Decreto 67/2003, de 22 de mayo, por el que se aprueba el Reglamento de desarrollo de la Agencia de Protección de Datos de la Comunidad de Madrid

Decreto 67/2003, de 22 de mayo, por el que se aprueba el Reglamento de desarrollo de las funciones de la Agencia de Protección de Datos de la Comunidad de Madrid de tutela de derechos y de control de ficheros de datos de carácter personal (BO. Comunidad de Madrid 2 junio 2003, núm. 129)

PREÁMBULO.

La Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid, regula la Agencia de Protección de Datos en esta Comunidad Autónoma, estableciendo entre sus funciones principales la de ejercer el control sobre los ficheros de datos creados o gestionados por las Instituciones de la Comunidad de Madrid y por los Órganos, Organismos, Entidades de Derecho Público y demás Entes públicos integrantes de su Administración Pública, exceptuándose las sociedades mercantiles a que se refiere el artículo 2.2.c) 1 de la Ley 1/1984, de 19 de enero, Reguladora de la Administración Institucional de la Comunidad de Madrid. Dichas funciones se ejercerán también, de conformidad con lo previsto en el artículo 41 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, sobre los ficheros de datos de carácter personal creados o gestionados por los Entes que integran la Administración Local del ámbito territorial de la Comunidad de Madrid, así como sobre los ficheros creados o gestionados por las Universidades Públicas y por las Corporaciones de Derecho Público representativas de intereses económicos y profesionales de la Comunidad de Madrid, en este último caso siempre y
cuando dichos ficheros sean creados o gestionados para el ejercicio de potestades de derecho público.

Otra de las funciones principales atribuidas a la Agencia de Protección de Datos de la Comunidad de Madrid es la de atender las peticiones y resolver las reclamaciones formuladas por los interesados para la protección de sus derechos de acceso, rectificación, cancelación y oposición en relación con los ficheros de datos señalados anteriormente.

Con la función de control, regulada en los artículos 2 y 15.a) de la Ley 8/2001, de 13 de julio, se pretende comprobar que los responsables de los ficheros están cumpliendo con la legislación sobre protección de datos contenida principalmente en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, así como en sus disposiciones de desarrollo, y especialmente en el Real Decreto 994/1999, de 11 de junio, que aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal. En el ejercicio de esta función hay que contemplar una doble vertiente, y así, de una parte, se va a regular el procedimiento a seguir cuando nos encontremos ante el supuesto de comisión por parte de los responsables de los ficheros, de alguna de las infracciones previstas en el artículo 44 de la Ley Orgánica 15/1999, de 13 de diciembre, procedimiento que termina con la resolución del Director de la Agencia de Protección de Datos de la Comunidad de Madrid según establece el artículo 12 de la Ley 8/2001, de 13 de julio. De otra parte, hay que regular un control preventivo a través de los planes sectoriales de inspección, cuyo cometido, es analizar en los diferentes sectores a los que abarca el ámbito de aplicación de la Ley 8/2001, de 13 de julio, el nivel de adaptación y cumplimiento a los principios de protección de datos, planes que terminarán con las instrucciones previstas en el artículo 15.d) del referido texto legal.

Con la función de atender las reclamaciones de los afectados en cuanto al ejercicio de sus derechos de acceso, rectificación, cancelación y oposición, se persigue tutelar dicho ejercicio y evitar que los derechos en materia de protección de datos reconocidos a los ciudadanos y regulados en la Ley Orgánica 15/1999, de 13 de diciembre, puedan verse afectados por una actuación contraria a la Ley por parte de los responsables de ficheros bajo el ámbito de aplicación de la Ley 8/2001, de 13 de julio.

