Lei Orgánica 15/1999, do 13 de decembro: Diferenzas entre revisións

En Galifontes, o Wikisource en galego.
Contido eliminado Contido engadido
→‎CAPÍTULO II: Ficheiros de titularidade privada: artigos 29 e 30 ¿rematarei algún día?
Liña 362: Liña 362:


4. Os datos que figuren nas guías de servicios de telecomunicación dispoñibles ó público rexeranse pola súa normativa específica.
4. Os datos que figuren nas guías de servicios de telecomunicación dispoñibles ó público rexeranse pola súa normativa específica.

:Artigo 29 ''Prestación de servicios sobre solvencia patrimonial e crédito''

1. Os que se dediquen á prestación de servicios sobre a solvencia patrimonial e o crédito só poderán tratar datos de carácter persoal obtidos dos rexistros e as fontes accesibles ó público establecidos para o efecto ou procedentes de informacións facilitadas polo interesado ou co seu consentimento.

2. Poderanse tratar tamén datos de carácter persoal relativos ó cumprimento ou incumprimento de obrigas pecuniarias facilitados polo acreedor ou por quen actúa pola súa conta ou interese. Nestes casos notificaráselles ós interesados respecto dos que rexistrasen datos de carácter persoal en ficheiros, no prazo de trinta días desde o dito rexistro, unha referencia dos que fosen incluídos e serán informados do seu dereito a recadaren información da totalidade deles, nos termos establecidos por este lei.

3. Nos supostos a que se refiren os dous números anteriores, cando o interesado o solicite, o responsable do tratamento comunicaralle os datos, así como as avaliacións e apreciacións que sobre el fosen comunicadas durante os últimos seis meses e o nome e enderezo da persoa ou entidade á que se lle revelasen os datos.

4. Só se poderán rexistrar e cede-los datos de carácter persoal que sexan determinantes para xulga-la solvencia económica dos interesados e que non se refiran, cando sexan adversos, a máis de seis anos, sempre que respondan con veracidade á situación actual daqueles.

:Artigo 30 ''Tratamentos con fins de publicidade e de prospección comercial''

1. Quen se dedique á recopilación de enderezos, reparto de documentos, publicidade, venta a distancia, prospección comercial e outras actividades análogas, utilizarán nomes e enderezos ou outros datos de carácter persoal cando estes figuren en fontes accesibles ó público ou cando fosen facilitados polos propios interesados ou obtidos co seu consentimento.

2. Cando os datos procedan de fontes accesibles ó público, de conformidade co establecido no parágrafo segundo do artigo 5.5 desta lei, en cada comunicación que se lle dirixa ó interesado informarase da orixe dos datos e da identidade do responsable do tratamento, así como dos dereitos que o asisten.

3. No exercicio do dereito de acceso os interesados terán dereito a coñece-la orixe dos seus datos de carácter persoal, así como da información a que se refire o artigo 15.

4. Os interesados terán dereito a se opoñer, logo de petición e sen gastos, ó tratamento dos datos que lles atinxan; neste caso serán dados de baixa do tratamento, cancelándose as informacións que sobre eles figuren naquel, pola súa simple solicitude.


[[Category:documentos legais]]
[[Category:documentos legais]]

Revisión como estaba o 4 de decembro de 2005 ás 21:09

Lei Orgánica 15/1999, 14 de decembro.

Juan Carlos I

Rei de España

Saiban tódolos que a viren e a entenderen que as Cortes Xerais aprobaron e eu sanciono a seguinte lei orgánica.

TÍTULO I: Disposicións Xerais

Artigo 1 Obxecto

Esta lei orgánica ten por obxecto garantir e protexer, no que atinxe ó tratamento dos datos persoais, as liberdades públicase os dereitos fundamentais das persoas físicas, e especialmente os do seu honor e intimidade persoal e familiar.

Artigo 2 Ámbito de aplicación

1. Esta lei orgánica será de aplicacón ós datos de carácter persoal rexistrados en soporte físico, que os faga susceptibles de tratamento, e a toda modalidade de uso posterior destes datos polos sectores público e privado.

Rexerase por esta lei orgánica todo tratamento de datos de carácter persoal:

a) Cando o tratamento sexa efectuado en territorio español mo marco das actividades dun establecemento do responsable do tratamento.

b) Cando ó responsable do tratamento non establecido en territorio español lle sexa de aplicación a lexislación española en aplicación de normas de dereito internacional público.

c) Cando o responsable do tratamento non este establecido en territorio da Unión Europea e utilice no tratamento de datos medios situados en territorio español, agás que tales medios se utilicen únicamente como medio de tránsito.

