalidad de sus datos personales que consten
en el censo promocional por las entidades encargadas
del mantenimiento de dichas fuentes. La atención a
la solicitud de exclusión de la información
innecesaria o de inclusión de la objeción al uso de
los datos para fines de publicidad o venta a
distancia deberá realizarse en el plazo de diez días
respecto de las informaciones que se realicen
mediante consulta o comunicación telemática y en la
siguiente edición del listado cualquiera que sea el
soporte en que se edite. 3. Las fuentes de acceso
público que se editen en forma de libro o algún otro
soporte físico, perderán el carácter de fuente
accesible con la nueva edición que se publique. En
el caso de que se obtenga telemáticamente una copia
de la lista en formato electrónico, ésta perderá el
carácter de fuente de acceso público en el plazo de
un año, contado desde el momento de su obtención. 4.
Los datos que figuren en las guías de servicios de
telecomunicaciones disponibles al público se regirán
por su normativa específica.
Artículo 29. Prestación de servicios de información
sobre solvencia patrimonial y crédito.
1. Quienes se dediquen a la prestación de servicios
de información sobre la solvencia patrimonial y el
crédito sólo podrán tratar datos de carácter
personal obtenidos de los registros y las fuentes
accesibles al público establecidos al efecto o
procedentes de informaciones facilitadas por el
interesado o con su consentimiento. 2. Podrán
tratarse también datos de carácter personal
relativos al cumplimiento o incumplimiento de
obligaciones dinerarias facilitados por el acreedor
o por quien actúe por su cuenta o interés. En estos
casos se notificará a los interesados respecto de
los que hayan registrado datos de carácter personal
en ficheros, en el plazo de treinta días desde dicho
registro, una referencia de los que hubiesen sido
incluidos y se les informará de su derecho a recabar
información de la totalidad de ellos, en los
términos establecidos por la presente Ley. 3. En los
supuestos a que se refieren los dos apartados
anteriores, cuando el interesado lo solicite, el
responsable del tratamiento le comunicará los datos,
así como las evaluaciones y apreciaciones que sobre
el mismo hayan sido comunicadas durante los últimos
seis meses y el nombre y dirección de la persona o
entidad a quien se hayan revelado los datos. 4. Sólo
se podrán registrar y ceder los datos de carácter
personal que sean determinantes para enjuiciar la
solvencia económica de los interesados y que no se
refieran, cuando sean adversos, a más de seis años,
siempre que respondan con veracidad a la situación
actual de aquéllos.
Artículo 30. Tratamientos con fines de publicidad y
de prospección comercial.
1. Quienes se dediquen a la recopilación de
direcciones, reparto de documentos, publicidad,
venta a distancia, prospección comercial y otras
actividades análogas, utilizarán nombres y
direcciones u otros datos de carácter personal
cuando los mismos figuren en fuentes accesibles al
público o cuando hayan sido facilitados por los
propios interesados u obtenidos con su
consentimiento. 2. Cuando los datos procedan de
fuentes accesibles al público, de conformidad con lo
establecido en el párrafo segundo del artículo 5.5
de esta Ley, en cada comunicación que se dirija al
interesado se informará del origen de los datos y de
la identidad del responsable del tratamiento, así
como de los derechos que le asisten. 3. En el
ejercicio del derecho de acceso los interesados
tendrán derecho a conocer el origen de sus datos de
carácter personal, así como del resto de información
a que se refiere el artículo 15. 4. Los interesados
tendrán derecho a oponerse, previa petición y sin
gastos, al tratamiento de los datos que les
conciernan, en cuyo caso serán dados de baja del
tratamiento, cancelándose las informaciones que
sobre ellos figuren en aquél, a su simple solicitud.
Artículo 31. Censo promocional.
1. Quienes pretendan realizar permanente o
esporádicamente la actividad de recopilación de
direcciones, reparto de documentos, publicidad,
venta a distancia, prospección comercial u otras
actividades análogas, podrán solicitar del Instituto
Nacional de Estadística o de los órganos
equivalentes de las Comunidades Autónomas una copia
del censo promocional, formado con los datos de
nombre, apellidos y domicilio que constan en el
censo electoral. 2. El uso de cada lista de censo
promocional tendrá un plazo de vigencia de un año.
Transcurrido el plazo citado, la lista perderá su
carácter de fuente de acceso público. 3. Los
procedimientos mediante los que los interesados
podrán solicitar no aparecer en el censo promocional
se regularán reglamentariamente. Entre estos
procedimientos, que serán gratuitos para los
interesados, se incluirá el documento de
empadronamiento. Trimestralmente se editará una
lista actualizada del censo promocional, excluyendo
los nombres y domicilios de los que así lo hayan
solicitado. 4. Se podrá exigir una contraprestación
por la facilitación de la citada lista en soporte
informático.
