|
Capítulo
I. Disposiciones Generales
Artículo
1. Definiciones
A efectos de lo dispuesto en el presente Real Decreto se entenderá
por:
Bloqueo de datos: la identificación y reserva de datos con
el fin de impedir su tratamiento.
Cesión de datos: toda obtención de datos resultante
de la consulta de un fichero, su interconexión con otros ficheros
y la comunicación de datos realizada por una persona distinta de
la afectada.
Datos accesibles al público: los datos que se encuentran
a disposición del público en general, no impedida por cualquier
norma limitativa, y están recogidos en medios tales como censos,
anuarios, bases de datos públicas, repertorios de jurisprudencia,
archivos de prensa, repertorios telefónicos o análogos,
así como los datos publicados en forma de listas de personas pertenecientes
a grupos profesionales que contengan únicamente los nombres, títulos,
profesión, actividad, grados académicos, dirección
e indicación de su pertenencia al grupo.
Datos de carácter personal: toda información numérica,
alfabética, gráfica, fotográfica, acústica
o de cualquier otro tipo, susceptible de recogida, registro, tratamiento
o transmisión concerniente a una persona física identificada
o identificable.
Identificación del afectado: cualquier elemento que permita
determinar directa o indirectamente la identidad física, fisiológica,
psíquica, económica, cultural o social de la persona física
afectada.
Transferencia de datos: el transporte de datos entre sistemas informáticos
por cualquier medio de transmisión, así como el transporte
de soportes de datos por correo o por cualquier otro medio convencional.
Artículo
2. Regímenes especiales
De
conformidad con lo dispuesto en el artículo 2.3 de la Ley Orgánica
5/1992 se regirán por las disposiciones que, en materia de protección
de datos, contienen las leyes y reglamentos respectivos, los ficheros
siguientes:
- El censo electoral, el fichero de electores y ficheros complementarios,
regulados por la legislación de régimen electoral.
- Los ficheros automatizados creados con fines exclusivamente estadísticos
y amparados en cuanto a protección de datos por la normativa reguladora
de la función estadística pública, sin perjuicio
de lo prevenido en el artículo 36, m) de la Ley Orgánica
5/1992.
- Los ficheros automatizados de estado civil, amparados por la Ley del
Registro Civil y su Reglamento.
- Los ficheros automatizados de antecedentes penales.
- Los ficheros automatizados creados o gestionados al amparo de la normativa
sobre protección de materias clasificadas.
- Los ficheros automatizados cuyo objeto sea el almacenamiento de los
datos contenidos en los informes personales regulados en el artículo
68 de la Ley 17/1989, de 19 de julio, reguladora del Régimen del
personal militar profesional.
La
remisión al Derecho nacional, contenida en los Títulos IV
y VI del Convenio de 19 de junio de 1990, de aplicación del Acuerdo
de Schengen de 14 de junio de 1985, así como cualquier otra remisión
hecha a disposiciones nacionales de protección de datos personales
contenida en convenios internacionales, se entenderá referida a
la Ley Orgánica 5/1992, de 29 de octubre, de regulación
del tratamiento automatizado de los datos de carácter personal,
y a las disposiciones reglamentarias de desarrollo.
Capítulo
II. Transferencia internacional de datos
Artículo
3. Régimen de las transferencias
Si
la transferencia de los datos de carácter personal tuviera como
destinatario un país que no proporciona un nivel de protección
equiparable al que presta la Ley Orgánica 5/1992, el Director de
la Agencia de Protección de Datos autorizará la transferencia
de los mismos, siempre que el cedente de los datos acredite haber cumplido
lo dispuesto en los preceptos de la referida Ley y otorgue las garantías
que al efecto le sean exigidas. A tal fin, la autorización deberá
ser sometida al cumplimiento de las condiciones o cargas modales que se
consideren necesarias para que de la transferencia no se deriven perjuicios
a los derechos de los afectados y se respeten los principios contenidos
en el Título II de la Ley Orgánica 5/1992.
En caso de incumplimiento de los términos de la autorización
el cedente y el cesionario de los datos responderán solidariamente
a efectos de lo previsto en el artículo 17.3 de la Ley Orgánica
5/1992.