Ambas funciones derivan de la previsión legal contenida en el artículo 41 de la Ley Orgánica 15/1999, de 13 de diciembre, en la que se establece que, salvo las excepciones previstas en dicho artículo, las funciones atribuidas por dicha Ley Orgánica a la Agencia de Protección de Datos del Estado y reguladas en su artículo 37, serán ejercidas cuando afecten a ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración Local de su ámbito territorial, por los órganos correspondientes de cada Comunidad Autónoma, que tendrán igualmente la consideración de autoridad de control. Por otra parte, hay que considerar que el Real Decreto 1332/1994, de 20 de junio, que desarrollaba determinados aspectos de la derogada Ley Orgánica 5/1992 y que sigue vigente según lo previsto en la disposición transitoria tercera de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, viene a establecer en su disposición adicional segunda, que corresponde a las Comunidades Autónomas respecto de sus propios ficheros, la regulación del ejercicio y tutela de los derechos del afectado y del procedimiento sancionador en los términos y con los límites fijados en la propia Ley Orgánica.

En consecuencia y para poder realizar las actividades descritas anteriormente, se considera necesario el desarrollar un procedimiento que abarque tanto la función de control como la función de tutela, funciones que derivan implícitamente de la potestad sancionadora y de tutela de derechos que tiene reconocida la Agencia de Protección de Datos del Estado por el artículo 37 de la Ley Orgánica 15/1999, de 13 de diciembre, y que igualmente le viene atribuida a la Agencia de Protección de Datos de la Comunidad de Madrid por el artículo 41 de la referida Ley Orgánica y los artículos 12 y 15.c) de la Ley 8/2001, de 13 de julio.

Todas estas circunstancias, implican la necesidad, de conformidad con la habilitación de desarrollo reglamentario prevista en la disposición final primera de la Ley 8/2001, de 13 de julio, de regular un procedimiento que, en la línea de lo establecido en los artículos 2, 12 y 15, apartados a), c) y d), de la referida Ley 8/2001, de 13 de julio, en relación con los artículos 18 y 46 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, permita llevar a cabo las funciones de control y de tutela de derechos que legalmente tiene atribuidas la Agencia de Protección de Datos de la Comunidad de Madrid.

En su virtud, a iniciativa de la Agencia de Protección de Datos de la Comunidad de Madrid, a propuesta de la Consejería de Justicia y Administraciones Públicas, de acuerdo con el Consejo de Estado, y previa deliberación del Consejo de Gobierno de la Comunidad de Madrid en su reunión celebrada el día 22 de mayo de 2003, dispongo:

Artículo único. Aprobación del Reglamento

Se aprueba el Reglamento de Desarrollo de las Funciones de la Agencia de Protección de Datos de la Comunidad de Madrid de tutela de derechos y de control de ficheros de datos de carácter personal, que se inserta a continuación.

Disposición transitoria única. Procedimientos iniciados con anterioridad

Los procedimientos de tutela de derechos y de control de los ficheros de datos de carácter personal, incluidos en el ámbito de aplicación del Reglamento que se aprueban por el presente Decreto, iniciados con anterioridad a su entrada en vigor, se regirán por la normativa vigente en el momento en que se hubiera adoptado el correspondiente Acuerdo de inicio.

Disposición final primera. Disposiciones de carácter supletorio

Con carácter supletorio y para aquellos aspectos no previstos en el Reglamento que se aprueba, será de aplicación la normativa de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en lo que se refiere a la materia que se regula en el presente Decreto.

Disposición final segunda. Entrada en vigor

El presente Decreto entrará en vigor al día siguiente de su publicación en el “Boletín Oficial de la Comunidad de Madrid”.

Reglamento de Desarrollo de las Funciones de la Agencia de Protección de Datos de la Comunidad de Madrid de Tutela de Derechos y de Control de Ficheros de Datos de Carácter
Personal

TÍTULO I. Disposiciones generales

Artículo 1º.- Objeto

El objeto del presente Reglamento es la regulación de los procedimientos administrativos para el ejercicio de la función de tutela de los derechos de acceso, rectificación, cancelación y oposición, y para el ejercicio de la función de control de los ficheros de datos de carácter personal bajo su ámbito de aplicación. Ambas funciones son ejercidas por la Agencia de Protección de Datos de la Comunidad de Madrid, dado que así le vienen reconocidas respectivamente en el artículo 15.c), y en los artículos 2.1, 12.2 y 15.a) y d) de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid.

