El Presidente de la Comunidad de Madrid.
Hago saber que la Asamblea de Madrid ha aprobado la presente Ley, que yo, en nombre del Rey, promulgo.
PREÁMBULO
I
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, establece un conjunto de medidas para garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
Entre esas medidas contempla la existencia de la Agencia de Protección de Datos, Ente de Derecho Público, al que corresponde, entre otras funciones, velar por el cumplimiento de la legislación de protección de datos y controlar su aplicación.
Las funciones atribuidas por la Ley Orgánica a la Agencia de Protección de Datos serán ejercidas, cuando afecten a ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración Local de su ámbito territorial, por los órganos correspondientes de cada Comunidad Autónoma, que tendrán, a igual que aquélla, la consideración de autoridades de control, a las que se garantizarán plena independencia y objetividad en el ejercicio de su cometido.
Esta habilitación a las Comunidades Autónomas para crear sus propias autoridades de control en materia de protección de datos de carácter personal ya se contenía en la Ley Orgánica 5/1992, de 29 de octubre, y al amparo de la misma la Comunidad de Madrid creó su propia Agencia de Protección de Datos mediante la Ley 13/1995, de 21 de abril, de regulación del uso de informática en el tratamiento de datos personales por la Comunidad de Madrid (modificada parcialmente por la Ley 13/1997, de 16 de junio, y por la Ley 6/1999, de 30 de marzo). No obstante, la Ley Orgánica 15/1999, de 13 de diciembre, amplía el ámbito de actuación de estas autoridades de control autonómicas al extender su actuación sobre los ficheros de datos de carácter personal creados o gestionados por la Administración Local del ámbito territorial de la Comunidad Autónoma de que se trate.
De este modo, en primer lugar, se hace preciso modificar la Ley 13/1995, de 21 de abril, a fin de extender el ámbito de actuación de la Agencia de Protección de Datos de la Comunidad de Madrid al control de los ficheros de datos de carácter personal de las Entidades Locales del territorio de esta Comunidad, de modo que aquélla actuará como autoridad de control respecto de los tratamientos y usos de los datos de carácter personal por dichas entidades.
En segundo lugar, se ha optado por circunscribir el contenido de esta Ley a aquellas materias para las cuales encontramos una habilitación concreta en la propia Ley Orgánica 15/1999, de 13 de diciembre, que son básicamente: La regulación del procedimiento de elaboración de las disposiciones que creen, modifiquen o supriman ficheros de titularidad de la Comunidad de Madrid; la delimitación de las funciones, organización y régimen jurídico básico de la Agencia de Protección de Datos de la Comunidad de Madrid; cooperación interadministrativa y otros aspectos relacionados con la seguridad.
Con ello se suprimen todas las referencias contenidas en la Ley 13/1995, de 21 de abril, en relación a cuestiones como recogida de datos de carácter personal, derechos de los ciudadanos y principio del consentimiento, ejercicio de los derechos de acceso, cancelación y rectificación, cesión de datos, etcétera, que ya están reguladas en la Ley Orgánica, pues son aspectos esenciales que delimitan el sistema de protección de las libertades públicas y los derechos fundamentales de las personas físicas, especialmente el derecho al honor y a la intimidad personal y familiar, en el tratamiento de los datos personales.
II
De acuerdo con lo expresado, el Capítulo I contiene una serie de disposiciones generales en las que se delimitan el objeto y el ámbito de aplicación de la Ley, y una relación de definiciones de expresiones y términos que aun cuando se encuentran recogidos en el artículo 3 de la Ley Orgánica 15/1999, se reproducen en su totalidad a fin de facilitar la comprensión del texto de la Ley sin necesidad de acudir a la Ley Orgánica para precisar el significado de esos términos y expresiones.
El Capítulo II contiene el régimen de los ficheros de datos de carácter personal estableciéndose que la creación, modificación y supresión de los mismos se hará mediante disposición de carácter general, que se publicará en el BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID o en los Diarios Oficiales que corresponda y se inscribirán de oficio en el Registro correspondiente de la Agencia de Protección de Datos de la Comunidad de Madrid.