2. O réxime de protección dos datos de carácter persoal que se establece nesta lei orgánica non será de aplicación:

a) Ós ficheiros mantidos por persoas físicas no exercicio de actividades exclusivamente persoais ou domésticas.

b) Ós ficheiros sometidos á normativa sobre protección de de materias clasificadas.

c) Ós ficheiros establecidos para a investigación do terrorismo e de formas graves de delincuencia organizada. Emporiso, nestes supostos o responsable do ficheiro comunicaralle previamente a súa existencia, as súas características xerais e a súa finalidade á Axencia de Protección de Datos.

3. Rexerase polas súas disposicións específicas, e polo especialmente previsto, se é o caso, por esta lei orgánica, os seguintes tratamentos de datos persoais:

a) Os ficheiros regulados pola lexislación de réxime electoral.

b) Os que sirvana fin exclusivamente estatísticos, e estean amparados pola lexislación estatal ou autonómica sobre a función estatística pública.

c) Os que teñan por obxeto o almacenamento dos datos contidos nos informes persoais de cualificación a que se refire a lexislación do réxime do persoal das Forzas Armadas.

d) Os derivados do Rexistro Civil e do Rexistro Central de Penados e Rebeldes.

e) Os procedentes de imaxes e sons obtidos mediante a utilización de videocámaras polas forzas e corpos de seguridade, de conformidade coa lexislación sobre a materia.

Artigo 3 Definicións

Para os efectos desta lei orgánica entenderase por:

a) Datos de Caracter Persoal: calquera información tocante as persoas físicas identificadas ou identificables.

b) Ficheiro: todo conxunto organizado de datos de carácter persoal, calquera que sexa a forma ou modalidade da súa creación, almacenamento, organización e acceso.

c) Tratamento de datos: operacións e procedementos técnicos de carácter automatizado ou non, que permitan a recollida, gravación, conservación, elaboración, modificación, bloqueo e cancelación, así como as cesións de datos que resulten de comunicacións, consultas, interconexións e transferencias.

d) Responsable do ficheiro ou tratamento: persoa física ou xurídica, de nature pública ou privada, ou órgano administrativo, que decida sobre a finalidade, contido e uso do tratamento.

e) Afectado ou interesado: persoa física titular dos datos que sexan obxecto do tratamento a que se refire a línea c) deste artigo.

f) Procedemento de disociación: todo tratamento de datos persoais de modo que a información que se obteña non poida asociarse a persoa identificada ou indentificable.

g) Encargado do tratamento: a persoa física ou xurídica, autoridade píblica, servicio ou calquera outro organismo que, só ou conxuntamente con outros, trate datos persoaispor conta do responsable do tratamento.

h) Consentimento do interesado: toda manifestación de vontade, libre, inequívoca, específica e informada, mediante a que o interesado consista o tratamento de datos persoais que lle atinxan.

i) Cesión ou comunicación de datos: toda revelación de datos realizada a unha persoa distinta do interesado.

j) Fontes accesibles ó público: aqueles ficheiros que poden ser consultados por calquera persoa, non impedida por unha norma limitativa ou sen máis esixencia que, se é o caso, o aboamento dunha contraprestación. Teñen a consideración de fontes de acceso público, exclusivamente, o censo promociaonal, os repertorios telefónicos nos termos previstos pola súa normativa específica e as lista de persoas pertencentes a grupos de profesionais que conteñan únicamente os datos de nome, título, profesión, actividade, grao académico, enderezo e indicación da súa pertenza ó grupo. Así mesmo, teñen o carácter de fontes de acceso público os diarios e boletíns oficiais e os medios de comunicación.

TÍTULO II: Principios da protección de datos

Artigo 4 Calidade dos datos

1. Os datos de carácter persoal só se poderán recoller para o seu tratamento, así como someter ó dito tratamento, cando sexan adecuados, pertinentes e non excesivos en relación có ámbito e as finalidades determinadas, explícitas e lexítimas para as que se obtivesen.

2. Os datos de carácter persoal obxeto de tratamento non poderán usarse para finalidades incompatibles con aquelas para as que fosen recollidos. Non se considerará incompatible o tratamento posterior destes con fíns históricos, estatísticos ou científicos.

3. Os datos de carácter persoal serán exactos e postos ó día de forma que respondan con veracidade á situación actual do afectado.

4. Se os datos de carácter persoal rexistrados resultan inexactos, en todo ou en parte, ou incompletos, serán cancelados e substituídos de oficio polos correspondentes datos rectificados ou completados, sen prexuízo das facultades que ós afectados lles recoñece o artigo 16.

5. Os datos de carácter persoal serán cancelados cando deixen de ser necesarios ou pertinentes para a finalidade para a cal fosen recadados ou rexistrados.

Non serán conservados en forma que permita a identificación do interesado durante un período superior ó necesario para fins consonte ós cales foron recadados ou rexistrados.

6. Os datos de carácter persoal serán almacenados de forma que permitan o exercicio do dereito de acceso, agás que sexan legalmente cancelados.