Artículo 2º.- Ámbito de aplicación

Este Reglamento será de aplicación a los ficheros de datos de carácter personal creados o gestionados por las Instituciones de la Comunidad de Madrid y por los órganos, Organismos,
Entidades de Derecho público y demás Entes públicos integrantes de su Administración Pública, exceptuándose las sociedades mercantiles a que se refiere el artículo 2.2.c) 1 de la Ley 1/1984, de 19 de enero, Reguladora de la Administración Institucional de la Comunidad de Madrid. Igualmente será de aplicación a los ficheros de datos de carácter personal creados o gestionados por los Entes que integran la Administración Local del ámbito territorial de la Comunidad de Madrid, así como sobre los ficheros creados o gestionados por las Universidades Públicas y por las Corporaciones de Derecho Público representativas de intereses económicos y profesionales de la Comunidad de Madrid, en este último caso siempre y cuando dichos ficheros sean creados o gestionados para el ejercicio de potestades de derecho público.

TÍTULO II. Procedimiento para el ejercicio de la función de tutela de derechos

Artículo 3º.- Reclamación del interesado

1. Las personas interesadas que consideren que los responsables de ficheros, incluidos en el ámbito de aplicación de este Reglamento, no han atendido sus derechos de acceso, rectificación, cancelación y oposición, en la forma prevista en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, podrán presentar reclamación ante la Agencia de Protección de Datos de la Comunidad de Madrid, de conformidad con lo previsto en el artículo 15.c) de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid.  

2. El procedimiento de tutela de derechos se iniciará con la reclamación de la persona o personas interesadas debidamente identificadas, en la que se indicará la fecha en la que se pretendió el ejercicio de los derechos tutelados, la identificación del responsable del fichero frente al que se han ejercitado y se explicará de forma clara y precisa los hechos y razones por las que se entiende que se ha vulnerado el ejercicio de los mismos. La petición de tutela deberá expresar, asimismo, el lugar y fecha en que se realiza, y vendrá firmada por el reclamante o representante legal en su caso.

Artículo 4º.- Alegaciones del responsable del fichero y período de prueba

1. Recibida la reclamación en la Agencia de Protección de Datos de la Comunidad de Madrid, se procederá a ponerla en conocimiento del responsable del fichero, a los efectos de que en el plazo de quince días presente las alegaciones y pruebas que estime convenientes en su defensa.

2. Presentadas las alegaciones por el responsable del fichero, o una vez transcurrido el plazo previsto en el apartado anterior, la Agencia de Protección de Datos de la Comunidad de Madrid podrá recabar cuantos informes y pruebas considere necesario estableciendo a estos efectos un nuevo plazo que no excederá de treinta días.

Artículo 5º.- Trámite de audiencia

1. Una vez realizadas las actuaciones previstas en el artículo 3, se pondrá el expediente de manifiesto al reclamante, dándole audiencia y concediéndole un plazo de quince días para que
pueda alegar y presentar la documentación que considere pertinente.

2. Recibidas las alegaciones del reclamante o transcurrido el plazo previsto para ello, se pondrá de manifiesto el expediente al responsable del fichero, dándole audiencia y concediéndole igualmente un plazo de quince días para que presente nuevas alegaciones en su caso.

Artículo 6º.- Resolución

1. Finalizado el trámite de audiencia, el Director de la Agencia de Protección de Datos de la Comunidad de Madrid dictará resolución motivada en la que decidirá todas las cuestiones planteadas por los interesados y resolverá sobre la procedencia o no de la tutela planteada.