Artículo
4. Excepciones
Se exceptúan, en todo caso, de la autorización previa del
Director de la Agencia de Protección de Datos las transferencias
de datos de carácter personal que resulten de la aplicación
de tratados o convenios de los que sea parte España y, en particular:
- Las transmisiones de datos registrados en ficheros creados por las Fuerzas
y Cuerpos de Seguridad en función de una investigación concreta,
hechas por conducto Interpol u otras vías previstas en convenios
en los que España sea parte, cuando las necesidades de la investigación
en curso exijan la transmisión a servicios policiales de otros
Estados.
- Las transmisiones de datos registrados en la parte nacional española
del Sistema de Información Schengen, con destino a la unidad de
apoyo del sistema, a los solos efectos de una investigación policial
en curso que requiera la utilización de datos del sistema.
- Las transmisiones de datos previstas en el sistema de intercambios de
información contemplado en el Título VI del Tratado de la
Unión Europea.
- Las transmisiones de los datos registrados en los ficheros creados por
las Administraciones tributarias, en favor de los demás Estados
miembros de la Unión Europea o en favor de otros Estados terceros,
en virtud de lo dispuesto en los convenios internacionales de asistencia
mutua en materia tributaria.
Se exceptúan, asimismo, de la autorización previa del Director
de la Agencia de Protección de Datos, cualquiera que sea el Estado
destinatario de los datos, las transmisiones de datos que se efectúen
para cumplimentar exhortas, cartas órdenes, comisiones rogatorias
u otras peticiones de auxilio judicial internacional, y los demás
supuestos previstos en el artículo 33 de la Ley Orgánica
5/1992.
Capítulo
III. Notificación e inscripción de ficheros
Artículo
5. Notificación de ficheros de titularidad pública
Todo
fichero de datos de carácter personal, de titularidad pública,
será notificado a la Agencia de Protección de Datos por
el órgano competente de la Administración responsable del
fichero para su inscripción en el Registro General de Protección
de Datos, mediante el traslado, a través del modelo normalizado
que al efecto elabore la Agencia, de una copia de la disposición
de creación del fichero.
Artículo
6. Notificación de ficheros de titularidad privada
La persona o entidad que pretenda crear un fichero de datos de carácter
personal lo notificará previamente a la Agencia de Protección
de Datos mediante escrito o soporte informático en modelo normalizado
que al efecto elabore la Agencia, en el que se especificarán los
siguientes extremos:
1. Nombre, denominación o razón social, documento nacional
de identidad o código de identificación fiscal, dirección
y actividad u objeto social del responsable del fichero.
2. Ubicación del fichero.
3. Identificación de los datos que se pretendan tratar, individualizando
los supuestos de datos especialmente protegidos.
4. Dirección de la oficina o dependencia en la cual puedan ejercerse
los derechos de acceso, rectificación y cancelación.
5. Origen o procedencia de los datos.
6. Finalidad del fichero.
7. Cesiones de datos previstas
8. Transferencias temporales o definitivas que se prevean realizar a otros
países, con expresión de los mismos.
9. Destinatarios o usuarios previstos para las cesiones o transferencias.
10. Sistemas de tratamiento automatizado que se vayan a utilizar.
11. Medidas de seguridad.
Artículo
7. Inscripción de los ficheros
1. Los ficheros de titularidad pública serán inscritos de
oficio por la Agencia de Protección de Datos, una vez haya recibido
la copia de la disposición de creación del fichero.
2. El Director de la Agencia de Protección de Datos, a propuesta
del Registro General de Protección de Datos, acordará la
inscripción de los ficheros de titularidad privada si la notificación
contuviera la información preceptiva y se cumplen las restantes
exigencias legales, requiriendo, en caso contrario, al responsable del
fichero para que la complete o subsane en el plazo de diez días,
con indicación de que, si así no lo hiciera, se le tendrá
por desistido de su petición, archivándose sin más
trámite.
3. La inscripción contendrá, en el supuesto de ficheros
de titularidad pública, las indicaciones previstas en el artículo
18.2 de la Ley Orgánica 5/1992, con especificación de la
disposición general de creación y del diario oficial de
su publicación, y, en el supuesto de ficheros de titularidad privada,
los extremos relacionados en el artículo 6 del presente Real Decreto,
con excepción de las medidas de seguridad.
4. La inscripción será notificada al responsable del fichero
por el Registro General de Protección de Datos.