Artículo 32. Códigos tipo.
1. Mediante acuerdos sectoriales, convenios
administrativos o decisiones de empresa, los
responsables de tratamientos de titularidad pública
y privada, así como las organizaciones en que se
agrupen, podrán formular códigos tipo que
establezcan las condiciones de organización, régimen
de funcionamiento, procedimientos aplicables, normas
de seguridad del entorno, programas o equipos,
obligaciones de los implicados en el tratamiento y
uso de la información personal, así como las
garantías, en su ámbito, para el ejercicio de los
derechos de las personas con pleno respeto a los
principios y disposiciones de la presente Ley y sus
normas de desarrollo. 2. Los citados códigos podrán
contener o no reglas operacionales detalladas de
cada sistema particular y estándares técnicos de
aplicación. En el supuesto de que tales reglas o
estándares no se incorporen directamente al código,
las instrucciones u órdenes que los establecieran
deberán respetar los principios fijados en aquél. 3.
Los códigos tipo tendrán el car���cter de códigos
deontológicos o de buena práctica profesional,
debiendo ser depositados o inscritos en el Registro
General de Protección de Datos y, cuando
corresponda, en los creados a estos efectos por las
Comunidades Autónomas, de acuerdo con el artículo
41. El Registro General de Protección de Datos podrá
denegar la inscripción cuando considere que no se
ajusta a las disposiciones legales y reglamentarias
sobre la materia, debiendo, en este caso, el
Director de la Agencia de Protección de Datos
requerir a los solicitantes para que efectúen las
correcciones oportunas. TÍTULO V Movimiento
internacional de datos
Artículo 33. Norma general.
1. No podrán realizarse transferencias temporales ni
definitivas de datos de carácter personal que hayan
sido objeto de tratamiento o hayan sido recogidos
para someterlos a dicho tratamiento con destino a
países que no proporcionen un nivel de protección
equiparable al que presta la presente Ley, salvo
que, además de haberse observado lo dispuesto en
ésta, se obtenga autorización previa del Director de
la Agencia de Protección de Datos, que sólo podrá
otorgarla si se obtienen garantías adecuadas. 2. El
carácter adecuado del nivel de protección que ofrece
el país de destino se evaluará por la Agencia de
Protección de Datos atendiendo a todas las
circunstancias que concurran en la transferencia o
categoría de transferencia de datos. En particular,
se tomará en consideración la naturaleza de los
datos, la finalidad y la duración del tratamiento o
de los tratamientos previstos, el país de origen y
el país de destino final, las normas de derecho,
generales o sectoriales, vigentes en el pa��s tercero
de que se trate, el contenido de los informes de la
Comisión de la Unión Europea, así como las normas
profesionales y las medidas de seguridad en vigor en
dichos países.
Artículo 34. Excepciones.
Lo dispuesto en el artículo anterior no será de
aplicación: a) Cuando la transferencia internacional
de datos de carácter personal resulte de la
aplicación de tratados o convenios en los que sea
parte España. b) Cuando la transferencia se haga a
efectos de prestar o solicitar auxilio judicial
internacional. c) Cuando la transferencia sea
necesaria para la prevención o para el diagnóstico
médicos, la prestación de asistencia sanitaria o
tratamiento médicos o la gestión de servicios
sanitarios. d) Cuando se refiera a transferencias
dinerarias conforme a su legislación específica. e)
Cuando el afectado haya dado su consentimiento
inequívoco a la transferencia prevista. f) Cuando la
transferencia sea necesaria para la ejecución de un
contrato entre el afectado y el responsable del
fichero o para la adopción de medidas
precontractuales adoptadas a petición del afectado.
g) Cuando la transferencia sea necesaria para la
celebración o ejecución de un contrato celebrado o
por celebrar, en interés del afectado, por el
responsable del fichero y un tercero. h) Cuando la
transferencia sea necesaria o legalmente exigida
para la salvaguarda de un interés público. Tendrá
esta consideración la transferencia solicitada por
una Administración fiscal o aduanera para el
cumplimiento de sus competencias. i) Cuando la
transferencia sea precisa para el reconocimiento,
ejercicio o defensa de un derecho en un proceso
judicial. j) Cuando la transferencia se efectúe, a
petición de persona con interés legítimo, desde un
Registro público y aquélla sea acorde con la
finalidad del mismo. k) Cuando la transferencia
tenga como destino un Estado miembro de la Unión
Europea, o un Estado respecto del cual la Comisión
de las Comunidades Europeas, en el ejercicio de sus
competencias, haya declarado que garantiza un nivel
de protección adecuado. TÍTULO VI Agencia de
Protección de Datos
Artículo 35. Naturaleza y régimen jurídico.
