Saltar ao contido

Lei Orgánica 15/1999, do 13 de decembro

En Galifontes, o Wikisource en galego.

Lei Orgánica 15/1999, do 13 de decembro, de protección de datos de carácter persoal. [1]

Juan Carlos I

Rei de España

Saiban tódolos que a viren e a entenderen que as Cortes Xerais aprobaron e eu sanciono a seguinte lei orgánica.

TÍTULO I: Disposicións Xerais

[editar]
Artigo 1 Obxecto

Esta lei orgánica ten por obxecto garantir e protexer, no que atinxe ó tratamento dos datos persoais, as liberdades públicase os dereitos fundamentais das persoas físicas, e especialmente os do seu honor e intimidade persoal e familiar.

Artigo 2 Ámbito de aplicación

1. Esta lei orgánica será de aplicacón ós datos de carácter persoal rexistrados en soporte físico, que os faga susceptibles de tratamento, e a toda modalidade de uso posterior destes datos polos sectores público e privado.

Rexerase por esta lei orgánica todo tratamento de datos de carácter persoal:

a) Cando o tratamento sexa efectuado en territorio español mo marco das actividades dun establecemento do responsable do tratamento.

b) Cando ó responsable do tratamento non establecido en territorio español lle sexa de aplicación a lexislación española en aplicación de normas de dereito internacional público.

c) Cando o responsable do tratamento non este establecido en territorio da Unión Europea e utilice no tratamento de datos medios situados en territorio español, agás que tales medios se utilicen únicamente como medio de tránsito.

2. O réxime de protección dos datos de carácter persoal que se establece nesta lei orgánica non será de aplicación:

a) Ós ficheiros mantidos por persoas físicas no exercicio de actividades exclusivamente persoais ou domésticas.

b) Ós ficheiros sometidos á normativa sobre protección de de materias clasificadas.

c) Ós ficheiros establecidos para a investigación do terrorismo e de formas graves de delincuencia organizada. Emporiso, nestes supostos o responsable do ficheiro comunicaralle previamente a súa existencia, as súas características xerais e a súa finalidade á Axencia de Protección de Datos.

3. Rexerase polas súas disposicións específicas, e polo especialmente previsto, se é o caso, por esta lei orgánica, os seguintes tratamentos de datos persoais:

a) Os ficheiros regulados pola lexislación de réxime electoral.

b) Os que sirvana fin exclusivamente estatísticos, e estean amparados pola lexislación estatal ou autonómica sobre a función estatística pública.

c) Os que teñan por obxeto o almacenamento dos datos contidos nos informes persoais de cualificación a que se refire a lexislación do réxime do persoal das Forzas Armadas.

d) Os derivados do Rexistro Civil e do Rexistro Central de Penados e Rebeldes.

e) Os procedentes de imaxes e sons obtidos mediante a utilización de videocámaras polas forzas e corpos de seguridade, de conformidade coa lexislación sobre a materia.

Artigo 3 Definicións

Para os efectos desta lei orgánica entenderase por:

a) Datos de Caracter Persoal: calquera información tocante as persoas físicas identificadas ou identificables.

b) Ficheiro: todo conxunto organizado de datos de carácter persoal, calquera que sexa a forma ou modalidade da súa creación, almacenamento, organización e acceso.

c) Tratamento de datos: operacións e procedementos técnicos de carácter automatizado ou non, que permitan a recollida, gravación, conservación, elaboración, modificación, bloqueo e cancelación, así como as cesións de datos que resulten de comunicacións, consultas, interconexións e transferencias.

d) Responsable do ficheiro ou tratamento: persoa física ou xurídica, de nature pública ou privada, ou órgano administrativo, que decida sobre a finalidade, contido e uso do tratamento.

e) Afectado ou interesado: persoa física titular dos datos que sexan obxecto do tratamento a que se refire a línea c) deste artigo.

f) Procedemento de disociación: todo tratamento de datos persoais de modo que a información que se obteña non poida asociarse a persoa identificada ou indentificable.

g) Encargado do tratamento: a persoa física ou xurídica, autoridade píblica, servicio ou calquera outro organismo que, só ou conxuntamente con outros, trate datos persoaispor conta do responsable do tratamento.

h) Consentimento do interesado: toda manifestación de vontade, libre, inequívoca, específica e informada, mediante a que o interesado consista o tratamento de datos persoais que lle atinxan.

i) Cesión ou comunicación de datos: toda revelación de datos realizada a unha persoa distinta do interesado.

j) Fontes accesibles ó público: aqueles ficheiros que poden ser consultados por calquera persoa, non impedida por unha norma limitativa ou sen máis esixencia que, se é o caso, o aboamento dunha contraprestación. Teñen a consideración de fontes de acceso público, exclusivamente, o censo promociaonal, os repertorios telefónicos nos termos previstos pola súa normativa específica e as lista de persoas pertencentes a grupos de profesionais que conteñan únicamente os datos de nome, título, profesión, actividade, grao académico, enderezo e indicación da súa pertenza ó grupo. Así mesmo, teñen o carácter de fontes de acceso público os diarios e boletíns oficiais e os medios de comunicación.

TÍTULO II: Principios da protección de datos

[editar]
Artigo 4 Calidade dos datos

1. Os datos de carácter persoal só se poderán recoller para o seu tratamento, así como someter ó dito tratamento, cando sexan adecuados, pertinentes e non excesivos en relación có ámbito e as finalidades determinadas, explícitas e lexítimas para as que se obtivesen.

2. Os datos de carácter persoal obxeto de tratamento non poderán usarse para finalidades incompatibles con aquelas para as que fosen recollidos. Non se considerará incompatible o tratamento posterior destes con fíns históricos, estatísticos ou científicos.

3. Os datos de carácter persoal serán exactos e postos ó día de forma que respondan con veracidade á situación actual do afectado.

4. Se os datos de carácter persoal rexistrados resultan inexactos, en todo ou en parte, ou incompletos, serán cancelados e substituídos de oficio polos correspondentes datos rectificados ou completados, sen prexuízo das facultades que ós afectados lles recoñece o artigo 16.

5. Os datos de carácter persoal serán cancelados cando deixen de ser necesarios ou pertinentes para a finalidade para a cal fosen recadados ou rexistrados.

Non serán conservados en forma que permita a identificación do interesado durante un período superior ó necesario para fins consonte ós cales foron recadados ou rexistrados.

6. Os datos de carácter persoal serán almacenados de forma que permitan o exercicio do dereito de acceso, agás que sexan legalmente cancelados.

7. Prohíbese a recollida de datos por medios fraudulentos, desleais ou ilícitos.

Artigo 5 Dereito de información na recollida de datos

1. Os interesados ós que se lle soliciten persoais deberán ser previamente informados de mode expreso, preciso e inequívoco:

a) Da existencia dun ficheiro ou tratamento de datos de carácter persoal, da finalidade da recollida destes e dos destinatarios da información.

b) Do carácter obrigatorio ou facultativo da súa resposta ás preguntas que lle sexan formuladas.

c) Das consecuencias da obtención dos datos ou da negativa a suministralos.

d) Da posibilidade de exerce-los dereitos de acceso, rectificación, cancelación e oposición.

e) Da identidade e dirección do responsable do tratamento ou, se é o caso, do seu representante.

Cando o responsable do tratamento non esta establecido no territorio da Unión Europea e utilice no tratamento de datos medios situados en territorio español, deberá designar, agás que tales medios se utilicen con fins de trámite, un representante en España, sen prexuízo das accións que se puidesen emprender contra o propio responsable do tratamento.

2. Cando se utilicen cuestionarios ou outros impresos para a recollida, figurarán neles, en forma claramente lexible, as advertencias a que se refire o número anterior.

3. Non será necesaria a información a que se refiren as alíneas b), c) e d) do número 1 se o contido dela se deduce claramente da natureza dos datos persoais que se solicitan ou das circunstancias en que se recadan.

4. Cando os datos de carácter persoal non fosen recadados do interesado, este deberá ser informado de forma expresa, precisa e inequívoca, polo responsable do ficheiro ou polo seu representante, dentro dos tres meses seguintes ó momento do rexistro dos datos, agás que xa fose informado con anterioridade, do contido do tratamento, da procedencia dos datos, así como previsto nas alíneas a), d) e e) do número 1 deste artigo.

5. Non será de aplicación o disposto no número anterior, cando expresamente unha lei o prevexa, cando o tratamento teña fins históricos, estatísticos ou científicos, ou cando a información ó interesado resulte imposible ou esixa esforzos desproporcionados, a criterio da Axencia de Protección de Datos ou do organismo autonómico equivalente, en consideración ó número de interesados, a antigüidade dos datos e ás posibles medidas compensatorias.