7. Prohíbese a recollida de datos por medios fraudulentos, desleais ou ilícitos.

Artigo 5 Dereito de información na recollida de datos

1. Os interesados ós que se lle soliciten persoais deberán ser previamente informados de mode expreso, preciso e inequívoco:

a) Da existencia dun ficheiro ou tratamento de datos de carácter persoal, da finalidade da recollida destes e dos destinatarios da información.

b) Do carácter obrigatorio ou facultativo da súa resposta ás preguntas que lle sexan formuladas.

c) Das consecuencias da obtención dos datos ou da negativa a suministralos.

d) Da posibilidade de exerce-los dereitos de acceso, rectificación, cancelación e oposición.

e) Da identidade e dirección do responsable do tratamento ou, se é o caso, do seu representante.

Cando o responsable do tratamento non esta establecido no territorio da Unión Europea e utilice no tratamento de datos medios situados en territorio español, deberá designar, agás que tales medios se utilicen con fins de trámite, un representante en España, sen prexuízo das accións que se puidesen emprender contra o propio responsable do tratamento.

2. Cando se utilicen cuestionarios ou outros impresos para a recollida, figurarán neles, en forma claramente lexible, as advertencias a que se refire o número anterior.

3. Non será necesaria a información a que se refiren as alíneas b), c) e d) do número 1 se o contido dela se deduce claramente da natureza dos datos persoais que se solicitan ou das circunstancias en que se recadan.

4. Cando os datos de carácter persoal non fosen recadados do interesado, este deberá ser informado de forma expresa, precisa e inequívoca, polo responsable do ficheiro ou polo seu representante, dentro dos tres meses seguintes ó momento do rexistro dos datos, agás que xa fose informado con anterioridade, do contido do tratamento, da procedencia dos datos, así como previsto nas alíneas a), d) e e) do número 1 deste artigo.

5. Non será de aplicación o disposto no número anterior, cando expresamente unha lei o prevexa, cando o tratamento teña fins históricos, estatísticos ou científicos, ou cando a información ó interesado resulte imposible ou esixa esforzos desproporcionados, a criterio da Axencia de Protección de Datos ou do organismo autonómico equivalente, en consideración ó número de interesados, a antigüidade dos datos e ás posibles medidas compensatorias.

Así mesmo, tampouco rexerá o disposto no número anterior cando os datos procedan de fontes accesibles ó público e se destinen á actividade de publicidade ou prospección comercial; neste caso, en cada comunicación que se lle dirixa ó interesado será informado da orixe dos datos e da identidade do responsable tratamento así como dos dereitos que o asisten.

Artigo 6 Consentimento do afectado

1. O tratamento de datos de carácter persoal requerirá o consentimento inequívoco do afectado, agás que a lei dispoña outra cousa.

2. Non será preciso o consentimento cando os datos de carácter persoal se recollan para o exercicio das funcións propias das administracións públicas no ámbito das súas competencias; cando se refiran ás partes dun contrato ou precontrato dunha relación negocial, laboral ou administrativa e sexan necesarios para o seu mantemento ou cumprimento; cando o tratamento dos datos teña por finalidade protexer un interese vital do interesado nos termos do artigo 7, número 6, desta lei, ou cando os datos figuren en fontes accesibles ó público e o seu tratamento sexa necesario para a satisfacción do interese lexítimo perseguido polo responsable do ficheiro ou polo do terceiro ó que se lle comuniquen os datos, sempre que non se vulneren os dereitos e liberdades fundamentais do interesado.

3. O consentimento a que se refire o artigo poderá ser revogado cando exista causa xustificada para iso e non se lle atribúan efectos retroactivos.

4. Nos casos en que non sexa necesario o consentimento do afectado para o tratamento dos datos de carácter persoal, e sempre que unha lei non dispoña o contrario, este poderase opor ó seu tratamento cando existan motivos fundados e lexítimos relativos a unha concreta situación persoal. En tal suposto, o responsable do ficheiro excluirá do tratamento os datos relativos ó afectado.

Artigo 7 Datos especialmente protexidos

1. De acordo co establecido no número 2 do artigo 16 da Constitución, ninguén poderá ser obrigado a declarar sobre a súa ideoloxía, relixión ou crenzas.

Cando en relación con estes datos se proceda a procura-lo consentimento a que se refire o número seguinte, o interesado será advertido acerca do seu dereito a non o prestar.

2. Só co consentimento expreso e por escrito do afectado poderán ser obxecto de tratamento os datos de carácter persoal que revelen a ideoloxía, afiliación sindical, relixión e crenzas. Exceptúanse os ficheiros mantidos polos partidos políticos, sindicatos, igrexas, confesións ou comunidades relixiosas e asociacións, fundacións e outras entidades sen ánimo de lucro, a finalidade das cales sexa política, filosófica, relixiosa ou sindical, en canto ós datos relativos os seus asociados ou membros, sen prexuízo de que a cesión de ditos datos precisará sempre o previo consentimento do afectado.