1. La Agencia de Protecci��n de Datos es un ente de
derecho público, con personalidad jurídica propia y
plena capacidad pública y privada, que actúa con
plena independencia de las Administraciones públicas
en el ejercicio de sus funciones. Se regirá por lo
dispuesto en la presente Ley y en un Estatuto
propio, que será aprobado por el Gobierno. 2. En el
ejercicio de sus funciones públicas, y en defecto de
lo que disponga la presente Ley y sus disposiciones
de desarrollo, la Agencia de Protección de Datos
actuará de conformidad con la Ley 30/1992, de 26 de
noviembre, de Régimen Jurídico de las
Administraciones Públicas y del Procedimiento
Administrativo Común. En sus adquisiciones
patrimoniales y contratación estará sujeta al
derecho privado. 3. Los puestos de trabajo de los
órganos y servicios que integren la Agencia de
Protección de Datos serán desempeñados por
funcionarios de las Administraciones públicas y por
personal contratado al efecto, según la naturaleza
de las funciones asignadas a cada puesto de trabajo.
Este personal está obligado a guardar secreto de los
datos de carácter personal de que conozca en el
desarrollo de su función. 4. La Agencia de
Protección de Datos contará, para el cumplimiento de
sus fines, con los siguientes bienes y medios
económicos: a) Las asignaciones que se establezcan
anualmente con cargo a los Presupuestos Generales
del Estado. b) Los bienes y valores que constituyan
su patrimonio, así como los productos y rentas del
mismo. c) Cualesquiera otros que legalmente puedan
serle atribuidos. 5. La Agencia de Protección de
Datos elaborará y aprobará con carácter anual el
correspondiente anteproyecto de presupuesto y lo
remitirá al Gobierno para que sea integrado, con la
debida independencia, en los Presupuestos Generales
del Estado.
Artículo 36. El Director.
1. El Director de la Agencia de Protección de Datos
dirige la Agencia y ostenta su representación. Será
nombrado, de entre quienes componen el Consejo
Consultivo, mediante Real Decreto, por un período de
cuatro años. 2. Ejercerá sus funciones con plena
independencia y objetividad y no estará sujeto a
instrucción alguna en el desempeño de aquéllas. En
todo caso, el Director deberá oír al Consejo
Consultivo en aquellas propuestas que éste le
realice en el ejercicio de sus funciones. 3. El
Director de la Agencia de Protección de Datos sólo
cesará antes de la expiración del período a que se
refiere el apartado 1, a petición propia o por
separación acordada por el Gobierno, previa
instrucción de expediente, en el que necesariamente
serán oídos los restantes miembros del Consejo
Consultivo, por incumplimiento grave de sus
obligaciones, incapacidad sobrevenida para el
ejercicio de su función, incompatibilidad o condena
por delito doloso. 4. El Director de la Agencia de
Protección de Datos tendrá la consideración de alto
cargo y quedará en la situación de servicios
especiales si con anterioridad estuviera
desempeñando una función pública. En el supuesto de
que sea nombrado para el cargo algún miembro de la
carrera judicial o fiscal, pasará asimismo a la
situación administrativa de servicios especiales.
Artículo 37. Funciones.
Son funciones de la Agencia de Protección de Datos:
a) Velar por el cumplimiento de la legislación sobre
protección de datos y controlar su aplicación, en
especial en lo relativo a los derechos de
información, acceso, rectificación, oposición y
cancelación de datos. b) Emitir las autorizaciones
previstas en la Ley o en sus disposiciones
reglamentarias. c) Dictar, en su caso, y sin
perjuicio de las competencias de otros órganos, las
instrucciones precisas para adecuar los tratamientos
a los principios de la presente Ley. d) Atender las
peticiones y reclamaciones formuladas por las
personas afectadas. e) Proporcionar información a
las personas acerca de sus derechos en materia de
tratamiento de los datos de carácter personal. f)
Requerir a los responsables y los encargados de los
tratamientos, previa audiencia de éstos, la adopción
de las medidas necesarias para la adecuación del
tratamiento de datos a las disposiciones de esta Ley
y, en su caso, ordenar la cesación de los
tratamientos y la cancelación de los ficheros,
cuando no se ajuste a sus disposiciones. g) Ejercer
la potestad sancionadora en los términos previstos
por el Título VII de la presente Ley. h) Informar,
con carácter preceptivo, los proyectos de
disposiciones generales que desarrollen esta Ley. i)
Recabar de los responsables de los ficheros cuanta
ayuda e información estime necesaria para el
desempeño de sus funciones. j) Velar por la
publicidad de la existencia de los ficheros de datos
con carácter personal, a cuyo efecto publicará
periódicamente una relación de dichos ficheros con
la información adicional que el Director de la
Agencia determine. k) Redactar una memoria anual y
remitirla al Ministerio de Justicia. l) Ejercer el
control y adoptar las autorizaciones que procedan en
relación con los movimientos internacionales de
datos, así como desempeñar las funciones de
cooperación internacional en materia de protección
de datos personales. m) Velar por el cumplimiento de
las disposiciones que la Ley de la Función
Estadística Pública establece respecto a la recogida
de datos estadísticos y al secreto estadístico, así
como dictar las instrucciones precisas, dictaminar
sobre las condiciones de seguridad de los ficheros
constituidos con fines exclusivamente estadísticos y
ejercer la potestad a la que se refiere el artículo
46. n) Cuantas otras le sean atribuidas por normas
legales o reglamentarias.