Así mesmo, tampouco rexerá o disposto no número anterior cando os datos procedan de fontes accesibles ó público e se destinen á actividade de publicidade ou prospección comercial; neste caso, en cada comunicación que se lle dirixa ó interesado será informado da orixe dos datos e da identidade do responsable tratamento así como dos dereitos que o asisten.

Artigo 6 Consentimento do afectado

1. O tratamento de datos de carácter persoal requerirá o consentimento inequívoco do afectado, agás que a lei dispoña outra cousa.

2. Non será preciso o consentimento cando os datos de carácter persoal se recollan para o exercicio das funcións propias das administracións públicas no ámbito das súas competencias; cando se refiran ás partes dun contrato ou precontrato dunha relación negocial, laboral ou administrativa e sexan necesarios para o seu mantemento ou cumprimento; cando o tratamento dos datos teña por finalidade protexer un interese vital do interesado nos termos do artigo 7, número 6, desta lei, ou cando os datos figuren en fontes accesibles ó público e o seu tratamento sexa necesario para a satisfacción do interese lexítimo perseguido polo responsable do ficheiro ou polo do terceiro ó que se lle comuniquen os datos, sempre que non se vulneren os dereitos e liberdades fundamentais do interesado.

3. O consentimento a que se refire o artigo poderá ser revogado cando exista causa xustificada para iso e non se lle atribúan efectos retroactivos.

4. Nos casos en que non sexa necesario o consentimento do afectado para o tratamento dos datos de carácter persoal, e sempre que unha lei non dispoña o contrario, este poderase opor ó seu tratamento cando existan motivos fundados e lexítimos relativos a unha concreta situación persoal. En tal suposto, o responsable do ficheiro excluirá do tratamento os datos relativos ó afectado.

Artigo 7 Datos especialmente protexidos

1. De acordo co establecido no número 2 do artigo 16 da Constitución, ninguén poderá ser obrigado a declarar sobre a súa ideoloxía, relixión ou crenzas.

Cando en relación con estes datos se proceda a procura-lo consentimento a que se refire o número seguinte, o interesado será advertido acerca do seu dereito a non o prestar.

2. Só co consentimento expreso e por escrito do afectado poderán ser obxecto de tratamento os datos de carácter persoal que revelen a ideoloxía, afiliación sindical, relixión e crenzas. Exceptúanse os ficheiros mantidos polos partidos políticos, sindicatos, igrexas, confesións ou comunidades relixiosas e asociacións, fundacións e outras entidades sen ánimo de lucro, a finalidade das cales sexa política, filosófica, relixiosa ou sindical, en canto ós datos relativos os seus asociados ou membros, sen prexuízo de que a cesión de ditos datos precisará sempre o previo consentimento do afectado.

3. Os datos de carácter persoal que fagan referencia á orixe racial, á saúde e á vida sexual só poderán ser recadados, tratados e cedidos cando, por razóns de interese xeral, así o dispoña unha lei ou o afectado o consinta expresamente.

4. Quedan prohibidos os ficheiros creados coa finalidade exclusiva de almacenar datos de carácter persoal que revelen a ideoloxía, afiliación sindical, relixión, crenzas, orixe racial ou étnica, ou vida sexual.

5. Os datos de carácter persoal relativos á comisión de infracción penais ou administrativas só poderán ser incluídos en ficheiros das administracións públicas competentes nos supostos previstos nas respectivas normas reguladoras.

6. Malia o disposto nos números anteriores, poderán ser obxecto de tratamento os datos de carácter persoal a que se refiren os números 2 e 3 deste artigo, cando o dito tratamento resulte necesario para a prevención ou para o diagnóstico médicos, a prestación de asistencia sanitaria ou tratamentos médicos ou a xestión de servicios sanitarios, sempre que o dito tratamento de datos sexa realizada por un profesional sanitario suxeito ó segredo profesional ou por outra persoa suxeita así mesmo a unha obriga equivalente de segredo.

Tamén poderán ser obxecto de tratamento os datos a que se refire o párrafo anterior cando o tratamento sexa necesario para salvagarda-lo interese vital do afectado ou doutra persoa, no suposto de que o afectado estea física ou xurídicamente incapacitado para da-lo seu consentimento.

Artigo 8 Datos relativos á saúde

Sen prexuízo do que dispón o artigo 11 respecto da cesión, as institucións e centros sanitarios públicos e privados e os profesionais correspondentes poderán proceder ó tratamento dos datos de carácter persoal relativos á saúde das persoas que acudan a eles ou teñan que ser tratados neles, de acordo co disposto na lexislación estatal ou autonómica sobre sanidade.

Artigo 9 Seguridade dos datos

1. O responsable do ficheiro, e, se é o caso, o encargado do tratamento deberán adopta-las medidas de índole técnica e organizativas necesarias que garantan a seguridade dos datos de carácter persoal e eviten a súa alteración, perda, tratamento ou acceso non autorizado, tendo en conta o estado da tecnoloxía, a natureza dos datos almacenados e os riscos a que están expostos, xa proveñan da acción humana ou do medio físico ou natural.

2. Non se rexistrarán datos de carácter persoal en ficheiros que non reunan as condicións que se determinen por vía regulamentaria con respecto a súa integridade e seguridade e ás dos centros de tratamento, locais, equipos, sistemas e programas.

3. Regulamentariamente, estableceranse os requisitos e condicións que deban reuni-los ficheiros e as persoas que interveñan no tratamento dos datos a que se refire o artigo 7 desta lei.

Artigo 10 Deber de segredo

O responsable do ficheiro e quen interveña en calquera fase do tratamento de datos de carácter persoal están obrigados ó segredo profesional respecto deles e ó deber de os gardar, obrigas que subsistirán mesmo despois de finalizaren as súas relacións co titular do ficheiro ou, se é o caso, co seu responsable.

Artigo 11 Comunicación de datos

1. Os datos de carácter persoal obxecto do tratamento só lle poderán ser comunicados a un terceiro para o cumprimento de fins directamente relacionados coas funcións lexítimas do cedente e do cesionario co previo consentimento do interesado.

2. O consentimento esixido no número anterior non será preciso:

a) Cando a cesión está autorizada nunha lei.

b) Cando se trate de datos recollidos de fontes accesibles ó público.

c) Cando o tratamento responga á libre e lexítima aceptación dunha relación xurídica cun desenvolvemento, cumprimento e control que implique necesariamente a conexión do dito tratamento con ficheiros de terceiros. Neste caso a comunicación só será lexítima en canto se limite á finalidade que a xustifique.

d) Cando a comunicación que deba efectuarse teña por destinatario o Defensor do Pobo, o Ministerio Fiscal ou os xuíces ou tribunais ou o Tribunal de Contas, no exercicio das funcións que ten atribuidas. Tampouco será preciso o consentimento cando a comunicación teña como destinatario institucións autonómicas con funcións análogas ó Defensor do Pobo ou ó Tribunal de Contas.

e) Cando a cesión se produza entre administracións públicas e teña por obxecto o tratamento posterior dos datos con fins históricos, estatísticos ou científicos.

f) Cando a cesión de datos de carácter persoal relativos á saúde sexa necesaria para solucionar unha urxencia que requira acceder a un ficheiro ou para realiza-los estudios epidemiolóxicos nos termos establecidos na lexislación sobre sanidade estatal ou autonómica.

3. Será nulo o consentimento para a comunicación dos datos de carácter persoal a un terceiro, cando a información que se lle facilite ó interesado non lle permita coñece-la finalidade a que destinarán os datos dos que se autoriza a súa comunicación ou o tipo de actividade daquel a quen se lle pretenden comunicar.

4. O consentimento para a comunicación dos datos de carácter persoal ten tamén un carácter revogable.

5. Aquel a quen se lle comuniquen os datos de carácter persoal obrígase, polo só feito da súa comunicación, á observancia das disposicións desta lei.

6. Se a comunicación se efectúa logo de procedemento de disociación, non será aplicable o establecido nos números anteriores.

Artigo 12 Acceso ós datos por conta de terceiros

1. Non se considerará comunicación de datos o acceso dun terceiro ós datos cando dito acceso sexa necesario para a prestación dun servicio ó responsable do tratamento.

2. A realización de tratamentos por conta de terceiros deberá estar regulada nun contrato que deberá constar por escrito ou nalgunha outra forma que permita acreditar-la súa celebración e contido, establecéndose expresamente que o encargado do tratamento únicamente tratará os datos conforme ás instruccións do responsable do tratamento, que non os aplicará ou utilizará cun fin distinto ó que figure no dito contrato, nin llelos comunicará, nin sequera para a súa conservación, a outras persoas.