3. Os datos de carácter persoal que fagan referencia á orixe racial, á saúde e á vida sexual só poderán ser recadados, tratados e cedidos cando, por razóns de interese xeral, así o dispoña unha lei ou o afectado o consinta expresamente.

4. Quedan prohibidos os ficheiros creados coa finalidade exclusiva de almacenar datos de carácter persoal que revelen a ideoloxía, afiliación sindical, relixión, crenzas, orixe racial ou étnica, ou vida sexual.

5. Os datos de carácter persoal relativos á comisión de infracción penais ou administrativas só poderán ser incluídos en ficheiros das administracións públicas competentes nos supostos previstos nas respectivas normas reguladoras.

6. Malia o disposto nos números anteriores, poderán ser obxecto de tratamento os datos de carácter persoal a que se refiren os números 2 e 3 deste artigo, cando o dito tratamento resulte necesario para a prevención ou para o diagnóstico médicos, a prestación de asistencia sanitaria ou tratamentos médicos ou a xestión de servicios sanitarios, sempre que o dito tratamento de datos sexa realizada por un profesional sanitario suxeito ó segredo profesional ou por outra persoa suxeita así mesmo a unha obriga equivalente de segredo.

Tamén poderán ser obxecto de tratamento os datos a que se refire o párrafo anterior cando o tratamento sexa necesario para salvagarda-lo interese vital do afectado ou doutra persoa, no suposto de que o afectado estea física ou xurídicamente incapacitado para da-lo seu consentimento.

Artigo 8 Datos relativos á saúde

Sen prexuízo do que dispón o artigo 11 respecto da cesión, as institucións e centros sanitarios públicos e privados e os profesionais correspondentes poderán proceder ó tratamento dos datos de carácter persoal relativos á saúde das persoas que acudan a eles ou teñan que ser tratados neles, de acordo co disposto na lexislación estatal ou autonómica sobre sanidade.

Artigo 9 Seguridade dos datos

1. O responsable do ficheiro, e, se é o caso, o encargado do tratamento deberán adopta-las medidas de índole técnica e organizativas necesarias que garantan a seguridade dos datos de carácter persoal e eviten a súa alteración, perda, tratamento ou acceso non autorizado, tendo en conta o estado da tecnoloxía, a natureza dos datos almacenados e os riscos a que están expostos, xa proveñan da acción humana ou do medio físico ou natural.

2. Non se rexistrarán datos de carácter persoal en ficheiros que non reunan as condicións que se determinen por vía regulamentaria con respecto a súa integridade e seguridade e ás dos centros de tratamento, locais, equipos, sistemas e programas.

3. Regulamentariamente, estableceranse os requisitos e condicións que deban reuni-los ficheiros e as persoas que interveñan no tratamento dos datos a que se refire o artigo 7 desta lei.

Artigo 10 Deber de segredo

O responsable do ficheiro e quen interveña en calquera fase do tratamento de datos de carácter persoal están obrigados ó segredo profesional respecto deles e ó deber de os gardar, obrigas que subsistirán mesmo despois de finalizaren as súas relacións co titular do ficheiro ou, se é o caso, co seu responsable.

Artigo 11 Comunicación de datos

1. Os datos de carácter persoal obxecto do tratamento só lle poderán ser comunicados a un terceiro para o cumprimento de fins directamente relacionados coas funcións lexítimas do cedente e do cesionario co previo consentimento do interesado.

2. O consentimento esixido no número anterior non será preciso:

a) Cando a cesión está autorizada nunha lei.

b) Cando se trate de datos recollidos de fontes accesibles ó público.

c) Cando o tratamento responga á libre e lexítima aceptación dunha relación xurídica cun desenvolvemento, cumprimento e control que implique necesariamente a conexión do dito tratamento con ficheiros de terceiros. Neste caso a comunicación só será lexítima en canto se limite á finalidade que a xustifique.

d) Cando a comunicación que deba efectuarse teña por destinatario o Defensor do Pobo, o Ministerio Fiscal ou os xuíces ou tribunais ou o Tribunal de Contas, no exercicio das funcións que ten atribuidas. Tampouco será preciso o consentimento cando a comunicación teña como destinatario institucións autonómicas con funcións análogas ó Defensor do Pobo ou ó Tribunal de Contas.

e) Cando a cesión se produza entre administracións públicas e teña por obxecto o tratamento posterior dos datos con fins históricos, estatísticos ou científicos.

f) Cando a cesión de datos de carácter persoal relativos á saúde sexa necesaria para solucionar unha urxencia que requira acceder a un ficheiro ou para realiza-los estudios epidemiolóxicos nos termos establecidos na lexislación sobre sanidade estatal ou autonómica.