Artículo 38. Consejo Consultivo.
El Director de la Agencia de Protección de Datos
estará asesorado por un Consejo Consultivo compuesto
por los siguientes miembros: Un Diputado, propuesto
por el Congreso de los Diputados. Un Senador,
propuesto por el Senado. Un representante de la
Administración Central, designado por el Gobierno.
Un representante de la Administración Local,
propuesto por la Federación Española de Municipios y
Provincias. Un miembro de la Real Academia de la
Historia, propuesto por la misma. Un experto en la
materia, propuesto por el Consejo Superior de
Universidades. Un representante de los usuarios y
consumidores, seleccionado del modo que se prevea
reglamentariamente. Un representante de cada
Comunidad Autónoma que haya creado una agencia de
protección de datos en su ámbito territorial,
propuesto de acuerdo con el procedimiento que
establezca la respectiva Comunidad Autónoma. Un
representante del sector de ficheros privados, para
cuya propuesta se seguirá el procedimiento que se
regule reglamentariamente. El funcionamiento del
Consejo Consultivo se regirá por las normas
reglamentarias que al efecto se establezcan.
Artículo 39. El Registro General de Protección de
Datos.
1. El Registro General de Protección de Datos es un
órgano integrado en la Agencia de Protección de
Datos. 2. Serán objeto de inscripción en el Registro
General de Protección de Datos: a) Los ficheros de
que sean titulares las Administraciones públicas. b)
Los ficheros de titularidad privada. c) Las
autorizaciones a que se refiere la presente Ley. d)
Los códigos tipo a que se refiere el artículo 32 de
la presente Ley. e) Los datos relativos a los
ficheros que sean necesarios para el ejercicio de
los derechos de información, acceso, rectificación,
cancelación y oposición. 3. Por vía reglamentaria se
regulará el procedimiento de inscripción de los
ficheros, tanto de titularidad pública como de
titularidad privada, en el Registro General de
Protección de Datos, el contenido de la inscripción,
su modificación, cancelación, reclamaciones y
recursos contra las resoluciones correspondientes y
demás extremos pertinentes.
Artículo 40. Potestad de inspección.
1. Las autoridades de control podrán inspeccionar
los ficheros a que hace referencia la presente Ley,
recabando cuantas informaciones precisen para el
cumplimiento de sus cometidos. A tal efecto, podrán
solicitar la exhibición o el envío de documentos y
datos y examinarlos en el lugar en que se encuentren
depositados, así como inspeccionar los equipos
físicos y lógicos utilizados para el tratamiento de
los datos, accediendo a los locales donde se hallen
instalados. 2. Los funcionarios que ejerzan la
inspección a que se refiere el apartado anterior
tendrán la consideración de autoridad pública en el
desempeño de sus cometidos. Estarán obligados a
guardar secreto sobre las informaciones que conozcan
en el ejercicio de las mencionadas funciones,
incluso después de haber cesado en las mismas.
Artículo 41. Órganos correspondientes de las
Comunidades Autónomas.
1. Las funciones de la
Agencia de Protección de Datos reguladas en el
artículo 37, a excepción de las mencionadas en los
apartados j), k) y l), y en los apartados f) y g) en
lo que se refiere a las transferencias
internacionales de datos, así como en los articulos
46 y 49, en relación con sus específicas
competencias serán ejercidas, cuando afecten a
ficheros de datos de carácter personal creados o
gestionados por las Comunidades Autónomas y por la
Administración Local de su ámbito territorial, por
los órganos correspondientes de cada Comunidad, que
tendrán la consideración de autoridades de control,
a los que garantizarán plena independencia y
objetividad en el ejercicio de su cometido. 2. Las
Comunidades Autónomas podrán crear y mantener sus
propios registros de ficheros para el ejercicio de
las competencias que se les reconoce sobre los
mismos. 3. El Director de la Agencia de Protección
de Datos podrá convocar regularmente a los órganos
correspondientes de las Comunidades Autónomas a
efectos de cooperación institucional y coordinación
de criterios o procedimientos de actuación. El
Director de la Agencia de Protección de Datos y los
órganos correspondientes de las Comunidades
Autónomas podrán solicitarse mutuamente la
información necesaria para el cumplimiento de sus
funciones.