No contrato estipularanse, así mesmo, as medidas de seguridade a que se refire o artigo 9 desta lei que o encargado do tratamento está obligado a implementar.

3. Unha vez cumprida a prestación contractual, os datos de carácter persoal deberán ser destruídos ou devolvidos ó responsable do tratamento, ó igual que calquera soporte ou documento en que conste algún dato de carácter persoal obxecto do tratamento.

4. No caso de que o encargado do tratamento destina-los datos a outra finalidade, comunicalos ou utilizalos incumprindo as estipulacións do contrato, será considerado tamén responsable do tratamento, respondendo das infraccións en que incorrese persoalmente.

TÍTULO III: Dereitos das persoas

[editar]
Artigo 13 Impugnación de valoracións

1. Os cidadáns teñen dereito a non se veren sometidos a unha decisión con efectos xurídicos, sobre eles ou que os afecte de maneira significativa, que se basee únicamente nun tratamento de datos destinados a avaliar determinados aspectos da súa personalidade.

2. O afectado poderá impugna-los actos administrativos ou as decisións privadas que impliquen unha valoración do seu comportamento, e que teñan como único fundamento un tratamento de datos de carácter persoal que ofreza unha definición das súas características ou personalidade.

3. Neste caso, o afectado terá dereito a obter información do responsable do ficheiro sobre os criterios de valoración e o programa utilizados no tratamento que serviu para adopta-la decisión en que consistiu o acto.

4. A valoración sobre o comportamento dos cidadáns, baseada nun tratamento de datos, únicamente poderá ter valor probatorio por petición do afectado.

Artigo 14 Dereito de consulta ó Rexistro Xeral de Protección de Datos

Calquera persoa poderá coñecer, recadando para tal fin a información oportuna do Rexistro Xeral de Protección de Datos, a existencia de tratamentos de datos de carácter persoal, as súas finalidades e a identidade do responsable do tratamento. O Rexistro Xeral será de consulta pública e gratuíta.

Artigo 15 Dereito de acceso

1. O interesado terá dereito a solicitar e obter gratuitamente información dos seus datos de carácter persoal sometidos a tratamento, a orixe destes datos, así como as comunicacións realizadas ou que se prevén facer deles.

2. A información poderase obter mediante a simple consulta dos datos por medio da súa visualización, ou a indicación dos datos que son obxecto de tratamento mediante escrito, copia, telecopia ou fotocopia, certificada ou non, en forma lexible e intelexible, sen utilizar claves ou códigos que requiran o uso de dispositivos mecánicos específicos.

3. O dereito de acceso a que se refire este artigo só poderá ser exercido a intervalos non inferiores a doce meses, agás que o interesado acredite un interese lexítimo para o efecto, caso no cal o poderán exercer antes.

Artigo 16 Dereito de rectificación e cancelación

1. O responsable do tratamento terá a obriga de facer efectivo o dereito de rectificación ou cancelación do interesado no prazo de dez días.

2. Serán rectificados ou cancelados, se é o caso, os datos de carácter persoal que posúan un tratamento que non se axuste ó disposto nesta lei e, en particular, cando tales datos resulten inexactos ou incompletos.

3. A cancelación dará lugar ó bloqueo dos datos, conservándose únicamente á disposición das administrcións públicas, xuíces e tribunais, para a atención das posibles responsabilidades nacidas do tratamento, durante o prazo de prescripción destas. Cumprido o citado prazo deberá procederse á supresión.

4. Se os datos rectificados ou cancelados fosen comunicados previamente, o responsable do tratamento deberalle notifica-la rectificación ou cancelación efectuada a quen se lle comunicasen, no caso de se mente-lo tratamento por este último, que deberá tamén proceder á cancelación.

5. Os datos de carácter persoal deberán ser conservados durante os prazos previstos nas disposicións aplicables ou, se é o caso, nas relacións contractuais entre a persoa ou entidade responsable do tratamento e o interesado.

Artigo 17 Procedemento de oposición, acceso, rectificación ou cancelación

1. Os procedementos para exerce-lo dereito de oposición, acceso, así como os de rectificación e cancelación serán establecidos regulamentariamente.

2. Non se esixirá ningunha contraprestación polo exercicio dos dereitos de oposición, acceso, rectificación ou cancelación.

Artigo 18 Tutela dos dereitos

1. As actuacións contrarias ó disposto nesta lei poden ser obxecto de reclamación polos interesados ante a Axencia de Protección de Datos, na forma que regulamentariamente se determine.

2. O interesado ó que se lle denegue, total ou parcialmente, o exercicio dos dereitos de oposición, acceso, rectificación ou cancelación, poderao poñer en coñecemento da Axencia de Protección de Datos ou, se é o caso, do organismo competente de cada Comunidade Autónoma, que se deberá asegurar da procedencia ou improcedencia da denegación.

3. O prazo máximo en que se debe dicta-la resolución expresa de tutela de dereitos será de seis meses.

4. Contra as resolucións da Axencia de Protección de Datos procederá recurso contencioso-administrativo.

Artigo 19 Dereito a indemnización

1. Os interesados que, como consecuencia do incumprimento do disposto nesta lei polo responsable ou o encargado do tratamento, sufran dano ou lesión nos seus bens ou dereitos terán dereito a ser indemnizados.

2. Cando se trate de ficheiros de titularidade pública, a responsabilidade esixirase de acordo coa lexislación reguladora do réxime de responsabilidade das administracións públicas.

3. Nos casos dos ficheiros de titularidade privada, a acción exercerase perante os órganos da xurisdicción ordinaria.

TÍTULO IV: Disposicións sectoriais

[editar]

CAPÍTULO I: Ficheiros de titularidade pública

[editar]
Artigo 20 Creación, modificación ou supresión

1. A creación, modificación ou supresión dos ficheiros das administracións públicas só se poderán facer por medio de disposición xeral publicada no «Boletín Oficial del Estado» ou no diario oficial correspondente.

2. As disposicións de creación ou de modificación de ficheiros deberán indicar:

a) A finalidade do ficheiro e os usos previstos para el.

b) As persoas ou colectivos sobre os que se pretenda obter datos de carácter persoal ou que resulten obrigados a suministralos.

c) O procedemento de recollida dos datos de carácter persoal.

d) A estructura básica do ficheiro e a descrición dos tipos de datos de carácter persoal incluídos nel.

e) As cesión de datos de carácter persoal e, se é o caso, as transferencias de datos que se prevexan a países terceiros.

f) Os órganos das administracións responsables do ficheiro.

g) Os servicios ou unidades ante os que puidesen exerce-los dereitos de acceso, rectificación, cancelación e oposición.

h) As medidas de seguridade con indicación do nivel básico, medio ou alto esixible.

3. Nas disposicións que se dicten para a supresión dos ficheiros, establecerase o seu destino ou, se é o caso, as previsión que se adopten para a súa destrucción.

Artigo 21 Comunicación de datos entre administracións públicas

1. Os datos de carácter persoal recollidos ou elaborados polas admnistracións públicas para o desempeño das súas atribucións non lles serán comunicados a outras administracións públicas para o exercicio de competencias diferentes ou de competencias que versen sobre materias distintas, agás cando a comunicación for prevista polas disposicións de creación do ficheiro ou por disposición de superior rango que regule o seu uso, ou cando a comunicación teña por obxecto o tratamento posterior con fins históricos, estatísticos ou científicos. [2]

2. Poderán, en todo caso, ser obxecto de comunicación os datos de carácter persoal que unha administración pública obteña ou elabore con destino a outra.

3. Malia o establecido no artigo 11.2.b), a comunicación de datos recollidos de fontes accesibles ó público non poderá efectuarse a ficheiros de titularidade privada, senón co consentimento do interesado ou cando unha lei prevexa outra cousa.

4. Nos supostos previstos nos números 1 e 2 do presente artigo non será necesario o consentimento do interesado a que se refire o artigo 11 desta lei.

Artigo 22 Ficheiros das forzas e corpos de seguridade

1. Os ficheiros creados polas forzas e corpos de seguridade que conteñan datos de carácter persoal que, por se recolleren para fins administrativos, deban ser obxecto de rexistro permanente estarán suxeitos ó réxime xeral desta lei.

2. A recollida e tratamento para fins policiais de datos de carácter persoal polas forzas e corpos de seguridade e sen consentimento das persoas afectadas están limitados a aqueles supostos e categorías de datos que resulten necesarios para a prevención dun perigo real para a seguridade pública ou para a represión de infraccións penais, debendo ser almacenados en ficheiros específicos establecidos para o efecto, que deberán clasificarse por categorias en función do seu grao de fiabilidade.