Artículo
8. Modificación y cancelación de la inscripción
1. La modificación o, en su caso, cancelación de la inscripción
de los ficheros de titularidad pública se producirá de oficio
por la Agencia de Protección de Datos, previo traslado por el órgano
de la Administración responsable del fichero de una copia de la
disposición general que modifique o suprima aquél.
2. Cuando se trata de ficheros de titularidad privada, cualquier modificación
posterior en el contenido de los extremos a que se refiere el artículo
6 del presente Real Decreto se comunicará, a efectos de inscripción,
en su caso, a la Agencia de Protección de Datos dentro del mes
siguiente a la fecha en que aquélla se hubiera producido. En igual
plazo se comunicará la decisión de supresión del
fichero a efectos de la cancelación del correspondiente asiento
de inscripción.
Artículo
9. Inscripción y publicidad de los códigos tipo
1. Los códigos tipo se depositarán, para su inscripción,
en el Registro General de Protección de Datos.
2. El Director de la Agencia de Protección de Datos podrá
denegar la inscripción si el código tipo no se ajusta a
las disposiciones de la Ley Orgánica 5/1992 y del presente Real
Decreto, sin perjuicio de requerir a los solicitantes para que subsanen
las deficiencias.
3. Los particulares podrán obtener copias de los códigos
tipo depositados e inscritos en el Registro General de Protección
de Datos.
4. En caso de incumplimiento de las normas contenidas en los códigos
tipo se estará a lo dispuesto al efecto en los acuerdos o decisiones
que los formulen.
Artículo
10. Recursos.
Contra las resoluciones del Director de la Agencia de Protección
de Datos relativas a la inscripción o, en su caso, a la modificación
o cancelación de la inscripción de un fichero o código
tipo, procederá el recurso contencioso-administrativo.
Capítulo
IV. Ejercicio y tutela de los derechos del afectado
Artículo
11. Carácter personal de los derechos
Los derechos de acceso a los ficheros automatizados, así como los
de rectificación y cancelación de datos son personalísimos
y serán ejercidos por el afectado frente al responsable del fichero,
sin otras limitaciones que las que prevén la Ley Orgánica
5/1992 y el presente Real Decreto.
Podrá, no obstante, actuar el representante legal del afectado
cuando éste se encuentre en situación de incapacidad o minoría
de edad que le imposibilite el ejercicio personal de los mismos
Artículo
12. Derecho de acceso
El derecho de acceso se ejercerá mediante petición o solicitud
dirigida al responsable del fichero, formulada por cualquier medio que
garantice la identificación del afectado y en la que conste el
fichero o ficheros a consultar.
El afectado podrá optar por uno o varios de los siguientes sistemas
de consulta del fichero, siempre que la configuración e implantación
material del fichero lo permita:
- Visualización en pantalla.
- Escrito, copia o fotocopia remitida por correo
- Telecopia.
- Cualquier otro procedimiento que sea adecuado a la configuración
e implantación material del fichero, ofrecido por el responsable
del mismo.
El responsable del fichero resolverá entre la petición de
acceso en el plazo máximo de un mes, a contar de la recepción
de la solicitud. Transcurrido este plazo sin que de forma expresa se responda
a la petición de acceso, éste podrá entenderse desestimada
a los efectos de la interposición de la reclamación prevista
en el artículo 17.1 de la Ley Orgánica 5/1992.
Si la resolución fuera estimatoria, el acceso se hará efectivo
en el plazo de los diez días siguientes a la notificación
de aquélla.
Artículo
13. Contenido de la información
La
información, cualquiera que sea el soporte en que fuere facilitada,
se dará en forma legible e inteligible, previa transcripción
en claro de los datos del fichero, en su caso.
La información comprenderá los datos de base del afectado
y los resultantes de cualquier elaboración o proceso informático,
así como el origen de los datos, los cesionarios de los mismos
y la especificación de los concretos usos y finalidades para los
que se almacenaron los datos.
Artículo
14. Denegación del acceso
Se denegará el acceso a los datos de carácter personal registrados
en ficheros de titularidad pública cuando se dé alguno de
los supuestos contemplados e los artículos 14.3, 21.1 y 2 y 22.2
de la Ley Orgánica 5/1992.
Tratándose de datos de carácter personal registrados en
ficheros de titularidad privada, únicamente se denegará
el acceso cuando la solicitud sea formulada por persona distinta del afectado.