Artículo 42. Ficheros de las Comunidades Autónomas
en materia de su exclusiva competencia.
1. Cuando el Director de la Agencia de Protección de
Datos constate que el mantenimiento o uso de un
determinado fichero de las Comunidades Autónomas
contraviene algún precepto de esta Ley en materia de
su exclusiva competencia podrá requerir a la
Administración correspondiente que se adopten las
medidas correctoras que determine en el plazo que
expresamente se fije en el requerimiento. 2. Si la
Administración pública correspondiente no cumpliera
el requerimiento formulado, el Director de la
Agencia de Protección de Datos podrá impugnar la
resolución adoptada por aquella Administración.
TÍTULO VII Infracciones y sanciones
Artículo 43. Responsables.
1. Los responsables de
los ficheros y los encargados de los tratamientos
estarán sujetos al régimen sancionador establecido
en la presente Ley. 2. Cuando se trate de ficheros
de los que sean responsables las Administraciones
públicas se estará, en cuanto al procedimiento y a
las sanciones, a lo dispuesto en el artículo 46,
apartado 2.
Artículo 44. Tipos de infracciones.
1. Las infracciones se calificarán como leves,
graves o muy graves. 2. Son infracciones leves: a)
No atender, por motivos formales, la solicitud del
interesado de rectificación o cancelación de los
datos personales objeto de tratamiento cuando
legalmente proceda. b) No proporcionar la
información que solicite la Agencia de Protección de
Datos en el ejercicio de las competencias que tiene
legalmente atribuidas, en relación con aspectos no
sustantivos de la protección de datos. c) No
solicitar la inscripción del fichero de datos de
carácter personal en el Registro General de
Protección de Datos, cuando no sea constitutivo de
infracción grave. d) Proceder a la recogida de datos
de carácter personal de los propios afectados sin
proporcionarles la información que señala el
artículo 5 de la presente Ley. e) Incumplir el deber
de secreto establecido en el artículo 10 de esta
Ley, salvo que constituya infracción grave. 3. Son
infracciones graves: a) Proceder a la creación de
ficheros de titularidad pública o iniciar la
recogida de datos de carácter personal para los
mismos, sin autorización de disposición general,
publicada en el «Boletín Oficial del Estado» o
Diario oficial correspondiente. b) Proceder a la
creación de ficheros de titularidad privada o
iniciar la recogida de datos de carácter personal
para los mismos con finalidades distintas de las que
constituyen el objeto legítimo de la empresa o
entidad. c) Proceder a la recogida de datos de
carácter personal sin recabar el consentimiento
expreso de las personas afectadas, en los casos en
que éste sea exigible. d) Tratar los datos de
carácter personal o usarlos posteriormente con
conculcación de los principios y garantías
establecidos en la presente Ley o con incumplimiento
de los preceptos de protección que impongan las
disposiciones reglamentarias de desarrollo, cuando
no constituya infracción muy grave. e) El
impedimento o la obstaculización del ejercicio de
los derechos de acceso y oposición y la negativa a
facilitar la información que sea solicitada. f)
Mantener datos de carácter personal inexactos o no
efectuar las rectificaciones o cancelaciones de los
mismos que legalmente procedan cuando resulten
afectados los derechos de las personas que la
presente Ley ampara. g) La vulneración del deber de
guardar secreto sobre los datos de carácter personal
incorporados a ficheros que contengan datos
relativos a la comisión de infracciones
administrativas o penales, Hacienda Pública,
servicios financieros, prestación de servicios de
solvencia patrimonial y crédito, así como aquellos
otros ficheros que contengan un conjunto de datos de
carácter personal suficientes para obtener una
evaluación de la personalidad del individuo. h)
Mantener los ficheros, locales, programas o equipos
que contengan datos de carácter personal sin las
debidas condiciones de seguridad que por vía
reglamentaria se determinen. i) No remitir a la
Agencia de Protección de Datos las notificaciones
previstas en esta Ley o en sus disposiciones de
desarrollo, así como no proporcionar en plazo a la
misma cuantos documentos e informaciones deba
recibir o sean requeridos por aquél a tales efectos.