3. A recollida e tratamento por parte das forzas e corpos de seguridade dos datos, a que fan referencia os números 2 e 3 do artigo 7, poderán realizarse exclusivamente nos supostos en que sexa absolutamente necesario para os fins dunha investigación concreta, sen prexuízo do control de legalidade da actuación administrativa ou da obriga de resolve-las pretensións formuladas, se é o caso, polos interesados, que corresponden ós órganos xurisdiccionais.

4. Os datos persoais rexistrados con fins policiais cancelaranse cando non sexan necesarios para as pescudas que motivaron o seu almacenamento.

Para estes efectos, considerarase especialmente a idade do afectado e o carácter dos datos almacenados, a necesidade de mante-los datos ata a conclusión dunha investigación ou procedemento concreto, a resolución xudicial firme, en especial a absolutoria, o indulto, a rehabilitación e a prescripción de responsabilidade.

Artigo 23 Excepcións ós dereitos de acceso, rectificación e cancelación

1. Os responsables dos ficheiros que conteñan os datos a que se refiren os números 2, 3 e 4 do artigo anterior poderán denega-lo acceso, a rectificación ou cancelación en función dos perigos que se puidesen derivar para a defensa do Estado ou a seguridade pública, a protección dos dereitos e liberdades de terceiros ou as necesidades das investigacións que se estean a realizar.

2. Os responsables dos ficheiros da Facenda Pública poderán, igualmente, denega-lo exercicio dos dereitos a que se refire o número anterior cando este obstaculice as actuacións administrativas tendentes a asegura-lo cumprimento das obrigas tributarias e, en todo caso, cando o afectado estea sendo obxecto de actuacións inspectoras.

3. O afectado ó que se lle denegue, total ou parcialmente, o exercicio dos dereitos mencionados nos números anteriores poderao por en coñecemento do director da Axencia de Protección de Datos ou do órgano competente de cada Comunidade Autónoma no caso de ficheiros mantidos por corpos de policía propios desta, ou polas administracións tributarias autonómicas, os cales se deberán asegurar da procedencia ou improcedencia da denegación.

Artigo 24 Outras excepcións ós dereitos dos afectados

1. O disposto nos números 1 e 2 do artigo 5 non será aplicable á recollida de datos cando a información ó afectado impida ou dificulte gravemente o cumprimento das funcións de control e verificación das administracións públicas ou cando afecte a defensa nacional, a seguridade pública ou a persecución de infraccións penais ou administrativas. [3]

2. O disposto no artigo 15 e no número 1 do artigo 16 non será de aplicación se, ponderados os intereses en presencia, resultase que os dereitos que os devanditos preceptos lle conceden ó afectado tivesen que ceder ante razóns de interese público ou ante intereses de terceiros máis dignos de protección. Se o órgano administrativo responsable do ficheiro invocase o disposto neste número, dictará resolución motivada e instruirá ó afectado do dereito que o asiste a poñe-la negativa en coñecemento do director da Axencia de Protección de Datos ou, se é o caso, do órgano equivalente das comunidades autónomas. [4]

CAPÍTULO II: Ficheiros de titularidade privada

[editar]
Artigo 25 Creación

Poderán crearse ficheiros de titularidade privada que conteñan datos de carácter persoal cando resulte necesario para o logro da actividade ou obxecto lexítimos da persoa, empresa ou entidade titular e se respecten as garantías que esta lei establece para a protección das persoas.

Artigo 26 Notificación e inscripción rexistral

1. Toda persoa ou entidade que proceda á creación de ficheiros de datos de carácter persoal notificarallo previamente á Axencia de Protección de Datos.

2. Por vía regulamentaria procederase á regulación detallada dos distintos extremos que debe conte-la notificación, entre os cales figurarán necesariamente o responsable do ficheiro, a súa finalidade, a súa localización, o tipo de datos de carácter persoal que contén, as medidas de seguridade, con indicación de nivel básico, medio ou alto esixible e as cesión de datos de carácter persoal que se prevexan realizar e, se é o caso, as transferencias de datos que se prevexan a países terceiros.

3. Deberánselle comunicar á Axencia de Protección de Datos os cambios que se produzan na finalidade do ficheiro automatizado, no seu responsable e na dirección da súa localización.

4. O Rexistro Xeral de Protección de Datos inscribirá o ficheiro se a notificación se axusta ós requisitos esixibles.

En caso contrario poderá pedir que se completen os datos que falten ou que se proceda á súa enmenda.

5. Transcorrido un mes desde a presentación da solicitude de inscripción sen que a Axencia de Protección de Datos resolvese sobre ela, entenderase inscrito o ficheiro automatizado para tódolos efectos.

Artigo 27 Comunicación da cesión de datos

1. O responsable do ficheiro, no momento en que se efectúe a primeira cesión de datos, deberá informar diso ós afectados, indicando, así mesmo, a finalidade do ficheiro, a natureza dos datos que foron cedidos e o nome e enderezo do cesionario.

2. A obriga establecida no número anterior non existirá no suposto previsto nos números 2, alíneas c), d) e) e 6 do artigo 11, nin cando a cesión veña imposta por lei.

Artigo 28 Datos incluídos nas fontes de acceso público

1. Os datos persoais que figuren no censo promocional, ou as listas de persoas pertencentes a grupos de profesionais a que se refire o artigo 3, j) desta lei deberán limitarse ós que sexan estrictamente necesarios para cumpri-la finalidade a que se destina cada listaxe. A inclusión de datos adicionais polas entidades responsables do mantemento das ditas fontes requerirá o consentimento do interesado, que poderá ser revogado en calquera momento.

2. Os interesados terán dereito a que a entidade responsable do mantemento das listaxes dos colexios profesionais indique gratuitamente que os seus datos persoais non poden utilizarse para fins de publicidade ou propección comercial.

Os interesados terán dereito a esixir gratuitamente a exclusión da totalidade dos seus datos persoais que consten no censo promocional polas entidades encargadas do mantemento das citadas fontes.

A atención á solicitude de exclusión da información innecesaria ou inclusión da abxección ó uso dos datos para fins de publicidade ou venda a distancia deberase realizar no prazo de dez días respecto das informacións que se realicen mediante consulta ou comunicación telemática e na seguinte edición da listaxe calquera que sexa o soporte en que se edite.

3. As fontes de acceso público que se editen en forma de libro ou algún outro soporte físico perderán o carácter de fonte accesible coa nova edición que se publique.

No caso de que se obteña telemáticamente unha copia da lista en formato electrónico, esta perderá o carácter de fonte de acceso público no prazo dun ano, contando desde o momento da súa obtención.

4. Os datos que figuren nas guías de servicios de telecomunicación dispoñibles ó público rexeranse pola súa normativa específica.

Artigo 29 Prestación de servicios sobre solvencia patrimonial e crédito

1. Os que se dediquen á prestación de servicios sobre a solvencia patrimonial e o crédito só poderán tratar datos de carácter persoal obtidos dos rexistros e as fontes accesibles ó público establecidos para o efecto ou procedentes de informacións facilitadas polo interesado ou co seu consentimento.

2. Poderanse tratar tamén datos de carácter persoal relativos ó cumprimento ou incumprimento de obrigas pecuniarias facilitados polo acreedor ou por quen actúa pola súa conta ou interese. Nestes casos notificaráselles ós interesados respecto dos que rexistrasen datos de carácter persoal en ficheiros, no prazo de trinta días desde o dito rexistro, unha referencia dos que fosen incluídos e serán informados do seu dereito a recadaren información da totalidade deles, nos termos establecidos por este lei.

3. Nos supostos a que se refiren os dous números anteriores, cando o interesado o solicite, o responsable do tratamento comunicaralle os datos, así como as avaliacións e apreciacións que sobre el fosen comunicadas durante os últimos seis meses e o nome e enderezo da persoa ou entidade á que se lle revelasen os datos.

4. Só se poderán rexistrar e cede-los datos de carácter persoal que sexan determinantes para xulga-la solvencia económica dos interesados e que non se refiran, cando sexan adversos, a máis de seis anos, sempre que respondan con veracidade á situación actual daqueles.

Artigo 30 Tratamentos con fins de publicidade e de prospección comercial

1. Quen se dedique á recompilación de enderezos, reparto de documentos, publicidade, venda a distancia, prospección comercial e outras actividades análogas, utilizarán nomes e enderezos ou outros datos de carácter persoal cando estes figuren en fontes accesibles ó público ou cando fosen facilitados polos propios interesados ou obtidos co seu consentimento.