Artículo
15. Derechos de rectificación y cancelación
Cuando el acceso a los ficheros revelare que los datos del afectado son
inexactos o incompletos, inadecuados o excesivos, podrá éste
solicitar del responsable del fichero la rectificación o, en su
caso, cancelación de los mismos.
No obstante, cuando se trate de datos que reflejen hechos constatados
en un procedimiento administrativo, aquéllos se considerarán
exactos siempre que coincidan con éste.
La rectificación o cancelación se hará efectiva por
el responsable del fichero dentro de los cinco días siguientes
al de la recepción de la solicitud. En idéntico plazo se
efectuará la notificación a que se refiere el artículo
15.3 de la Ley Orgánica 5/1992. [cf. Norma 1.4 Instrucción
1/1995]
En el supuesto de que el responsable del fichero considere que no procede
acceder a lo solicitado por el afectado, se lo comunicará motivadamente
y dentro del plazo señalado en el apartado anterior, a fin de que
por éste se pueda hacer uso de la reclamación prevista en
el artículo 17.1 de la Ley Orgánica 5/1992.
Transcurrido el plazo previsto en el apartado 2 sin que de forma expresa
se responda a la solicitud de rectificación o cancelación,
ésta podrá entenderse desestimada a los efectos de la interposición
de la reclamación que corresponda.
Artículo
16.Bloqueo de los datos
En los casos en que, siendo procedente la cancelación de los datos,
no sea posible su extinción física, tanto por razones técnicas
como por causa del procedimiento o soporte utilizado, el responsable del
fichero procederá al bloqueo de los datos, con el fin de impedir
su ulterior proceso o utilización.
Se exceptúa, no obstante, el supuesto de que se demuestre que los
datos han sido recogidos o registrados por medios fraudulentos, desleales
o ilícitos, en cuyo caso la cancelación de los mismos comportará
siempre la destrucción del soporte en el que aquéllos figuren.
Contra la resolución por la que el responsable del fichero acuerde
el bloqueo de los datos procederá reclamación ante el Director
de la Agencia de Protección de Datos.
Artículo
17.Tutela de los derechos
Las reclamaciones de los afectados ante la Agencia de Protección
de Datos, a que se refiere el artículo 17.1 de la Ley Orgánica
5/1992, se sustanciarán en la forma prevista en el presente artículo.
El procedimiento se iniciará a instancia del afectado o afectados,
expresando con claridad el contenido de su reclamación y de los
preceptos de la Ley Orgánica 5/1992 que se consideran vulnerados.
Recibida la reclamación en la Agencia de Protección de Datos,
se dará traslado de la misma al responsable del fichero, para que,
en el plazo de quince días, formule las alegaciones que estime
pertinentes.
Recibidas las alegaciones o transcurrido el plazo previsto en el apartado
anterior, la Agencia de Protección de Datos, previos los informes,
pruebas y otros actos de instrucción pertinentes, incluida la audiencia
del afectado y nuevamente del responsable del fichero, resolverá
sobre la reclamación formulada, dando traslado de la misma a los
interesados.
Contra la resolución del Director procederá recurso contencioso-administrativo.
Capítulo
V.
Procedimiento sancionador
Artículo
18. Iniciación e instrucción
El procedimiento sancionador previsto en el artículo 47 de la Ley
Orgánica 5/1992, se iniciará siempre de oficio, bien por
propia iniciativa o en virtud de denuncia de un afectado o afectados,
por acuerdo del Director de la Agencia de Protección de Datos,
en el cual se designará instructor y, en su caso, secretario, con
expresa indicación del régimen de recusación de los
mismos.
En el referido acuerdo se identificará a la persona o personas
presuntamente responsables y se concretarán los hechos imputados,
con expresión de la infracción presuntamente cometida y
de la sanción o sanciones que pudieran imponerse, así como
de las medidas provisionales que, en su caso, se adopten.
El acuerdo de incoación del expediente se notificará al
presunto responsable y en el mismo se informará a éste de
su derecho a formular alegaciones y utilizar los medios de defensa procedentes
y que la autoridad competente para imponer, en su caso, la sanción
es el Director de la Agencia de Protección de Datos, con cita expresa
del presente artículo y del artículo 36, g) en relación
con el artículo 35, ambos de la Ley Orgánica 5/1992.