2. Si la resolución de tutela fuese procedente, en la misma, se requerirá al responsable del fichero para que en el plazo de los diez días siguientes a la notificación, haga efectivo el ejercicio de los derechos objeto de la tutela, dando cuenta por escrito de dicho cumplimiento a la Agencia de Protección de Datos de la Comunidad de Madrid, todo ello, con independencia de que dicho Ente, pueda advertir en la tramitación del procedimiento, que las causas que han motivado la negativa del responsable del fichero a dicho ejercicio, pudieran ser constitutivas de alguna infracción a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en cuyo caso iniciará las actuaciones derivadas de la función de control previstas en el Título III del presente Reglamento.

3. La resolución que se dicte se notificará a los reclamantes y al responsable del fichero, indicándoles que pone fin a la vía administrativa y que podrá ser objeto de recurso potestativo de
reposición previo al contencioso-administrativo, ante el mismo órgano que dictó la resolución, en el plazo de un mes, o, directamente de recurso contencioso-administrativo, ante los Juzgados de lo Contencioso-Administrativo de la Comunidad de Madrid, en el plazo de dos meses.

4. El plazo máximo en que se dictará la resolución de tutela de derechos será de seis meses, a contar desde la fecha de entrada en la Agencia de Protección de Datos de la Comunidad de Madrid de la reclamación del interesado. Si en dicho plazo no se dictara resolución expresa, se entenderá estimada de acuerdo con lo previsto en el artículo 43 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

TÍTULO III. Procedimiento para el ejercicio de la función de control

CAPÍTULO I. Actuaciones previas

Artículo 7º.- Iniciación

1. El procedimiento para el ejercicio de la función de control y poder determinar la comisión de una infracción por parte de los responsables de ficheros bajo el ámbito de la aplicación del presente Reglamento, se iniciará siempre de oficio por la Agencia de Protección de Datos de la Comunidad de Madrid, bien por iniciativa propia, por petición razonada de otros órganos administrativos, o por denuncia.

2. El Director de la Agencia de Protección de Datos de la Comunidad de Madrid podrá abrir un período de actuaciones previas para determinar si los hechos y circunstancias analizados pudieran motivar la apertura de dicho procedimiento.

3. Las actuaciones previas serán efectuadas por los inspectores designados al efecto y adscritos a la Agencia de Protección de Datos de la Comunidad de Madrid, realizándose bajo la supervisión de la Dirección del Área del Registro y la Inspección de dicha Agencia, y tendrán carácter reservado.

4. La duración de las actuaciones previas será la estrictamente necesaria para completar la investigación sobre los hechos acaecidos.

Artículo 8º.- Requerimiento de información

La Dirección del Área del Registro y la Inspección de la Agencia de Protección de Datos de la Comunidad de Madrid podrá requerir la información o el envío de los documentos y datos que se precisen, mediante escrito dirigido al responsable del fichero y órganos administrativos o entidades de derecho público relacionadas con aquél, pudiendo requerirles también, que se emita informe sobre las circunstancias que se consideren necesarias para el esclarecimiento de los hechos. La información, documentos, datos e informes requeridos, deberá remitirse en el plazo de diez días a contar desde la recepción de la solicitud.

Artículo 9º.- Inspección. Acceso a los ficheros

1. El acceso a los ficheros objeto de investigación, así como a todos los dispositivos físicos y lógicos utilizados para el tratamiento de los datos, se podrá llevar a efecto por los inspectores en el marco de las actuaciones previas.

2. La inspección se realizará mediante visita presencial de los inspectores designados, en los locales o sede del responsable del fichero, o donde se encuentren ubicados los ficheros, habiendo sido previamente autorizados por el Director de la Agencia, en los términos previstos en el artículo 14.3 del Estatuto de la Agencia de Protección de Datos de la Comunidad de Madrid aprobado por Decreto 22/1998, de 12 de febrero.

3. Los actos de inspección se iniciarán previa presentación de la autorización referida e identificación de los inspectores actuantes, procediendo a levantar acta en la que quedará constancia de todo lo apreciado por los inspectores, así como de las declaraciones efectuadas en su presencia, por los responsables del fichero o ficheros inspeccionados, o persona designada a tal efecto.