Asimismo, para el ámbito de la Administración de la Comunidad de Madrid, se establece el procedimiento de elaboración de dichas disposiciones que será iniciado por el órgano competente sobre la materia a que se refiera el contenido del fichero o tratamiento. El proyecto se acompañará de un informe sobre la necesidad y oportunidad del mismo, y de una memoria económica que contenga la estimación del coste a que dará lugar, teniendo en cuenta el nivel de las medidas de seguridad que tengan que adoptarse respecto del fichero. El Proyecto puede someterse a cuantas consultas se estimen convenientes, sin perjuicio de los dictámenes preceptivos que procedan, como el de la Agencia de Protección de Datos, y también a una fase de alegaciones en la que podrán participar las organizaciones o asociaciones legalmente constituidas cuyo objeto estatutario tenga como finalidad principal la defensa de derechos e intereses relacionados con los protegidos en esta Ley, y aquellas organizaciones o asociaciones cuyos miembros resulten especialmente afectados por los datos cuya recogida se pretenda.
El Capítulo III recoge una serie de disposiciones respecto de los responsables de ficheros, estableciendo que los responsables de los ficheros y demás intervinientes en el tratamiento de datos de carácter personal están sujetos al régimen de infracciones previstas en la Ley Orgánica 15/1999, de 13 de diciembre, si bien, considerando que esos responsables son siempre empleados públicos, en el supuesto de comisión de dichas infracciones serán sancionados de acuerdo con el procedimiento y sanciones previstas en la legislación de régimen disciplinario de las Administraciones Públicas. En estos casos, se habilita al Director de la Agencia para que adopte las medidas que procedan para que cesen o se corrijan los efectos de la infracción; para que proponga, en su caso, el inicio del correspondiente procedimiento disciplinario; y, en determinados casos a que inmovilice aquellos ficheros cuando se den las circunstancias previstas en el artículo 49 de la Ley Orgánica 15/1999.
III
El Capítulo IV delimita la naturaleza, el régimen jurídico, y organización de la Agencia de Protección de Datos de la Comunidad de Madrid.
El contenido de este Capítulo viene a reproducir en esencia la regulación de la Ley 13/1995, con algunas modificaciones de escaso alcance cuya finalidad es aclarar o precisar algunas cuestiones que la aplicación de esa Ley ha planteado.
Así, la Agencia es configurada como un Ente de Derecho público, actúa en el ejercicio de sus funciones con plena independencia de la Administración de la Comunidad de Madrid y se relaciona con el Gobierno a través de la Consejería de Presidencia y Hacienda.
En cuanto a su régimen jurídico, se precisa que el mismo será en todo caso de Derecho público y, en particular, se establecen algunas normas respecto de sus relaciones patrimoniales y de contratación, actos administrativos y recursos, representación y defensa en juicio, personal y hacienda.
Cuestión trascendental es la delimitación de las funciones de la Agencia, y por ello se ha seguido el criterio establecido en el artículo 41 de la Ley Orgánica 15/1999, que indica que las funciones de la Agencia de Protección de Datos del Estado previstas en el artículo 37, con excepción de algunas que se reservan a la Agencia estatal, serán ejercidas por las autoridades de control de las Comunidades Autónomas. En cumplimiento de esta disposición las funciones que se atribuye a la Agencia Autonómica vienen a ser las mismas que las atribuidas por esa Ley Orgánica a la Agencia estatal con las excepciones apuntadas.
La Agencia cuenta para el cumplimiento de sus funciones con los siguientes órganos: Director, Consejo de Protección de Datos y el Registro de Ficheros de Datos Personales.
IV
El Capítulo V se refiere a las relaciones de cooperación de la Agencia de Protección de Datos de la Comunidad de Madrid con otras Administraciones Públicas en orden a la creación de las condiciones adecuadas para el ejercicio de los derechos y el cumplimiento de garantías establecidas para la protección de datos personales, así como para favorecer la participación de los interesados y la adopción de medidas para el desarrollo de los sistemas de seguridad.
CAPITULO I. Disposiciones generales
Artículo 1. Objeto
La presente Ley tiene por objeto regular los ficheros de datos de carácter personal y la Agencia de Protección de Datos de la Comunidad de Madrid de acuerdo con lo previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Artículo 2. Ámbito de aplicación
1. La Agencia de Protección de Datos de la Comunidad de Madrid ejerce sus funciones de control sobre los ficheros de datos de carácter personal creados o gestionados por las Instituciones de la Comunidad de Madrid y por los Órganos, Organismos, Entidades de Derecho público y demás Entes públicos integrantes de su Administración Pública, exceptuándose las sociedades mercantiles a que se refiere el artículo 2.2.c).1 de la Ley 1/1984, de 19 de enero, reguladora de la Administración Institucional de la Comunidad de Madrid.