3. Será nulo o consentimento para a comunicación dos datos de carácter persoal a un terceiro, cando a información que se lle facilite ó interesado non lle permita coñece-la finalidade a que destinarán os datos dos que se autoriza a súa comunicación ou o tipo de actividade daquel a quen se lle pretenden comunicar.

4. O consentimento para a comunicación dos datos de carácter persoal ten tamén un carácter revogable.

5. Aquel a quen se lle comuniquen os datos de carácter persoal obrígase, polo só feito da súa comunicación, á observancia das disposicións desta lei.

6. Se a comunicación se efectúa logo de procedemento de disociación, non será aplicable o establecido nos números anteriores.

Artigo 12 Acceso ós datos por conta de terceiros

1. Non se considerará comunicación de datos o acceso dun terceiro ós datos cando dito acceso sexa necesario para a prestación dun servicio ó responsable do tratamento.

2. A realización de tratamentos por conta de terceiros deberá estar regulada nun contrato que deberá constar por escrito ou nalgunha outra forma que permita acreditar-la súa celebración e contido, establecéndose expresamente que o encargado do tratamento únicamente tratará os datos conforme ás instruccións do responsable do tratamento, que non os aplicará ou utilizará cun fin distinto ó que figure no dito contrato, nin llelos comunicará, nin sequera para a súa conservación, a outras persoas.

No contrato estipularanse, así mesmo, as medidas de seguridade a que se refire o artigo 9 desta lei que o encargado do tratamento está obligado a implementar.

3. Unha vez cumprida a prestación contractual, os datos de carácter persoal deberán ser destruídos ou devolvidos ó responsable do tratamento, ó igual que calquera soporte ou documento en que conste algún dato de carácter persoal obxecto do tratamento.

4. No caso de que o encargado do tratamento destina-los datos a outra finalidade, comunicalos ou utilizalos incumprindo as estipulacións do contrato, será considerado tamén responsable do tratamento, respondendo das infraccións en que incorrese persoalmente.

TÍTULO III: Dereitos das persoas

Artigo 13 Impugnación de valoracións

1. Os cidadáns teñen dereito a non se veren sometidos a unha decisión con efectos xurídicos, sobre eles ou que os afecte de maneira significativa, que se basee únicamente nun tratamento de datos destinados a avaliar determinados aspectos da súa personalidade.

2. O afectado poderá impugna-los actos administrativos ou as decisións privadas que impliquen unha valoración do seu comportamento, e que teñan como único fundamento un tratamento de datos de carácter persoal que ofreza unha definición das súas características ou personalidade.

3. Neste caso, o afectado terá dereito a obter información do responsable do ficheiro sobre os criterios de valoración e o programa utilizados no tratamento que serviu para adopta-la decisión en que consistiu o acto.

4. A valoración sobre o comportamento dos cidadáns, baseada nun tratamento de datos, únicamente poderá ter valor probatorio por petición do afectado.

Artigo 14 Dereito de consulta ó Rexistro Xeral de Protección de Datos

Calquera persoa poderá coñecer, recadando para tal fin a información oportuna do Rexistro Xeral de Protección de Datos, a existencia de tratamentos de datos de carácter persoal, as súas finalidades e a identidade do responsable do tratamento. O Rexistro Xeral será de consulta pública e gratuíta.

Artigo 15 Dereito de acceso

1. O interesado terá dereito a solicitar e obter gratuitamente información dos seus datos de carácter persoal sometidos a tratamento, a orixe destes datos, así como as comunicacións realizadas ou que se prevén facer deles.

2. A información poderase obter mediante a simple consulta dos datos por medio da súa visualización, ou a indicación dos datos que son obxecto de tratamento mediante escrito, copia, telecopia ou fotocopia, certificada ou non, en forma lexible e intelexible, sen utilizar claves ou códigos que requiran o uso de dispositivos mecánicos específicos.

3. O dereito de acceso a que se refire este artigo só poderá ser exercido a intervalos non inferiores a doce meses, agás que o interesado acredite un interese lexítimo para o efecto, caso no cal o poderán exercer antes.

Artigo 16 Dereito de rectificación e cancelación

1. O responsable do tratamento terá a obriga de facer efectivo o dereito de rectificación ou cancelación do interesado no prazo de dez días.

2. Serán rectificados ou cancelados, se é o caso, os datos de carácter persoal que posúan un tratamento que non se axuste ó disposto nesta lei e, en particular, cando tales datos resulten inexactos ou incompletos.

3. A cancelación dará lugar ó bloqueo dos datos, conservándose únicamente á disposición das administrcións públicas, xuíces e tribunais, para a atención das posibles responsabilidades nacidas do tratamento, durante o prazo de prescripción destas. Cumprido o citado prazo deberá procederse á supresión.