Dentro
de los quince días siguientes a la notificación del acuerdo
de incoación, el instructor ordenará, de oficio, la práctica
de cuantas pruebas y actos de instrucción sean adecuados para esclarecer
los hechos y determinar las responsabilidades susceptibles de sanción.
En idéntico plazo, el presunto responsable podrá formular
las alegaciones y proponer las pruebas que considere convenientes.
Transcurrido el plazo previsto en el apartado anterior, el instructor
acordará la práctica de las pruebas que estime pertinentes,
a cuyo efecto concederá un plazo de treinta días, transcurrido
el cual el expediente se pondrá de manifiesto al presunto responsable
para que, en el plazo de quince días, formule alegaciones y aporte
cuantos documentos estime de interés.
Artículo
19.Resolución
Cumplimentados los trámites previstos en el artículo anterior,
el instructor formulará propuesta de resolución motivada
en la cual se fijarán de modo claro y preciso los hechos, se razonará,
en su caso, la denegación y de la práctica probatoria propuesta
por el presunto responsable, se valorarán jurídicamente
aquéllos a fin de determinar la infracción cometida y se
señalará la sanción a imponer, determinando su cuantía
con arreglo a los criterios establecidos en el artículo 44.4 de
la Ley Orgánica 5/1992, o bien, se propondrá la declaración
de no existencia de responsabilidad.
La propuesta de resolución se notificará al presunto responsable
para que, en el plazo de quince días, pueda formular nuevas alegaciones
si lo considera oportuno.
Notificada la propuesta de resolución o expirado el plazo de alegaciones
previsto en el apartado anterior, el instructor elevará el expediente
completo al Director de la Agencia de Protección de Datos.
El Director podrá, antes de dictar resolución, ordenar al
instructor la práctica de cuantas actuaciones considere necesarias,
lo que se llevará a efecto en un plazo máximo de quince
días.
La resolución, que se dictará dentro de los diez días
siguientes, determinará con la necesaria precisión los hechos
imputados, la infracción cometida, con expresión del precepto
que la tipifique, el responsable de la misma y la sanción impuesta;
o bien, la declaración de no existencia de responsabilidad. Contendrá,
asimismo, la declaración pertinente en orden a las medidas provisionales
adoptadas durante la tramitación del procedimiento.
La resolución se notificará al responsable con expresión
de su derecho a interponer recurso contencioso-administrativo, el plazo
de interposición, y el órgano ante el cual deba ser presentado.
Si el procedimiento se hubiera iniciado como consecuencia de denuncia
de un afectado, la resolución deberá ser notificada al firmante
de la misma.
Disposiciones
adicionales
Disposición
adicional primera: Comunicación de ficheros preexistentes
Los ficheros automatizados de datos de carácter personal que se
hubiesen creado con posterioridad a la entrada en vigor de la Ley Orgánica
5/1992 y antes de la vigencia del presente Real Decreto se deberán
comunicar a la Agencia de Protección de Datos antes del 31 de julio
de 1994.
Disposición
adicional segunda:Ficheros de las Comunidades Autónomas
Corresponde a las Comunidades Autónomas, respecto de sus propios
ficheros, la regulación del ejercicio y tutela de los derechos
del afectado y del procedimiento sancionador en los términos y
con los límites establecidos en la Ley Orgánica 5/1992 y
de acuerdo con las normas del procedimiento administrador común.
Disposición
adicional tercera: Ficheros de las Administraciones Tributarias
Los ficheros creados por las Administraciones
Tributarias para la gestión de los tributos que se les encomienden,
se regirán por las disposiciones del presente Real Decreto y por
las demás disposiciones reglamentarias que, en desarrollo y con
sujeción a lo dispuesto en la Ley Orgánica 5/1992, específicamente
se aprueben para los mismos.
Disposición
final primera: Lista de países con equiparable protección
Se faculta al Ministro de Justicia e Interior para que, previo informe
del Director de la Agencia de Protección de Datos, apruebe la relación
de países que, a efectos de lo dispuesto en el artículo
32 de la Ley Orgánica 5/1992, se entiende que proporcionan un nivel
de protección equiparable al de dicha Ley.
Disposición
final segunda: entrada en vigor
El presente Real Decreto entrará en vigor el día siguiente
al de su publicación en el "Boletín Oficial del Estado".
|