Asimismo, dichas funciones se ejercerán sobre los ficheros de datos de carácter personal creados o gestionados por los Entes que integran la Administración Local del ámbito territorial de la Comunidad de Madrid, de conformidad con lo previsto en el artículo 41 de la Ley Orgánica 15/1999, de 13 de diciembre, así como sobre los ficheros creados o gestionados por las Universidades públicas y por las Corporaciones de derecho público representativas de intereses económico y profesionales de la Comunidad de Madrid, en este último caso siempre y cuando dichos ficheros sean creados o gestionados para el ejercicio de potestades de derecho público.
2. Los ficheros regulados por la Ley estatal 12/1989, de 9 de mayo, de la Función Estadística Pública, creados o gestionados por las entidades y empresas de la Comunidad de Madrid y Entidades Locales referidos en el apartado anterior, para fines no estatales, se regirán por dicha disposición en defecto de la legislación estadística de que pueda dotarse la Comunidad de Madrid, pero estarán sometidos al control de la Agencia de Protección de Datos de la Comunidad de Madrid.
Artículo 3. Definiciones
A los efectos de la presente Ley, y de conformidad con lo previsto en el artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre, se entenderá por:
a) Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables.
b) Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
c) Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
d) Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
e) Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.
f) Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
g) Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
h) Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
i) Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado.
j) Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.
CAPITULO II. Del Régimen de los ficheros de datos de carácter personal
Artículo 4. Disposiciones de regulación de ficheros
1. La creación, modificación o supresión de ficheros de datos de carácter personal incluidos en el ámbito de aplicación de la presente Ley se realizará mediante disposición de carácter general que será publicada en el BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID o en el Diario Oficial que corresponda.
Corresponde a la Asamblea de Madrid, a través del órgano que ésta determine, la competencia para la creación, modificación y supresión de sus ficheros.
En el ámbito de la Administración de la Comunidad de Madrid la aprobación de aquella disposición se hará mediante Orden del Consejero respectivo. No obstante, en los Entes dotados de especial autonomía o independencia de la Administración de la Comunidad de Madrid esa competencia corresponderá a éstos.
2. Las disposiciones de creación o modificación de ficheros de datos de carácter personal deberán indicar en todo caso:
a) La finalidad del fichero y los usos previstos para el mismo.
b) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos.
c) El procedimiento de recogida de los datos de carácter personal.
d) La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo.
e) Las cesiones de datos de carácter personal.
f) Los órganos de la Administración responsables del fichero.
g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición.
h) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.
3. En las disposiciones que se dicten para la supresión de los ficheros, se establecerá el destino de los datos contenidos en los mismos o, en su caso, las previsiones que se adopten para su destrucción.
4. De la destrucción de los datos sólo podrán ser excluidos aquéllos que, en atención a su necesidad para el desarrollo de la función estadística pública, sean previamente sometidos a procedimiento de disociación.
5. Los ficheros se inscribirán en el Registro de Ficheros de Datos Personales de la Agencia de Protección de Datos de la Comunidad de Madrid, sin perjuicio de lo previsto en el artículo 39 de la Ley Orgánica 15/1999, de 13 de diciembre.
Artículo 5. Procedimiento para la aprobación de disposiciones de ficheros de datos de carácter personal de los Órganos, Organismos, Entidades de Derecho público y demás Entes públicos de la Comunidad de Madrid
1. La iniciativa en la tramitación del procedimiento de elaboración de las disposiciones de carácter general de creación, modificación o supresión de ficheros de datos de carácter personal corresponderá al órgano titular de la función específica en que se concrete la competencia sobre la materia a cuyo ejercicio sirva instrumentalmente el fichero.
2. Si la iniciativa fuera de un Organismo Autónomo, de una Entidad de Derecho público o de un Ente público la propuesta corresponderá a su Consejo de Administración.
3. El proyecto de disposición se acompañará de un informe sobre la necesidad y oportunidad del mismo, así como de una memoria económica que contenga la estimación del coste a que dará lugar.
4. A lo largo del proceso de elaboración se recabará, además de los informes y dictámenes previos preceptivos, cuantos estudios y consultas se estimen convenientes para garantizar la oportunidad y legalidad del texto del proyecto.
5. Elaborado el proyecto de disposición de carácter general, se abrirá una fase de alegaciones, durante un plazo no inferior a quince días hábiles, relativas a la adecuación, pertinencia o proporcionalidad de los datos de carácter personal que pretendan solicitarse en relación con la finalidad del fichero.