4. El acta de inspección deberá ser firmada por los inspectores y por los responsables del fichero o persona designada a tal efecto, dejando copia de la misma en el órgano responsable del fichero, e incorporando el original al expediente de actuaciones previas.

Artículo 10.- Finalización

1. La fase de actuaciones previas finalizará por resolución del Director de la Agencia de Protección de Datos de la Comunidad de Madrid, que será de archivo, en caso de no apreciarse, en el curso de las investigaciones, indicios de la comisión de infracción de la legislación sobre protección de datos, o de acuerdo de inicio de procedimiento de infracción por parte de la Administración pública cuando se aprecien dichos indicios.

2. Si la resolución que se dicte fuese de archivo, la misma se comunicará a los interesados indicándoles que pone fin a la vía administrativa y que podrá ser objeto de recurso potestativo de reposición previo al contencioso-administrativo, ante el mismo órgano que dictó la resolución, en el plazo de un mes, o, directamente de recurso contencioso-administrativo, ante los Juzgados de lo Contencioso-Administrativo de la Comunidad de Madrid, en el plazo de dos meses.

CAPÍTULO II.- Infracción por parte de la Administración Pública

Artículo 11.- Iniciación

1. Cuando se haya determinado, en la fase de actuaciones previas, la presunción sobre la existencia de alguna de las infracciones previstas en el artículo 44 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el Director de la Agencia de Protección de Datos de la Comunidad de Madrid dictará acuerdo de inicio de procedimiento de infracción por parte de la Administración Pública.

2. No obstante lo previsto en el apartado anterior, cuando de los hechos acontecidos se deriven elementos de juicio suficientes que permitan determinar la presunta comisión de la infracción, se podrá dictar directamente el acuerdo de inicio de procedimiento de infracción por parte de la Administración pública, prescindiendo de la fase de actuaciones previas.

Artículo 12. Acuerdo de inicio de procedimiento de infracción por parte de la Administración Pública

1. El acuerdo de inicio de procedimiento de infracción por parte de la Administración Pública deberá contener:

a) Designación de instructor y, en su caso, secretario, con expresa indicación del régimen de recusación de los mismos.

b) Identificación del responsable del fichero, y, en su caso, del encargado del tratamiento como presuntos responsables de la infracción.

c) Concreción de los hechos imputados.

d) Infracción que los hechos pudieran constituir.

e) Medidas de carácter provisional que pudieran acordarse, entre las que se incluye la potestad de inmovilización de los ficheros en los términos previstos en el artículo 13 de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid.  

f) Indicación expresa del derecho del responsable a formular alegaciones y utilizar los medios de defensa procedentes.

g) Indicación de que el órgano competente para resolver el procedimiento y proponer, en su caso, la apertura de expediente disciplinario, es el Director de la Agencia de Protección de Datos de la Comunidad de Madrid, citando expresamente el artículo 12.2 y 3 de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid.  

2. El acuerdo de inicio se notificará al presunto responsable, al denunciante si reviste la condición de interesado y se ha personado en el procedimiento, así como a los demás interesados personados, en su caso, indicándoles expresamente, que podrán presentar alegaciones, así como proponer la prueba que estime conveniente en el plazo común de quince días, a contar desde el día siguiente a la notificación.

Artículo 13. Período de prueba

1. Finalizado el plazo de quince días señalado en el artículo 12, o formuladas alegaciones y propuesta prueba, en su caso, por todas las partes implicadas en el procedimiento, el instructor podrá acordar la apertura del período de prueba conforme a lo establecido en el apartado 2 del artículo 80 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

2. El acuerdo de apertura del período de prueba, se notificará a todas las partes implicadas, decidirá sobre la admisión de las pruebas propuestas por éstas y determinará de oficio la práctica de las que considere necesarias para la resolución del procedimiento, señalando lugar, fecha y hora para llevar a cabo las mismas por un plazo no superior a treinta ni inferior a diez días.

3. Sólo podrán ser declaradas improcedentes, de manera motivada, las pruebas que por su relación con los hechos no puedan alterar la resolución final.