j) La obstrucción al ejercicio de la función
inspectora. k) No inscribir el fichero de datos de
carácter personal en el Registro General de
Protección Datos, cuando haya sido requerido para
ello por el Director de la Agencia de Protección de
Datos. l) Incumplir el deber de información que se
establece en los articulos 5, 28 y 29 de esta Ley,
cuando los datos hayan sido recabados de persona
distinta del afectado. 4. Son infracciones muy
graves: a) La recogida de datos en forma engañosa y
fraudulenta. b) La comunicación o cesión de los
datos de carácter personal, fuera de los casos en
que estén permitidas. c) Recabar y tratar los datos
de carácter personal a los que se refiere el
apartado 2 del artículo 7 cuando no medie el
consentimiento expreso del afectado; recabar y
tratar los datos referidos en el apartado 3 del
artículo 7 cuando no lo disponga una ley o el
afectado no haya consentido expresamente, o
violentar la prohibición contenida en el apartado 4
del artículo 7. d) No cesar en el uso ilegítimo de
los tratamientos de datos de carácter personal
cuando sea requerido para ello por el Director de la
Agencia de Protección de Datos o por las personas
titulares del derecho de acceso. e) La transferencia
temporal o definitiva de datos de carácter personal
que hayan sido objeto de tratamiento o hayan sido
recogidos para someterlos a dicho tratamiento, con
destino a países que no proporcionen un nivel de
protección equiparable sin autorización del Director
de la Agencia de Protección de Datos. f) Tratar los
datos de carácter personal de forma ilegítima o con
menosprecio de los principios y garantías que les
sean de aplicación, cuando con ello se impida o se
atente contra el ejercicio de los derechos
fundamentales. g) La vulneración del deber de
guardar secreto sobre los datos de carácter personal
a que hacen referencia los apartados 2 y 3 del
artículo 7, así como los que hayan sido recabados
para fines policiales sin consentimiento de las
personas afectadas. h) No atender, u obstaculizar de
forma sistemática el ejercicio de los derechos de
acceso, rectificación, cancelación u oposición. i)
No atender de forma sistemática el deber legal de
notificación de la inclusión de datos de carácter
personal en un fichero.
Artículo 45. Tipo de sanciones.
1. Las infracciones leves serán sancionadas con
multa de 100.000 a 10.000.000 de pesetas. 2. Las
infracciones graves serán sancionadas con multa de
10.000.000 a 50.000.000 de pesetas. 3. Las
infracciones muy graves serán sancionadas con multa
de 50.000.000 a 100.000.000 de pesetas. 4. La
cuantía de las sanciones se graduará atendiendo a la
naturaleza de los derechos personales afectados, al
volumen de los tratamientos efectuados, a los
beneficios obtenidos, al grado de intencionalidad, a
la reincidencia, a los daños y perjuicios causados a
las personas interesadas y a terceras personas, y a
cualquier otra circunstancia que sea relevante para
determinar el grado de antijuridicidad y de
culpabilidad presentes en la concreta actuación
infractora. 5. Si, en razón de las circunstancias
concurrentes, se apreciara una cualificada
disminución de la culpabilidad del imputado o de la
antijuridicidad del hecho, el órgano sancionador
establecerá la cuantía de la sanción aplicando la
escala relativa a la clase de infracciones que
preceda inmediatamente en gravedad a aquella en que
se integra la considerada en el caso de que se
trate. 6. En ningún caso podrá imponerse una sanción
más grave que la fijada en la Ley para la clase de
infracción en la que se integre la que se pretenda
sancionar. 7. El Gobierno actualizará periódicamente
la cuantía de las sanciones de acuerdo con las
variaciones que experimenten los índices de precios.
Artículo 46. Infracciones de las Administraciones
públicas.
1. Cuando las infracciones a que se refiere el
artículo 44 fuesen cometidas en ficheros de los que
sean responsables las Administraciones públicas, el
Director de la Agencia de Protección de Datos
dictará una resolución estableciendo las medidas que
procede adoptar para que cesen o se corrijan los
efectos de la infracción. Esta resolución se
notificará al responsable del fichero, al órgano del
que dependa jerárquicamente y a los afectados si los
hubiera. 2. El Director de la Agencia podrá proponer
también la iniciación de actuaciones disciplinarias,
si procedieran. El procedimiento y las sanciones a
aplicar serán las establecidas en la legislación
sobre régimen disciplinario de las Administraciones
públicas. 3. Se deberán comunicar a la Agencia las
resoluciones que recaigan en relación con las
medidas y actuaciones a que se refieren los
apartados anteriores. 4. El Director de la Agencia
comunicará al Defensor del Pueblo las actuaciones
que efectúe y las resoluciones que dicte al amparo
de los apartados anteriores.
Artículo 47. Prescripción.
1. Las infracciones muy
graves prescribirán a los tres años, las graves a
los dos años y las leves al año. 2. El plazo de
prescripción comenzará a contarse desde el día en
que la infracción se hubiera cometido. 3.