4. Se os datos rectificados ou cancelados fosen comunicados previamente, o responsable do tratamento deberalle notifica-la rectificación ou cancelación efectuada a quen se lle comunicasen, no caso de se mente-lo tratamento por este último, que deberá tamén proceder á cancelación.

5. Os datos de carácter persoal deberán ser conservados durante os prazos previstos nas disposicións aplicables ou, se é o caso, nas relacións contractuais entre a persoa ou entidade responsable do tratamento e o interesado.

Artigo 17 Procedemento de oposición, acceso, rectificación ou cancelación

1. Os procedementos para exerce-lo dereito de oposición, acceso, así como os de rectificación e cancelación serán establecidos regulamentariamente.

2. Non se esixirá ningunha contraprestación polo exercicio dos dereitos de oposición, acceso, rectificación ou cancelación.

Artigo 18 Tutela dos dereitos

1. As actuacións contrarias ó disposto nesta lei poden ser obxecto de reclamación polos interesados ante a Axencia de Protección de Datos, na forma que regulamentariamente se determine.

2. O interesado ó que se lle denegue, total ou parcialmente, o exercicio dos dereitos de oposición, acceso, rectificación ou cancelación, poderao poñer en coñecemento da Axencia de Protección de Datos ou, se é o caso, do organismo competente de cada Comunidade Autónoma, que se deberá asegurar da procedencia ou improcedencia da denegación.

3. O prazo máximo en que se debe dicta-la resolución expresa de tutela de dereitos será de seis meses.

4. Contra as resolucións da Axencia de Protección de Datos procederá recurso contencioso-administrativo.

Artigo 19 Dereito a indemnización

1. Os interesados que, como consecuencia do incumprimento do disposto nesta lei polo responsable ou o encargado do tratamento, sufran dano ou lesión nos seus bens ou dereitos terán dereito a ser indemnizados.

2. Cando se trate de ficheiros de titularidade pública, a responsabilidade esixirase de acordo coa lexislación reguladora do réxime de responsabilidade das administracións públicas.

3. Nos casos dos ficheiros de titularidade privada, a acción exercerase perante os órganos da xurisdicción ordinaria.

TÍTULO IV: Disposicións sectoriais

CAPÍTULO I: Ficheiros de titularidade pública

Artigo 20 Creación, modificación ou supresión

1. A creación, modificación ou supresión dos ficheiros das administracións públicas só se poderán facer por medio de disposición xeral publicada no «Boletín Oficial del Estado» ou no diario oficial correspondente.

2. As disposicións de creación ou de modificación de ficheiros deberán indicar:

a) A finalidade do ficheiro e os usos previstos para el.

b) As persoas ou colectivos sobre os que se pretenda obter datos de carácter persoal ou que resulten obrigados a suministralos.

c) O procedemento de recollida dos datos de carácter persoal.

d) A estructura básica do ficheiro e a descrición dos tipos de datos de carácter persoal incluídos nel.

e) As cesión de datos de carácter persoal e, se é o caso, as transferencias de datos que se prevexan a países terceiros.

f) Os órganos das administracións responsables do ficheiro.

g) Os servicios ou unidades ante os que puidesen exerce-los dereitos de acceso, rectificación, cancelación e oposición.

h) As medidas de seguridade con indicación do nivel básico, medio ou alto esixible.

3. Nas disposicións que se dicten para a supresión dos ficheiros, establecerase o seu destino ou, se é o caso, as previsión que se adopten para a súa destrucción.

Artigo 21 Comunicación de datos entre administracións públicas

1. Os datos de carácter persoal recollidos ou elaborados polas admnistracións públicas para o desempeño das súas atribucións non lles serán comunicados a outras administracións públicas para o exercicio de competencias diferentes ou de competencias que versen sobre materias distintas, agás cando a comunicación for prevista polas disposicións de creación do ficheiro ou por disposición de superior rango que regule o seu uso, ou cando a comunicación teña por obxecto o tratamento posterior con fins históricos, estatísticos ou científicos.

2. Poderán, en todo caso, ser obxecto de comunicación os datos de carácter persoal que unha administración pública obteña ou elabore con destino a outra.

3. Malia o establecido no artigo 11.2.b), a comunicación de datos recollidos de fontes accesibles ó público non poderá efectuarse a ficheiros de titularidade privada, senón co consentimento do interesado ou cando unha lei prevexa outra cousa.

4. Nos supostos previstos nos números 1 e 2 do presente artigo non será necesario o consentimento do interesado a que se refire o artigo 11 desta lei.

Artigo 22 Ficheiros das forzas e corpos de seguridade

1. Os ficheiros creados polas forzas e corpos de seguridade que conteñan datos de carácter persoal que, por se recolleren para fins administrativos, deban ser obxecto de rexistro permanente estarán suxeitos ó réxime xeral desta lei.