4. La práctica de la prueba se efectuará conforme a lo previsto por la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

Artículo 14.- Propuesta de resolución y trámite de audiencia

1. Instruido el procedimiento, el instructor formulará propuesta de resolución con expresión clara de los hechos que se consideren probados, los fundamentos jurídicos, la infracción que aquéllos constituyan, el órgano o persona responsable, las medidas a adoptar y, en su caso, la proposición de apertura de expediente disciplinario a la persona directamente responsable de la infracción cometida.

2. Cuando de la instrucción practicada se derive la inexistencia de infracción o responsabilidad, el Instructor propondrá el sobreseimiento del procedimiento.

3. La propuesta de resolución se notificará a todas las partes implicadas, concediéndoles el plazo de quince días para que efectúen alegaciones y presenten los documentos e informaciones que estimen oportunas, poniéndoles de manifiesto el expediente administrativo en el mismo plazo.

4. Notificada la propuesta de resolución y expirado el plazo de alegaciones previsto en el párrafo anterior, el Instructor elevará el expediente completo al Director de la Agencia de Protección de Datos de la Comunidad de Madrid, órgano competente para resolver el procedimiento.

Artículo 15.- Actuaciones complementarias

1. El Director de la Agencia de Protección de Datos de la Comunidad de Madrid podrá, antes de dictar resolución, ordenar al instructor la práctica de cuantas actuaciones considere necesarias, dictando acuerdo a tal efecto, que se notificará a todas las partes implicadas, concediéndoles un plazo de quince días para realizar las alegaciones que estimen oportunas.

2. Las actuaciones complementarias se llevarán a efecto en un plazo no superior a quince días, quedando suspendido durante el mismo, el plazo para resolver el procedimiento.

Artículo 16.- Resolución

1. El Director de la Agencia de Protección de Datos de la Comunidad de Madrid, dictará resolución motivada dentro de los diez días siguientes a la elevación del expediente, o a la finalización de actuaciones complementarias.

2. La resolución deberá contener:

a) Los hechos imputados, que no podrán ser distintos de los determinados en el curso del procedimiento, con independencia de su diferente valoración jurídica.

b) La infracción cometida, con expresión del precepto que la tipifique, o la declaración de inexistencia de la misma. En el supuesto de declaración de la existencia de la infracción, se deberán establecer las medidas que procede adoptar por el responsable del fichero para que cese o se corrija los efectos de la misma. En el supuesto de declaración de inexistencia de infracción, el Director de la Agencia de Protección de Datos de la Comunidad de Madrid podrá, no obstante, señalar aquellas recomendaciones que considere necesarias para que, aunque los hechos analizados no constituyen infracción, sin embargo pueden ser objeto de una mejor adaptación a los principios legales de la protección de datos.

c) El responsable de la infracción y, en su caso, la proposición de apertura de expediente disciplinario; o bien la declaración de no existencia de responsabilidad.

d) La declaración pertinente en orden a las medidas provisionales que pudieran haberse adoptado durante la tramitación del procedimiento.

e) La indicación de que agota la vía administrativa, pudiendo los interesados interponer recurso potestativo de reposición previo al contencioso-administrativo, ante el mismo órgano que dictó la resolución, en el plazo de un mes, o, directamente recurso contencioso-administrativo, ante los Juzgados de lo Contencioso-Administrativo de la Comunidad de Madrid, en el plazo de dos meses.

3. Si el Director de la Agencia de Protección de Datos de la Comunidad de Madrid estimara que la infracción cometida es de mayor gravedad que la señalada en la propuesta de Resolución, se notificará al presunto responsable, el cual podrá presentar las alegaciones pertinentes en un plazo de quince días.

4. La resolución se notificará al responsable del fichero, al denunciante en todo caso, así como a los interesados personados como parte en el procedimiento, y si el procedimiento se hubiese iniciado como consecuencia de petición razonada, dicha resolución se comunicará al órgano administrativo autor de aquélla.