Interrumpirá la prescripción la iniciación, con
conocimiento del interesado, del procedimiento
sancionador, reanudándose el plazo de prescripción
si el expediente sancionador estuviere paralizado
durante más de seis meses por causas no imputables
al presunto infractor. 4. Las sanciones impuestas
por faltas muy graves prescribirán a los tres años,
las impuestas por faltas graves a los dos años y las
impuestas por faltas leves al año. 5. El plazo de
prescripción de las sanciones comenzará a contarse
desde el día siguiente a aquel en que adquiera
firmeza la resolución por la que se impone la
sanción. 6. La prescripción se interrumpirá por la
iniciación, con conocimiento del interesado, del
procedimiento de ejecución, volviendo a transcurrir
el plazo si el mismo está paralizado durante más de
seis meses por causa no imputable al infractor.
Artículo 48. Procedimiento sancionador.
1. Por vía
reglamentaria se establecerá el procedimiento a
seguir para la determinación de las infracciones y
la imposición de las sanciones a que hace referencia
el presente Título. 2. Las resoluciones de la
Agencia de Protección de Datos u órgano
correspondiente de la Comunidad Autónoma agotan la
vía administrativa.
Artículo 49. Potestad de inmovilización de ficheros.
En los supuestos, constitutivos de infracción muy
grave, de utilización o cesión ilícita de los datos
de carácter personal en que se impida gravemente o
se atente de igual modo contra el ejercicio de los
derechos de los ciudadanos y el libre desarrollo de
la personalidad que la Constitución y las leyes
garantizan, el Director de la Agencia de Protección
de Datos podrá, además de ejercer la potestad
sancionadora, requerir a los responsables de
ficheros de datos de carácter personal, tanto de
titularidad pública como privada, la cesación en la
utilización o cesión ilícita de los datos. Si el
requerimiento fuera desatendido, la Agencia de
Protección de Datos podrá, mediante resolución
motivada, inmovilizar tales ficheros a los solos
efectos de restaurar los derechos de las personas
afectadas.
Disposición adicional primera.
Ficheros
preexistentes. Los ficheros y tratamientos
automatizados inscritos o no en el Registro General
de Protección de Datos deberán adecuarse a la
presente Ley Orgánica dentro del plazo de tres años,
a contar desde su entrada en vigor. En dicho plazo,
los ficheros de titularidad privada deberán ser
comunicados a la Agencia de Protección de Datos y
las Administraciones públicas, responsables de
ficheros de titularidad pública, deberán aprobar la
pertinente disposición de regulación del fichero o
adaptar la existente. En el supuesto de ficheros y
tratamientos no automatizados, su adecuación a la
presente Ley Orgánica, y la obligación prevista en
el párrafo anterior deberán cumplimentarse en el
plazo de doce años a contar desde el 24 de octubre
de 1995, sin perjuicio del ejercicio de los derechos
de acceso, rectificación y cancelación por parte de
los afectados.
Disposición adicional segunda.
Ficheros y Registro
de Población de las Administraciones públicas. 1. La
Administración General del Estado y las
Administraciones de las Comunidades Autónomas podrán
solicitar al Instituto Nacional de Estadística, sin
consentimiento del interesado, una copia actualizada
del fichero formado con los datos del nombre,
apellidos, domicilio, sexo y fecha de nacimiento que
constan en los padrones municipales de habitantes y
en el censo electoral correspondientes a los
territorios donde ejerzan sus competencias, para la
creación de ficheros o registros de población. 2.
Los ficheros o registros de población tendrán como
finalidad la comunicación de los distintos órganos
de cada Administración pública con los interesados
residentes en los respectivos territorios, respecto
a las relaciones jurídico administrativas derivadas
de las competencias respectivas de las
Administraciones públicas.
Disposición adicional tercera.
Tratamiento de los
expedientes de las derogadas Leyes de Vagos y
Maleantes y de Peligrosidad y Rehabilitación Social.
Los expedientes específicamente instruidos al amparo
de las derogadas Leyes de Vagos y Maleantes, y de
Peligrosidad y Rehabilitación Social, que contengan
datos de cualquier índole susceptibles de afectar a
la seguridad, al honor, a la intimidad o a la imagen
de las personas, no podrán ser consultados sin que
medie consentimiento expreso de los afectados, o
hayan transcurrido cincuenta años desde la fecha de
aquéllos. En este último supuesto, la Administración
General del Estado, salvo que haya constancia
expresa del fallecimiento de los afectados, pondrá a
disposición del solicitante la documentación,
suprimiendo de la misma los datos aludidos en el
párrafo anterior, mediante la utilización de los
procedimientos técnicos pertinentes en cada caso.
Disposición adicional cuarta.
Modificación del
artículo 112.4 de la Ley General Tributaria. El
apartado cuarto del artículo 112 de la Ley General
Tributaria pasa a tener la siguiente redacción: «4.