2. Cando os datos procedan de fontes accesibles ó público, de conformidade co establecido no parágrafo segundo do artigo 5.5 desta lei, en cada comunicación que se lle dirixa ó interesado informarase da orixe dos datos e da identidade do responsable do tratamento, así como dos dereitos que o asisten.

3. No exercicio do dereito de acceso os interesados terán dereito a coñece-la orixe dos seus datos de carácter persoal, así como da información a que se refire o artigo 15.

4. Os interesados terán dereito a se opoñer, logo de petición e sen gastos, ó tratamento dos datos que lles atinxan; neste caso serán dados de baixa do tratamento, cancelándose as informacións que sobre eles figuren naquel, pola súa simple solicitude.

Artigo 31 Censo promocional

1. Quen pretenda realizar permanente ou esporádicamente a actividade de recompilación de enderezos, reparto de documentos, publicidade, venda a distancia, prospección comercial ou outras actividades análogas, poderán solicitar do Instituto Nacional de Estatística ou dos órganos equivalentes das comunidades autónomas unha copia do censo promocional, formatado cos datos de nome, apelidos e domicilio que constan no censo electoral.

2. O uso de cada lista de censo promocional terá un prazo de vixencia dun ano. Transcorrido o prazo citado, a lista perderá o seu carácter de fonte de acceso público.

3. Os procedementos mediante os que os interesados poderán solicitar non apareceren no censo promocional fixaranse regulamentariamente. Entre estes procedementos, que serán gratuitos para os interesados, incluirase o documento de empadroamento. Trimestralmente, editarase unha lista actualizada do censo promocional, excluíndo os nomes e domicilios dos que así o solicitasen.

4. Poderase esixir unha contraprestación por facilita-la lista en soporte informático.

Artigo 32 Códigos tipo

1. Mediante acordos sectoriais, convenios admnistrativos ou decisións de empresa, os responsables de tratamentos de titularidade pública e privada, así como as organizacións en que se agrupen, poderán formular códigos tipo que establezan as condicións de organización, réxime de funcionamento, procedementos aplicables, normas de seguridade do contorno, programas ou equipos, obrigas dos implicados no tratamento e uso da información profesional, así como as garantías, no seu ámbito, para para o exercicio dos dereitos das persoas con pleno respecto ós principios e disposicións desta lei e as súas normas de desenvolvemento.

2. Os citados códigos poderán conter ou non regras operacionais detalladas de cada sistema particular e estándares técnicos de aplicación.

No suposto de que tales regras ou estándares non se incorporen directamente ó código, as instrucción ou ordes que os establecesen deberán respecta-los principios fixados naquel.

3. Os códigos tipo terán o carácter de códigos deontolóxicos ou de boa práctica profesional, e deberán ser depositados ou inscritos no Rexistro Xeral de Protección de Datos e, cando corresponda, nos creados para estes efectos polas comunidades autónomas, de acordo co artigo 41. O Rexistro Xeral de Protección de Datos poderá denega-la inscripción cando considere que non se axusta ás disposicións legais e regulamentarias sobre a materia; neste caso, o director da Axencia de Protección de Datos deberá requeri-los solicitantes para efectuaren as correccións oportunas.

TÍTULO V: Movemento internacional de datos

[editar]
Artigo 33 Norma xeral

1. Non poderán realizarse transferencias temporais nin definitivas de datos de carácter persoal que fosen obxecto de tratamento ou fosen recollidos para sometelos ó dito tratamento con destino a países que non proporcionen un nivel de protección equiparable ó que presta esta lei, agás que, ademáis de se ter observado o disposto nesta, se obteña autorización previa do director da Axencia de Protección de Datos, que só a poderá outorgar se se obteñen garantías adecuadas.

2. O carácter adecuado do nivel do nivel de protección que ofrece o país de destino será avaliado pola Axencia de Protección de Datos atendendo a tódalas circunstancias que concorran na transferencia ou categoría de transferencias de datos. En particular, tomarase en consideración a natureza dos datos, a finalidade e a duración do tratamento ou dos tratamentos previstos, o país de orixe e o país de destino final, as normas de dereito, xerais ou sectoriais, vixentes no país terceiro de que se trate, o contido dos informes da Comisión da Unión Europea, así como as normas profesionais e as medidas de seguridade en vigor nos ditos países.

Artigo 34 Excepcións

O disposto no artigo anterior non será de aplicación:

a) Cando a transferencia internacional de datos de carácter persoal resulte da aplicación de tratados ou convenios nos que sexa parte España.

b) Canda a transferencia se faga para efectos de prestar ou solicitar auxilio xudicial internacional.

c) Cando a transferencia sexa necesaria para a prevención ou para o diagnóstico médico, a prestación de asistencia sanitaria ou tratamentos médicos ou a xestión de servicios sanitarios.

d) Cando se refira a transferencias pecuniarias conforme a súa lexislación específica.

e) Cando o afectado lle dese o seu consentimento inequívoco á tranferencia prevista.

f) Cando a transferencia sexa necesaria para a execución dun contrato entre o afectado e o responsable do ficheiro ou para a adopción de medidas precontractuais adoptadas por petición do afectado.

g) Cando a tranferencia sexa necesaria para a celebración ou execución dun contrato celebrado ou por celebrar, en interese do afectado, polo responsable do ficheiro e un terceiro.

h) Cando a transferencia sexa necesaria ou legalmente esixida para a salvagarda dun interese público, terá esta consideración a tranferencia solicitada por unha Administración fiscal ou alfandegueira para o cumprimento das súas competencias.

i) Cando a transferencia sexa precisa para o recoñecemento, exercicio ou defensa dun dereito nun proceso xudicial.

j) Cando a transferencia se efectúe, por petición de persoa con interese lexítimo, desde un rexistro público e aquela sexa acorde ca súa finalidade.

k) Cando a transferencia teña como destino un estado membro da Unión Europea, ou un estado respecto do cal a Comisión das Comunidades Europeas, no exercicio das súas competencias, declarase que garante un nivel de protección adecuado.

TÍTULO VI: Axencia de Protección de Datos

[editar]
Artigo 35 Natureza e réxime xurídico

1. A Axencia de Protección de Datos é un ente de dereito público, con personalidade xurídica propia e plena capacidade pública e privada, que actúa con plena independencia das administracións públicas no exercicio das súas funcións. Rexerase polo disposto nesta lei e nun estatuto propio, que será aprobado polo goberno.

2. No exercicio das súas funcións públicas, e en defecto do que dispoña esta lei e as súas disposicións de desenvolvemento, a Axencia de Protección de Datos actuará de conformidade ca Lei 30/1992, do 26 de novembro, de réxime xurídico das administracións públicas e do procedemento administrativo común. Nas súas adquisicións patrimoniais e contratación estará suxeita ó dereito privado.

3. Os postos de traballo dos órganos e servicios que integren a Axencia de Protección de Datos serán desempeñados por funcionarios das administracións públicas e por persoal contratado para o efecto, segundo a natureza das funcións asignadas a cada posto de traballo. Este persoal está obrigado a gardar segredo dos datos de carácter persoal que coñeza por mor do desenvolvemento da súa función.

4. A Axencia de Protección de Datos contará, para o cumprimento dos seus fins, cos seguintes bens e medios económicos:

a) As asignacións que se establezan anualmente con cargo ós orzamentos xerais do Estado.

b) Os bens e valores que constitúan o seu patrimonio, así como os seus protuctos e rendas.

c) Calquera outro que legalmente poida serlle atribuido.

5. A Axencia de Protección de Datos elaborará e aprobará con carácter anual o correspondente anteproxecto de orzamento e remitirallo ó Goberno para que sexa integrado, coa debida independencia, nos orzamentos xerais do Estado.

Artigo 36 O director

1. O director da Axencia de Protección de Datos dirixe a axencia e ten a súa representación. Será nomeado, de entre os que compoñen o Consello Consultivo, mediante real decreto, por un período de catro anos.

2. Exercerá as súas funcións con plena independencia e obxectividade e non estará suxeito a ningunha instucción no desempeño daquelas.

En todo caso, o director deberá oí-lo Consello Consultivo naquelas propostas que este lle realice no exercicio das súas funcións.

3. O director da Axencia de Protección de Datos só cesará antes da expiración do período a que se refire o número 1, por petición propia ou por separación acordada polo Goberno, logo de instrucción de expediente, no que necesariamente serán oidos os restantes membros do Consello Consultivo, por incumprimento grave das súas obrigas, incapacidade sobrevida para o exercicio da súa función, incompatibilidade ou condena por delicto doloso.