A tal fin el proyecto de disposición será trasladado a las organizaciones o asociaciones legalmente constituidas cuyo objeto estatutario tenga como finalidad principal la defensa de derechos e intereses relacionados con los protegidos mediante esta Ley o cuyos miembros resulten especialmente afectados por los datos cuya recogida se pretenda.
No será necesario este trámite, si las organizaciones o asociaciones mencionadas hubieran participado por medio de informes o consultas en el proceso de elaboración indicado en el apartado anterior.
6. Con carácter previo a su aprobación el proyecto de disposición, junto con las alegaciones formuladas, se remitirá a la Agencia de Protección de Datos de la Comunidad de Madrid para informe preceptivo.
7. Con posterioridad al informe preceptivo de la Agencia, se enviará a la Secretaría General Técnica de la Consejería a la que corresponda la aprobación del proyecto para informe igualmente preceptivo.
En el caso de los Entes públicos dotados de especial autonomía o independencia de la Administración de la Comunidad de Madrid dicho informe será emitido por la Dirección General de los Servicios Jurídicos.
Artículo 6. Derecho de información en la recogida de datos de carácter personal
Los interesados cuyos datos personales sean objeto de tratamiento deberán ser previamente informados de modo expreso, preciso e inequívoco de los extremos señalados en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, en la forma y condiciones establecidas en ese mismo artículo.
CAPITULO III. De las responsabilidades sobre los ficheros de datos de carácter personal y su uso
Artículo 7. Responsable del fichero
1. Responsable del fichero es el órgano administrativo designado en la disposición de creación del fichero al que corresponde decidir sobre la finalidad, contenido y uso del tratamiento.
2. Cuando no sea posible la determinación del responsable del fichero, por estar atribuidas a diferentes órganos administrativos la competencia para decidir sobre la finalidad, contenido y uso del tratamiento, se entenderá por responsable del fichero al órgano titular de la función específica en que se concrete la competencia material a cuyo ejercicio sirva instrumentalmente el fichero.
3. En el caso de los Organismos Autónomos, Entidades de Derecho público y demás Entes públicos, y salvo que las normas fundacionales de los mismos dispongan otra cosa, el responsable del fichero será el Gerente o Director de aquellos.
Artículo 8. Funciones del responsable del fichero
Corresponde al responsable del fichero:
a) La resolución sobre el ejercicio de los derechos de oposición, acceso, rectificación y cancelación por los ciudadanos.
b) La atribución de responsabilidades sobre la ejecución material de las diferentes operaciones y procedimientos en que consista el tratamiento de datos referente a los ficheros de su responsabilidad.
c) La adopción de las medidas de seguridad a que se encuentre sometido el fichero de acuerdo con la normativa vigente.
d) Dar cuenta de forma motivada a la Agencia de Protección de Datos de la Comunidad de Madrid de la aplicación de las excepciones al régimen general previsto para el acceso, rectificación, cancelación u oposición conforme a lo previsto en el artículo 23 de la Ley Orgánica 15/1999, de 13 de diciembre.
e) Comunicar a la Agencia de Protección de Datos de la Comunidad de Madrid las variaciones experimentadas en los ficheros y los tratamientos.
Artículo 9. Tratamiento de datos
1. El tratamiento de datos de carácter personal se sujetará a las medidas de seguridad establecidas en la correspondiente normativa del Estado.
2. Quienes presten servicios de tratamiento de datos de carácter personal a la Comunidad de Madrid y a las Entidades Locales de su ámbito territorial vendrán obligados a cumplir lo previsto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre.
3. Los contratos de prestación de servicios de tratamiento de datos de carácter personal deberán ser comunicados a la Agencia de Protección de Datos de la Comunidad de Madrid con anterioridad a su perfeccionamiento.
4. El incumplimiento de las determinaciones indicadas en el apartado 2 del presente artículo será causa de resolución del contrato, sin perjuicio de las sanciones que eventualmente correspondan conforme a la Ley Orgánica 15/1999, de 13 de diciembre, y de las responsabilidades que pudieran derivarse por los daños y perjuicios que se ocasionen.
Artículo 10. Usuarios de sistemas de tratamiento de datos de carácter personal
Son usuarios el personal al servicio de las Instituciones o de la Administración de la Comunidad de Madrid y de las Entidades Locales en su ámbito territorial que tengan acceso a los datos de carácter personal como consecuencia de tener encomendadas tareas de utilización material de los sistemas de información en los que se integran los ficheros de datos.