La cesión de aquellos datos de carácter personal,
objeto de tratamiento, que se debe efectuar a la
Administración tributaria conforme a lo dispuesto en
el artículo 111, en los apartados anteriores de este
artículo o en otra norma de rango legal, no
requerirá el consentimiento del afectado. En este
ámbito tampoco será de aplicación lo que respecto a
las Administraciones públicas establece el apartado
1 del artículo 21 de la Ley Orgánica de Protección
de Datos de carácter personal.»
Disposición adicional quinta.
Competencias del
Defensor del Pueblo y órganos auton��micos
semejantes. Lo dispuesto en la presente Ley Orgánica
se entiende sin perjuicio de las competencias del
Defensor del Pueblo y de los órganos análogos de las
Comunidades Autónomas.
Disposición adicional sexta.
Modificación del
artículo 24.3 de la Ley de Ordenación y Supervisión
de los Seguros Privados. Se modifica el artículo
24.3, párrafo 2. o de la Ley 30/1995, de 8 de
noviembre, de Ordenación y Supervisión de los
Seguros Privados, con la siguiente redacción: «Las
entidades aseguradoras podrán establecer ficheros
comunes que contengan datos de carácter personal
para la liquidación de siniestros y la colaboración
estadístico actuarial con la finalidad de permitir
la tarificación y selección de riesgos y la
elaboración de estudios de técnica aseguradora. La
cesión de datos a los citados ficheros no requerirá
el consentimiento previo del afectado, pero sí la
comunicación al mismo de la posible cesión de sus
datos personales a ficheros comunes para los fines
señalados con expresa indicación del responsable
para que se puedan ejercitar los derechos de acceso,
rectificación y cancelación previstos en la ley.
También podrán establecerse ficheros comunes cuya
finalidad sea prevenir el fraude en el seguro sin
que sea necesario el consentimiento del afectado. No
obstante, será necesaria en estos casos la
comunicación al afectado, en la primera introducción
de sus datos, de quién sea el responsable del
fichero y de las formas de ejercicio de los derechos
de acceso, rectificación y cancelación. En todo
caso, los datos relativos a la salud sólo podrán ser
objeto de tratamiento con el consentimiento expreso
del afectado.»
Disposición transitoria primera.
Tratamientos
creados por Convenios internacionales. La Agencia de
Protección de Datos será el organismo competente
para la protección de las personas físicas en lo que
respecta al tratamiento de datos de carácter
personal respecto de los tratamientos establecidos
en cualquier Convenio Internacional del que sea
parte España que atribuya a una autoridad nacional
de control esta competencia, mientras no se cree una
autoridad diferente para este cometido en desarrollo
del Convenio.
Disposición transitoria segunda.
Utilización del
censo promocional. Reglamentariamente se
desarrollarán los procedimientos de formación del
censo promocional, de oposición a aparecer en el
mismo, de puesta a disposición de sus solicitantes,
y de control de las listas difundidas. El Reglamento
establecerá los plazos para la puesta en operación
del censo promocional.
Disposición transitoria tercera.
Subsistencia de
normas preexistentes. Hasta tanto se lleven a
efectos las previsiones de la disposición final
primera de esta Ley, continuarán en vigor, con su
propio rango, las normas reglamentarias existentes
y, en especial, los Reales Decretos 428/1993, de 26
de marzo; 1332/1994, de 20 de junio, y 994/1999, de
11 de junio, en cuanto no se opongan a la presente
Ley.
Disposición derogatoria única. Derogación normativa.
Queda derogada la Ley Orgánica 5/1992, de 29 de
octubre, de Regulación del tratamiento automatizado
de los datos de carácter personal.
Disposición final primera.
Habilitación para el
desarrollo reglamentario. El Gobierno aprobará, o
modificará, las disposiciones reglamentarias
necesarias para la aplicación y desarrollo de la
presente Ley.
Disposición final segunda.
Preceptos con carácter de
Ley ordinaria. Los Títulos IV, VI excepto el último
inciso del párrafo 4 del artículo 36 y VII de la
presente Ley, la disposición adicional cuarta, la
disposición transitoria primera y la final primera
tienen el carácter de Ley ordinaria.
Disposición
final tercera.
Entrada en vigor. La presente Ley
entrará en vigor en el plazo de un mes, contado
desde su publicación en el «Boletín Oficial del
Estado».
Por tanto, Mando a todos los españoles, particulares
y autoridades, que guarden y hagan guardar esta Ley
Orgánica. Madrid, 13 de diciembre de 1999.
JUAN CARLOS R.
El Presidente del Gobierno,
JOSÉ MARÍA AZNAR LÓPEZ