2. A recollida e tratamento para fins policiais de datos de carácter persoal polas forzas e corpos de seguridade e sen consentimento das persoas afectadas están limitados a aqueles supostos e categorías de datos que resulten necesarios para a prevención dun perigo real para a seguridade pública ou para a represión de infraccións penais, debendo ser almacenados en ficheiros específicos establecidos para o efecto, que deberán clasificarse por categorias en función do seu grao de fiabilidade.

3. A recollida e tratamento por parte das forzas e corpos de seguridade dos datos, a que fan referencia os números 2 e 3 do artigo 7, poderán realizarse exclusivamente nos supostos en que sexa absolutamente necesario para os fins dunha investigación concreta, sen prexuízo do control de legalidade da actuación administrativa ou da obriga de resolve-las pretensións formuladas, se é o caso, polos interesados, que corresponden ós órganos xurisdiccionais.

4. Os datos persoais rexistrados con fins policiais cancelaranse cando non sexan necesarios para as pescudas que motivaron o seu almacenamento.

Para estes efectos, considerarase especialmente a idade do afectado e o carácter dos datos almacenados, a necesidade de mante-los datos ata a conclusión dunha investigación ou procedemento concreto, a resolución xudicial firme, en especial a absolutoria, o indulto, a rehabilitación e a prescripción de responsabilidade.

Artigo 23 Excepcións ós dereitos de acceso, rectificación e cancelación

1. Os responsables dos ficheiros que conteñan os datos a que se refiren os números 2, 3 e 4 do artigo anterior poderán denega-lo acceso, a rectificación ou cancelación en función dos perigos que se puidesen derivar para a defensa do Estado ou a seguridade pública, a protección dos dereitos e liberdades de terceiros ou as necesidades das investigacións que se estean a realizar.

2. Os responsables dos ficheiros da Facenda Pública poderán, igualmente, denega-lo exercicio dos dereitos a que se refire o número anterior cando este obstaculice as actuacións administrativas tendentes a asegura-lo cumprimento das obrigas tributarias e, en todo caso, cando o afectado estea sendo obxecto de actuacións inspectoras.

3. O afectado ó que se lle denegue, total ou parcialmente, o exercicio dos dereitos mencionados nos números anteriores poderao por en coñecemento do director da Axencia de Protección de Datos ou do órgano competente de cada Comunidade Autónoma no caso de ficheiros mantidos por corpos de policía propios desta, ou polas administracións tributarias autonómicas, os cales se deberán asegurar da procedencia ou improcedencia da denegación.

Artigo 24 Outras excepcións ós dereitos dos afectados

1. O disposto nos números 1 e 2 do artigo 5 non será aplicable á recollida de datos cando a información ó afectado impida ou dificulte gravemente o cumprimento das funcións de control e verificación das administracións públicas ou cando afecte a defensa nacional, a seguridade pública ou a persecución de infraccións penais ou administrativas.

2. O disposto no artigo 15 e no número 1 do artigo 16 non será de aplicación se, ponderados os intereses en presencia, resultase que os dereitos que os devanditos preceptos lle conceden ó afectado tivesen que ceder ante razóns de interese público ou ante intereses de terceiros máis dignos de protección. Se o órgano administrativo responsable do ficheiro invocase o disposto neste número, disctará resolución motivada e instruirá ó afectado do dereito que o asiste a poñe-la negativa en coñecemento do director da Axencia de Protección de Datos ou, se é o caso, do órgano equivalente das comunidades autónomas.

CAPÍTULO II: Ficheiros de titularidade privada

Artigo 25 Creación

Poderán crearse ficheiros de titularidade privada que conteñan datos de carácter persoal cando resulte necesario para o logro da actividade ou obxecto lexítimos da persoa, empresa ou entidade titular e se respecten as garantías que esta lei establece para a protección das persoas.

Artigo 26 Notificación e inscripción rexistral

1. Toda persoa ou entidade que proceda á creación de ficheiros de datos de carácter persoal notificarallo previamente á Axencia de Protección de Datos.

2. Por vía regulamentaria procederase á regulación detallada dos distintos extremos que debe conte-la notificación, entre os cales figurarán necesariamente o responsable do ficheiro, a súa finalidade, a súa localización, o tipo de datos de carácter persoal que contén, as medidas de seguridade, con indicación de nivel básico, medio ou alto esixible e as cesión de datos de carácter persoal que se prevexan realizar e, se é o caso, as transferencias de datos que se prevexan a países terceiros.

3. Deberánselle comunicar á Axencia de Protección de Datos os cambios que se produzan na finalidade do ficheiro automatizado, no seu responsable e na dirección da súa localización.

4. O Rexistro Xeral de Protección de Datos inscribirá o ficheiro se a notificación se axusta ós requisitos esixibles.

En caso contrario poderá pedir que se completen os datos que falten ou que se proceda á súa enmenda.