4. O director da Axencia de Protección de Datos terá a consideración de alto cargo e quedará na situación de servicios especiais se con anterioridade estivese desempeñando unha función pública. No suposto de que sexa nomeado para o cargo algún membro da carreira xudicial ou fiscal, pasará así mesmo á situación administrativa de servicios especiais.

Artigo 37 Funcións

1. Son funcións da Axencia de Protección de Datos:

a) Velar polo cumprimento da lexislación sobre protección de datos e controla-la súa aplicación, en especial no relativo ós dereitos de información, acceso, rectificación, oposición e cancelación de datos.

b) Emiti-las autorizacións previstas na lei ou nas súas disposicións regulamentarias.

c) Dictar, se é o caso, e sen prexuízo das competencias doutros órganos, as instruccións precisas para adecua-los tratamentos ós principios desta lei.

d) Atende-las peticións e reclamacións formuladas polas persoas afectadas.

e) Proporcionar información ás persoas acerca dos seus dereitos en materia de tratamento dos datos de carácter persoal.

f) Requeri-los responsables e os encargados dos tratamentos, logo de audiencia destes, para adoptaren as medidas necesarias para a adecuación do tratamento de datos ás disposicións desta lei e, se é o caso, ordena-la cesación dos tratamentos e a cancelación dos ficheiros, cando non se axuste ás súas disposicións.

g) Exerce-la potestade sancionadora nos termos previstos polo título VII desta lei.

h) Emitir informe, con carácter preceptivo, dos proxectos de disposicións xerais que desenvolvan esta lei.

i) Solicitar dos responsables dos ficheiros canta axuda e información estime necesaria para o desempeño das súas funcións.

j) Velar pola publicidade da existencia dos ficheiros de datos con carácter persoal, para o efecto do cal se publicará periódicamente unha relación dos ditos ficheiros coa información adicional que o director da axencia determine.

k) Redactar unha memoria anual e remitirlla ó Ministro de Xustiza.

l) Exerce-lo control e adopta-las autorizacións que procedan en relación cos movementos internacionais de datos, así como desempeña-las funcións de cooperación internacional en materia de protección de datos de carácter persoal.

m) Velar polo cumprimento das disposicións que a Lei da función estatística pública establece respecto á recollida de datos estatísticos e o segredo estatístico, así como dicta-las instrucción precisas, dictaminar sobre as condicións de seguridade dos ficheiros construídos con fins exclusivamente estatísticos e exerce-la potestade á que se refire o artigo 46.

n) Cantas outras lle sexan atribuídas por normas legais ou reglamentarias. [5]

2. As resolucións da Axencia Española de Protección de Datos faranse públicas unha vez que lles fosen notificadas ós interesados. A publicación realizarase preferentemente a través de medios informáticos e telemáticos.

Regulamentariamente poderanse establece-los termos en que se leve a cabo a publicidade das citadas resolucións.

O establecido nos parágrafos anteriores non será aplicable ás resolucións referentes á inscripción dun ficheiro ou tratamento no Rexistro Xeral de Protección de Datos nin a aquelas polas que se resolva a inscripción nel dos códigos tipo, regulados polo artigo 32 desta lei orgánica. [6]

Artigo 38 Consello Consultivo

O director da Axencia de Protección de Datos estará asesorado por un consello consultivo composto polos seguintes membros:

Un deputado, proposto polo Congreso dos Deputados.

Un senador, proposto polo Senado.

Un representante da Administración central, designado polo Goberno.

Un representante da Administración local, proposto pola Federación Española de Municipios e Provincias.

Un membro da Real Academia da Historia, proposto por ela.

Un experto na materia, proposto polo Consello Superior de Universidades.

Un representante dos usuarios e consumidores, seleccionado do modo que se prevexa regulamentariamente.

Un representante de cada Comunidade Autónoma que crease unha axencia de protección de datos no seu ámbito territorial, proposto de acordo co procedemento que estableza a respectiva Comunidade Autónoma.

Un representante do sector de ficheiros privados, para a proposta do cal se seguirá o procedemento que se estableza regulamentariamente.

O funcionamento do Cosello Consultivo rexerase polas normas regulamentarias que para o efecto se establezan.

Artigo 39 O Rexistro Xeral de Protección de Datos

1. O Rexistro Xeral de Protección de Datos é un órgano integrado na Axencia de Protección de Datos.

2. Serán obxecto de inscripcción no Rexistro Xeral de Protección de Datos:

a) Os ficheiros de que sexan titulares as administracións públicas.

b) Os ficheiros de titularidade privada.

c) As autorizacións a que se refire esta lei.

d) Os códigos tipo a que se refire o artigo 32 desta lei.

e) Os datos relativos ós ficheiros que sexan necesarios para o exercicio dos dereitos de información, acceso, rectificación, cancelación e oposición.

3. Por vía regulamentaria fixarase o procedemento de inscripción dos ficheiros, tanto de titularidade pública como de titularidade privada, no Rexistro Xeral de Protección de Datos, o contido da inscripción, a súa modificación, cancelación, reclamacións e recursos contra as resolucións correspondentes e demais extremos pertinentes.

Artigo 40 Potestade de inspección

1. As autoridades de control poderán inspecciona-los ficheiros a que fai referencia esta lei, recadando cantas informacións precisen para o cumprimento dos seus cometidos.

Para tal efecto, poderán solicita-la exhibición ou o envío de documentos e datos e examinalos no lugar en que se encontren depositados, así como inspecciona-los equipos físicos e lóxicos utilizados para o tratamento dos datos, accedendo ós locais onde se encontren instalados.

2. Os funcionarios que exerzan a inspección a que se refire o número anterior terán a consideración de autoridade pública no desempeño dos seus cometidos.

Estarán obrigados a gardar segredo sobre as informacións que coñezan no exercicio das mencionadas funcións, mesmo despois de cesaren nelas.

Artigo 41 Órganos correspondentes das comunidades autónomas

1. As funcións da Axencia de Protección de Datos reguladas no artigo 37, a excepción das mencionadas nas alíneas j), k) e l), e nas f) e g) no que se refire ás transferencias internacionais de datos, así como nos artigos 46 e 49, en relación coas súas específicas competencias serán exercidas, cando afecten a ficheiros de datos de carácter persoal creados ou xestionados polas comunidades autónomas e pola Administración local do seu ámbito territorial, polos órganos correspondentes de cada comunidade, que terán a consideración de autoridades de control, ós que lles garantirán plena independencia e obxectividade no exercicio do seu cometido.

2. As comunidades poderán crear e mante-los seus propios rexistros de ficheiros para o exercicio das competencias que se lles recoñece sobre eles.

3. O directos da Axencia de Protección de Datos poderá convocar regularmente os órganos correspondentes das comunidades autónomas para efectos de cooperación institucional e coordinación de criterios ou procedementos de actuación. O director da Axencia de Protección de Datos e os órganos correspondentes das comunidades autónomas poderán solicitarse mutuamente a información necesaria para o cumprimento das súas funcións.

Artigo 42 Ficheiros das comunidades autónomas en materia da súa exclusiva competencia

1. Cando o director da Axencia de Protección de Datos constate que o mandamento ou o uso dun determinado ficheiro das comunidades autónomas contravén algún precepto desta lei en materia da súa exclusiva competencia poderá requeri-la Administración correspondente para que se adopten as medidas correctoras que determine no prazo que expresamente se fixe no requerimento.

2. Se a Administración pública correspondente non cumprise o requerimento formulado, o director da Axencia de Protección de Datos poderá impugna-la resolución adoptada por aquela Administración.

TÍTULO VII: Infraccións e sancións

[editar]
Artigo 43 Responsables

1. Os responsables dos ficheiros e os encargados dos tratamentos estarán suxeitos ó réxime sancionador establecido nesta lei.

2. Cando se trate de ficheiros dos que sexan responsables as administracións públicas haberá que se ater, en canto ó procedemento e ás sancións, ó disposto no artigo 46, número 2.

Artigo 44 Tipos de infraccións

1. As infraccións cualificaranse como leves, graves ou moi graves.

2. Son infraccións leves:

a) Non atender, por motivos formais, a solicitude do interesado de rectificación ou cancelación dos datos persoais obxeto de tratamento cando legalmente proceda.

b) Non proporciona-la información que solicite a Axencia de Protección de Datos no exercicio das competencias que ten legalmente atribuídas, en relación con aspectos non substantivos da protección de datos.

c) Non solicita-la inscipción do ficheiro de datos de carácter persoal no Rexistro Xeral de Protección de Datos, cando non sexa constitutivo de infracción grave.

d) Proceder á recollida de datos de carácter persoal dos propios afectados sen proporcionarlle-la información que sinala o artigo 5 desta lei.

e) Incumpri-lo deber de segredo establecido no artigo 10 desta lei, agás que constitúa infracción grave.