5. Si la resolución es declarativa de infracción, la misma se comunicará, además, al órgano del que dependa jerárquicamente el responsable del fichero, y al Defensor del Pueblo.

6. El plazo para dictar resolución será de seis meses contados desde la fecha en que se dicte el acuerdo de inicio de procedimiento por infracción de Administración pública, todo ello sin perjuicio de la interrupción de su cómputo por la suspensión del procedimiento a que se refiere el artículo 17 del presente Reglamento.

CAPÍTULO III.- Relación con el orden jurisdiccional penal

Artículo 17.- Relación con el orden jurisdiccional penal

1. Si una vez iniciado el procedimiento, el órgano competente para iniciarlo estimara que existe identidad de sujeto, hechos y fundamento entre la presunta infracción administrativa y una posible infracción penal, lo comunicará al Ministerio Fiscal o al órgano jurisdiccional competente, solicitando testimonio sobre las actuaciones practicadas respecto de la comunicación.

2. En tal supuesto, así como cuando se tenga conocimiento de que se está sustanciando un proceso penal en el que concurran las circunstancias referidas en el apartado anterior, el órgano competente para la iniciación del procedimiento acordará la suspensión del mismo hasta tanto recaiga resolución judicial firme.

3. Recaída resolución judicial firme, el órgano competente acordará, según proceda, la continuación del procedimiento o el archivo de las actuaciones.

CAPÍTULO IV.- Planes sectoriales de inspección

Artículo 18.- Planes sectoriales de inspección

Dentro de las funciones de control y con el objeto de velar con carácter preventivo por el cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid,  podrá llevar a cabo planes sectoriales de inspección.

Estos planes consistirán en analizar por cada uno de los sectores de la actividad administrativa pública, cuyos ficheros se encuentran bajo el ámbito de aplicación de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid, cual es el grado de adecuación y cumplimiento que dichos ficheros tienen a los principios de la protección de datos, así como garantizar que los responsables de los ficheros públicos hacen efectivo el cumplimiento de los derechos de acceso, rectificación, cancelación y oposición que se realizan por los ciudadanos, principios y derechos que vienen regulados en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Artículo 19.- Procedimiento

Los planes sectoriales de inspección se realizarán por los inspectores designados al efecto y adscritos a la Agencia de Protección de Datos de la Comunidad de Madrid, bajo la supervisión de la Dirección del Área del Registro y la Inspección.

Como medios para poder realizar los planes sectoriales de inspección, los inspectores podrán utilizar el requerimiento de información y el acceso a los ficheros, en la forma regulada en los artículos 8 y 9 del presente Reglamento.

La duración de los planes sectoriales será la estrictamente necesaria para poder valorar y analizar toda la documentación objeto de la inspección.

Una vez analizada por los inspectores toda la información y concluidas las actuaciones y comprobaciones necesarias, elevarán al Director de la Agencia de Protección de Datos de la
Comunidad de Madrid, a través de la Dirección del Área del Registro y la Inspección, un informe en el que se recogerá el grado de cumplimiento a cada uno de los principios y derechos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, por parte de cada uno de los responsables de los ficheros públicos perteneciente al sector, que han sido objeto del plan de inspección.

Artículo 20.- Finalización. Instrucciones

El Director de la Agencia de Protección de Datos de la Comunidad de Madrid, en base al informe de la Dirección del Área del Registro y la Inspección, dictará, de conformidad con lo previsto en el artículo 15.d) de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid, las instrucciones precisas, en las que se determinará si los ficheros públicos objeto del plan sectorial están adecuados o no, a los principios y derechos establecidos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, estableciendo las medidas que, en cada caso, sea necesario poner en práctica para su adecuación a la referida Ley Orgánica, señalando el plazo en que se deberán de adoptar y notificar su adopción a la Agencia de Protección de Datos de la Comunidad de Madrid.

Dichas instrucciones se notificarán a cada uno de las instituciones, órganos y entidades que han sido objeto del plan sectorial y podrán ser publicadas en el “Boletín Oficial de la Comunidad de Madrid”.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.