5. Transcorrido un mes desde a presentación da solicitude de inscripción sen que a Axencia de Protección de Datos resolvese sobre ela, entenderase inscrito o ficheiro automatizado para tódolos efectos.

Artigo 27 Comunicación da cesión de datos

1. O responsable do ficheiro, no momento en que se efectúe a primeira cesión de datos, deberá informar diso ós afectados, indicando, así mesmo, a finalidade do ficheiro, a natureza dos datos que foron cedidos e o nome e enderezo do cesionario.

2. A obriga establecida no número anterior non existirá no suposto previsto nos números 2, alíneas c), d) e) e 6 do artigo 11, nin cando a cesión veña imposta por lei.

Artigo 28 Datos incluídos nas fontes de acceso público

1. Os datos persoais que figuren no censo promocional, ou as listas de persoas pertencentes a grupos de profesionais a que se refire o artigo 3, j) desta lei deberán limitarse ós que sexan estrictamente necesarios para cumpri-la finalidade a que se destina cada listaxe. A inclusión de datos adicionais polas entidades responsables do mantemento das ditas fontes requerirá o consentimento do interesado, que poderá ser revogado en calquera momento.

2. Os interesados terán dereito a que a entidade responsable do mantemento das listaxes dos colexios profesionais indique gratuitamente que os seus datos persoais non poden utilizarse para fins de publicidade ou propección comercial.

Os interesados terán dereito a esixir gratuitamente a exclusión da totalidade dos seus datos persoais que consten no censo promocional polas entidades encargadas do mantemento das citadas fontes.

A atención á solicitude de exclusión da información innecesaria ou inclusión da abxección ó uso dos datos para fins de publicidade ou venda a distancia deberase realizar no prazo de dez días respecto das informacións que se realicen mediante consulta ou comunicación telemática e na seguinte edición da listaxe calquera que sexa o soporte en que se edite.

3. As fontes de acceso público que se editen en forma de libro ou algún outro soporte físico perderán o carácter de fonte accesible coa nova edición que se publique.

No caso de que se obteña telemáticamente unha copia da lista en formato electrónico, esta perderá o carácter de fonte de acceso público no prazo dun ano, contando desde o momento da súa obtención.

4. Os datos que figuren nas guías de servicios de telecomunicación dispoñibles ó público rexeranse pola súa normativa específica.

Artigo 29 Prestación de servicios sobre solvencia patrimonial e crédito

1. Os que se dediquen á prestación de servicios sobre a solvencia patrimonial e o crédito só poderán tratar datos de carácter persoal obtidos dos rexistros e as fontes accesibles ó público establecidos para o efecto ou procedentes de informacións facilitadas polo interesado ou co seu consentimento.

2. Poderanse tratar tamén datos de carácter persoal relativos ó cumprimento ou incumprimento de obrigas pecuniarias facilitados polo acreedor ou por quen actúa pola súa conta ou interese. Nestes casos notificaráselles ós interesados respecto dos que rexistrasen datos de carácter persoal en ficheiros, no prazo de trinta días desde o dito rexistro, unha referencia dos que fosen incluídos e serán informados do seu dereito a recadaren información da totalidade deles, nos termos establecidos por este lei.

3. Nos supostos a que se refiren os dous números anteriores, cando o interesado o solicite, o responsable do tratamento comunicaralle os datos, así como as avaliacións e apreciacións que sobre el fosen comunicadas durante os últimos seis meses e o nome e enderezo da persoa ou entidade á que se lle revelasen os datos.

4. Só se poderán rexistrar e cede-los datos de carácter persoal que sexan determinantes para xulga-la solvencia económica dos interesados e que non se refiran, cando sexan adversos, a máis de seis anos, sempre que respondan con veracidade á situación actual daqueles.

Artigo 30 Tratamentos con fins de publicidade e de prospección comercial

1. Quen se dedique á recopilación de enderezos, reparto de documentos, publicidade, venta a distancia, prospección comercial e outras actividades análogas, utilizarán nomes e enderezos ou outros datos de carácter persoal cando estes figuren en fontes accesibles ó público ou cando fosen facilitados polos propios interesados ou obtidos co seu consentimento.

2. Cando os datos procedan de fontes accesibles ó público, de conformidade co establecido no parágrafo segundo do artigo 5.5 desta lei, en cada comunicación que se lle dirixa ó interesado informarase da orixe dos datos e da identidade do responsable do tratamento, así como dos dereitos que o asisten.

3. No exercicio do dereito de acceso os interesados terán dereito a coñece-la orixe dos seus datos de carácter persoal, así como da información a que se refire o artigo 15.

4. Os interesados terán dereito a se opoñer, logo de petición e sen gastos, ó tratamento dos datos que lles atinxan; neste caso serán dados de baixa do tratamento, cancelándose as informacións que sobre eles figuren naquel, pola súa simple solicitude.