3. Son infraccións graves:

a) Proceder á creación de ficheiros de titularidade pública ou inicia-la recollida de datos de carácter persoal para eles, sen autorización de disposición xeral, publicada no «Boletín Oficial del Estado» ou no diario oficial correspondente.

b) Proceder á creación de ficheiros de titularidade privada ou inicia-la recollida de datos de carácter persoal para eles con finalidades distintas das que constitúen o obxecto lexítimo da empresa ou entidade.

c) Proceder á recollida de datos de carácter persoal sen solicita-lo consentimento expreso das persoas afectadas, nos casos en que este sexa esixible.

d) Trata-los datos de carácter persoal ou usalos posteriormente con conculcación dos principios e garantías establecidos nesta lei ou con incumprimento de preceptos de protección que impoñan as disposicións regulamentarias de desenvolvemento, cando non constitúa infracción moi grave.

e) O impedimento ou obstaculización do exercicio dos dereitos de acceso e oposición e a negativa de facilita-la información que sexa solicitada.

f) Manter datos de carácter persoal inexactos ou non efectua-las rectificacións ou cancelacións deles que legalmente procedan cando resulten afectados os dereitos das persoas que esta lei ampara.

g) A vulneración do deber de gardar segredo sobre os datos de carácter persoal incorporados a ficheiros que conteñan datos relativos á comisión de infraccións administrativas ou penais, Facenda Pública, servicios financeiros, prestación de servicios de solvencia patrimonial e crédito, así como aqueloutros ficheiros que conteñan un conxunto de datos de carácter persoal suficientes para obter unha avaliación da personalidade do individuo.

h) Mante-los ficheiros, locais, programas ou equipos que conteñan datos de carácter persoal sen as debidas condicións de seguridade que por vía regulamentaria de determinen.

i) Non lle remitir á Axencia de Protección de Datos as notificacións previstas nesta lei ou nas súas disposicóns de desenvolvemento, así como non lle proporcionar en prazo cantos documentos e informacións deba recibir ou sexan requiridos por aquel para tales efectos.

j) A obtrucción ó exercicio da función inspectora.

k) Non inscribi-lo ficheiro de datos de carácter persoal no Rexistro Xeral de Protección de Datos, cando fose requirido para iso polo director da Axencia de Protección de Datos.

l) Incumpri-lo deber de información que se establece nos artigos 5, 28 e 29 desta lei, cando os datos fosen racadados de persoa distinta do afectado.

4. Son infraccións moi graves:

a) A recollida de datos en forma enganosa e fraudulenta.

b) A comunicación ou cesión dos datos de carácter persoal, fóra dos casos en que estean permitidas.

c) Recadar e trata-los datos de datos de carácter persoal ós que se refire o número 2 do artigo 7 cando non medie o consentimento expreso do afectado; recadar e trata-los datos ós que se refire o número 3 do artigo 7 cando non o dispoña unha lei ou o afectado non consentise expresamente, ou violenta-la prohibición contida no número 4 do artigo 7.

d) Non cesar no uso ilexítimo dos tratamentos de datos de carácter persoal cando sexa requerido para iso polo director da Axencia de Proteccción de Datos ou polas persoas titulares do dereito de acceso.

e) A tranferencia temporal ou definitiva de datos de carácter persoal que fosen obxecto de tratamento ou fosen recollidos para sometelos ó dito tratamento, con destino a países que non proporcionen un nivel de protección equiparable sen autorización do director da Axencia de Protección de Datos.

f) Trata-los datos de carácter persoal de forma ilexítima ou con menosprezo dos principios e garantías que lles sexan de aplicación, cando con iso se impida ou atente contra o exercicio dos deberes fundamentais.

g) A vulneración do deber de gardar segredo sobre os datos de carácter persoal a que fan referencia ós números 2 e 3 do artigo 7, así como os que fosen recadados para fins policiais sen consentimento das persoas fectadas.

h) Non atender, ou obstaculizar de forma sistemática o exercicio dos dereitos de acceso, rectificación, cancelación ou oposición.

i) Non atender de forma sistemática o deber legal de notificación da inclusión de datos de carácter persoal nun ficheiro.

Artigo 45 Tipos de sancións [7]

1. As infracción leves serán sancionadas con multa de (100.000 a 10.000.000 de pesetas) 601,01 a 60.101,21 euros.

2. As infracción graves serán sancionadas con multa de (10.000.000 a 50.000.000 de pesetas) 60.101,21 a 300.506,05 euros.

3. As infracción moi graves serán sancionadas con multa de (50.000.000 a 100.000.000 de pesetas) 300.506,05 a 601.012,10 euros.

4. A contía das sancións graduarase atendendo á natureza dos dereitos persoais afectados, ó volume dos tratamentos efectuados, ós beneficios obtidos, ó grao de intencionalidade, á reincidencia, ós danos e perdas causados ás persoas interesadas e a terceiras persoas, e a calquera outra circunstacia que sexa relevante para determina-lo grao de antixuricidade e de culpabilidade presentes na concreta actuación infractora.

5. Se, en razón das circunstacias concorrentes, se apreciase unha cualificada diminución da culpabilidade do imputado ou da antixuricidade do feito, o órgano sancionador establecerá a contía da sanción aplicando a escala relativa á clase de infraccións que preceda inmediatamente en gravidade a aquela en que se integra a considerada no caso de que se trate.

6. En ningún caso poderá impoñerse unha sanción máis grave ca fixada na lei para a clase de infracción na que se integre a que se pretenda sancionar.

7. O Goberno actualizará periódicamente a contía das sancións de acordo cas variacións que experimenten os índices de prezos.

Artigo 46 Infraccións das administracións públicas

1. Cando as infraccións a que se refire o artigo 44 fosen cometidas en ficheiros dos que sexan responsables as administracións públicas, o director da Axencia de Protección de Datos dictará unha resolución na que se establecerán as medidas que procede adoptar para que cesen ou se corrixan os efectos da infracción. Esta resolución notificaráselles ó responsable do ficheiro, ó órgano do que dependa xerárquicamente e ós afectados se os houber.

2. O director da axencia poderá propor tamén a iniciación de actuacións disciplinarias, se proceden. O procedemento e as sancións que se van a aplicar serán as establecidas na lexislación sobre réxime disciplinario das administracións públicas.

3. Deberánselle comunicar á axencia as resolucións que recaian en relación coas medidas e actuacións a que se refiren os números anteriores.

4. O director da axencia comunicaralle ó Defensor do Pobo as actuacións que efectúe e as resolucións que dicte ó amparo dos números anteriores.

Artigo 47 Prescrición

1. As infraccións moi graves prescribirán ós tres anos, as graves ós dous anos e as leves ó ano.

2. O prazo de prescrición comezará a contarse desde o día en que a infracción se cometese.

3. Interromperá a prescrición a iniciación, con coñecemento do interesado, do procedemento sancionador, reiniciándose o prazo de prescrición se o expediente sancionador estiver paralizado durante máis de seis meses por causas non imputables ó presunto infractor.

4. As sancións impostas por faltas moi graves prescribirán ós tres anos, as impostas por faltas graves ós dous anos e as impostas por faltas leves ó ano.

5. O prazo de prescrición das sancións comezará a contarse desde o día seguinte a aquel en que adquira firmeza a resolución pola que se impón a sanción.

6. A prescrición interromperase pola iniciación, con coñecemento do interesado, do procedemento de execución, e volverá transcorre-lo prazo se estiver este paralizado durante máis de seis meses por causa non imputable ó infractor.

Artigo 48 Procedemento sancionador

1. Por vía regulamentaria establecerase o procedemento que se vai seguir para a determinación das infraccións e a imposición das sancións a que fai referencia este título.

2. As resolucións da Axencia de Protección de Datos ou órgano correspondente da Comunidade Autónoma esgotan a vía administrativa.

3. Os procedementos sancionadores tramitados pola Axencia Española de Protección de Datos, en exercicio das potestades que a ela lle atribúan esta ou outras leis, salvo os referidos a infraccións da Lei 32/2003, do 2 de novembro, xeral de telecomunicacións, terán unha duración máxima de seis meses. [8]

Artigo 49 Potestade de inmobilicación de ficheiros

Nos supostos, constitutivos de infracción moi grave, de utilización ou cesión ilícita dos datos de carácter persoal en que se impida gravemente ou se atente de igual modo contra o exercicio dos dereitos dos cidadáns e contra o libre desenvolvemento da personalidade que a Constitución e as leis garanten, o director da Axencia de Protección de Datos poderá, ademáis de exerce-la potestade sancionadora, requeri-los responsables de ficheiros de datos de carácter persoal, tanto de titulariade pública como privada, para cesaren na utilización ou cesión ilícita dos datos. Se o requerimento fose desatendido, a Axencia de Protección de Datos poderá, mediante resolución motivada, inmobilizar tales ficheiros para os únicos efectos de restaura-los dereitos das persoas afectadas.

Disposicións adicionais

[editar]
Primeira Ficheiros preexistentes

Os ficheiros e tratamentos automatizados inscritos ou non no Rexistro Xeral de Protección de Datos deberán adecuarse a esta lei orgánica dentro do prazo de tres anos, contados desde a súa entrada en vigor. No devandito prazo, os ficheiros de titularidade privada deberanlle ser comunicados á Axencia de Protección de Datos e as administracións públicas, responsables de ficheiros de titularidade pública, deberñan aproba-la pertinente disposición de regulación do ficheiro ou adapta-la existente.

No suposto de ficheiros e tratamentos non automatizados, a súa adecuación a esta lei orgánica, e a obriga prevista no parágrafo anterior deberán realizarse no prazo de doce anos contados desde o 24 de outubro de 1995, sen prexuízo do exercicio dos dereitos de acceso, rectificación e cancelación por parte dos afectados.

Segunda Ficheiros e rexistro de poboación das administracións públicas

1. A Administración xeral do Estado e as administracións das comunidades autónomas poderanlle solicitar ó Instituto Nacional de Estatística, sen consentimento do interesado, unha copia actualizada do ficheiro formado cos datos do nome, apelidos, domicilio, sexo e data de nacemento que constan nos padróns municipais de habitantes e no censo electoral correspondente ós territorios en que exerzan as súas competencias, para a creación de ficheiros ou rexistros de poboación.

2. Os ficheiros ou rexistros de poboación terán como finalidade a comunicación dos distintos órganos de cada Administración pública cos interesados residentes nos respectivos territorios, respecto ás relacións xurídico-administrativas derivadas das competencias repectivas das administracións públicas.

Terceira Tratamento dos expedientes das derrogadas leis de vagos e maleantes, e de perigosidade e rehabilitación social

Os expedientes específicamente instruídos ó abeiro das derrogadas leis de vagos e maleantes, e de perigosidade e rehabilitación social, que conteñan datos de calquera índole susceptibles de afectaren a seguridade, o honor, a intimidade ou a imaxe das persoas, non poderán ser consultados sen que medie consentimento expreso dos afectados, ou sen transcorreren cincuenta anos desde a data daqueles.

Neste último suposto, a Administración Xeral do Estado, agás que haxa constancia expresa do falecemento dos afectados, porá a disposición do solicitante a documentación, suprimindo dela os datos aludidos no parágrafo anterior, mediante a utilización dos procedementos técnicos pertinentes para o caso.

Cuarta Modificación do artigo 112.4 da Lei xeral tributaria

O número catro do artigo 112 da Lei xeral tributaria pasa e te-la seguinte redacción:

«4. A cesión daqueles datos de carácter persoal, obxecto de tratamento, que se debe efectuar á Administración tributaria conforme o disposto no artigo 111, nos números anteriores deste artigo ou noutra norma de rango legal, non requerirá o consentimento do afectado. Neste ámbito tampouco será de aplicación o que respecto as administracións públicas establece o número 1 do artigo 21 da Lei orgánica de protección de datos de carácter persoal.»
Quinta Competencias do Defensor do Pobo e órganos autonómicos semellantes

O disposto nesta lei orgánica enténdese sen prexuízo das competencias do Defensor do Pobo e dos órganos análogos das comunidades autónomas.

Sexta Modificación do artigo 24.3 da Lei de ordenación e supervisión dos seguros privados

Modifícase o artigo 24.3, parágrafo 2º da Lei 30/1995, do 8 de novembro, de ordenación e supervisión dos seguros privados, coa seginte redacción:

«As entidades aseguradoras poderán establecer ficheiros comúns que conteñan datos de carácter persoal para a liquidación de sinistros e a colaboración estatística actuarial coa finalidade de permiti-la tarificación e selección de riscos e a elaboración de estudios de técnica aseguradora. A cesión de datos ós citados ficheiros non requerirá o consentimento previo do afectado, pero si a comunicación a el da posible cesión dos seus datos persoais a ficheiros comúns para os fins sinalados con expresa indicación do responsable para que se poidan exerce-los dereitos de acceso, rectificación e cancelación previstos na lei.
Tamén poderán establecerse ficheiros comúns que teñan como finalidade previ-la fraude no seguro sen que sexa necesario o consentimento do afectado. Non embargante, será necesario nestes casos comunicarlle ó afectado, na primeira introducción dos seus datos, quen é o responsable do ficheiro e das formas de exercicio dos dereitos de acceso, rectificación e cancelación.
En todo caso, os datos relativos á saúde só poderán ser obxecto de tratamento co consentimento expreso do afectado.»

Disposicións transitorias

[editar]
Primeira Tratamentos creados por convenios internacionais

A Axencia de Protección de Datos será o organismo competente para a protección das persoas físicas, no tocante ó tratamento de datos de carácter persoal, respecto dos tratamentos establecidos en calquera convenio internacional do que sexa parte España, que lle atribúa a unha autoridade nacional de control esta competencia, mentres non se cree unha autoridade diferente para este cometido en desenvolvemento do convenio.

Segunda Utilización do censo promocional

Regulamentariamente, desenvolveranse os procedementos de formación do censo promocional, de oposición a aparecer nel, de posta a disposición dos seus solicitantes, e de control das listas difundidas. O regulamento establecerá os prazos para a posta en operación do censo promocional.

Terceira Subsistencia de normas preexistentes

Ata que se leven a efecto as disposicións da disposición derradeira primeira desta lei, continuarán en vigor, co seu propio rango, as normas regulamentarias existentes e, en especial, os reais decretos 428/1993, do 26 de marzo; 1332/1994, do 20 de xuño, e 994/1999, do 11 de xuño, en canto non se opoñan a esta lei.

Disposición derrogatoria

[editar]
Única Derrogación normativa

Queda derrogada a Lei Orgánica 5/1992, do 29 de outubro, de regulación do tratamento automatizado dos datos de carácter persoal.

Disposicións derradeiras

[editar]
Primeira Habilitación para o desenvolvemento regulamentario

O Goberno aprobará, ou modificará, as disposicións regulamentarias necesarias para a aplicación e desenvolvemento desta lei.

Segunda Preceptos con carácter de Lei ordinaria

Os títulos IV, VI agás o último inciso do parágrafo 4 do artigo 36 e VII desta lei, a disposición adicional cuarta, a disposición transitoria primeira e a derradeira primeira teñen o caracter de lei ordinaria.

Terceira Entrada en vigor

Esta lei entrará en vigor no prazo dun mes, contando desde a súa publicación no «Boletín Oficial del Estado».

Por tanto,

Mando a tódolos españois, particulares e autoridades, que cumpran e fagan cumprir esta lei orgánica.

Madrid, 13 de decembro de 1999

JUAN CARLOS R.

O presidente do Goberno

JOSÉ MARÍA AZNAR LÓPEZ

Notas

[editar]
  1. ^  Modificada, en canto que as referencias á Axencia de Protección de Datos deberanse entender realizadas á Axencia Española de Protección de Datos, polo Artigo 79 da Lei 62/2003, do 30 de decembro.
  2. ^  A frase «cando a comunicación for prevista polas disposicións de creación do ficheiro ou por disposición de superior rango que regule o seu uso, ou» foi declarada inconstitucional e nula pola Sentencia do Tribunal Constitucional 292/2000, do 30 de novembro.
  3. ^  Incisos «impida ou dificulte gravemente o cumprimento das funcións de control e verificación das administracións públicas» e «ou administrativas» foron declarados inconstitucionais e nulos pola Sentencia do Tribunal Constitucional 292/2000, do 30 de novembro.
  4. ^  Apartado declarado inconstitucional e nulo pola Sentencia do Tribunal Constitucional 292/2000, do 30 de novembro.
  5. ^  Apartado 1 renumerado polo artigo 82.1 da Lei 62/2003, do 30 de decembro. A súa anterior numeración era apartado único.
  6. ^  Engadido polo artigo 82.1 da Lei 62/2003, do 30 de decembro.
  7. ^  Modificado en tanto que as cantidades correspondentes se converten a euros polo Anexo de Resolución do 11 de decembro de 2001 da Subsecretaría do Ministerio de Xustiza.
  8. ^  Engadido polo artigo 82.2 da Lei 62/2003, do 30 de decembro.