Los usuarios vienen obligados al cumplimiento de las medidas de seguridad establecidos y están sujetos al deber de secreto profesional en los términos que establece el artículo siguiente.
Artículo 11. Deber de secreto
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
Artículo 12. Responsabilidad disciplinaria
1. Los responsables de ficheros y los encargados de los tratamientos de datos de carácter personal estarán sujetos al régimen de infracciones previsto en el Título VII de la Ley Orgánica 15/1999, de 13 de diciembre, excepto en lo que se refiere al procedimiento y al régimen de sanciones aplicable, que será el previsto en la legislación de régimen disciplinario de las Administraciones Públicas.
2. En caso de comisión de alguna de las infracciones previstas en el artículo 44 de la Ley Orgánica 15/1999, de 13 de diciembre, el Director de la Agencia de Protección de Datos de la Comunidad de Madrid dictará resolución estableciendo las medidas que proceda adoptar para que cesen o se corrijan los efectos de la infracción. Dicha resolución se comunicará al responsable del fichero, al órgano del que depende jerárquicamente y a los afectados, si los hubiese.
Dicha atribución se entiende sin perjuicio de la competencia atribuida a la Agencia de Protección de Datos del Estado en el artículo 46 de la Ley Orgánica 15/1999, de 13 de diciembre.
3. El Director de la Agencia de Protección de Datos de la Comunidad de Madrid también podrá proponer, si procede, el inicio de las correspondientes actuaciones disciplinarias.
4. Se deberá comunicar a la Agencia de Protección de Datos de la Comunidad de Madrid las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
Artículo 13. Potestad de inmovilización de ficheros
En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia de Protección de Datos de la Comunidad de Madrid podrá requerir a los responsables de ficheros de datos de carácter personal, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido la Agencia podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas.
Lo dispuesto en el apartado anterior ha de entenderse sin perjuicio de la potestad atribuida a la Agencia de Protección de Datos del Estado en el artículo 49 de la Ley Orgánica 15/1999.
CAPITULO IV. De la Agencia de Protección de Datos de la Comunidad de Madrid
Artículo 14. Naturaleza y Régimen Jurídico
1. La Agencia de Protección de Datos de la Comunidad de Madrid es un Ente de Derecho público de los previstos en el artículo 6 de la Ley 9/1990, de 8 de noviembre, reguladora de la Hacienda de la Comunidad de Madrid, con personalidad jurídica propia y plena capacidad de obrar.
La Agencia de Protección de Datos actúa en el ejercicio de sus funciones con plena independencia de la Administración de la Comunidad de Madrid.
2. La Agencia de Protección de Datos se regirá por lo dispuesto en la presente Ley y en su Estatuto propio que será aprobado por el Gobierno, así como por las disposiciones de la Ley reguladora de la Hacienda de la Comunidad de Madrid, que le resulten de aplicación conforme al artículo 6 de la misma.
En el ejercicio de sus funciones públicas, y en defecto de lo que dispongan la presente Ley y sus disposiciones de desarrollo, la Agencia de Protección de Datos actuará de conformidad con la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
En sus relaciones patrimoniales y contratación estará sujeta al Derecho Público.
3. Los actos administrativos dictados por el Director de la Agencia de Protección de Datos agotan la vía administrativa y podrán ser objeto de recurso de reposición potestativo y de recurso contencioso-administrativo.
Su representación y defensa en juicio estará a cargo de los Servicios Jurídicos de la Comunidad de Madrid conforme a lo dispuesto en sus normas reguladoras.
Igualmente el asesoramiento jurídico a la Agencia corresponderá a la Dirección General de los Servicios Jurídicos que destinará en la misma a un Letrado para el cumplimiento de esa función.
4. Los puestos de trabajo de los órganos y servicios que integran la Agencia de Protección de Datos serán desempeñados por personal funcionario o laboral de acuerdo con la naturaleza de las funciones asignadas a cada puesto de trabajo.
En materia de personal la Agencia se regirá por las disposiciones normativas que en materia de función pública resulten de aplicación al personal al servicio de la Administración de la Comunidad de Madrid.
Corresponde a la Agencia de Protección de Datos determinar el régimen de acceso a sus puestos de trabajo, así como los requisitos y características de las pruebas para acceder a los mismos de acuerdo con sus necesidades, las vacantes existentes y sus disponibilidades presupuestarias, ajustando el régimen de selección a lo establecido en la Ley 30/1984, de 2 de agosto, de Medidas para la Reforma de la Función Pública, y en la legislación correspondiente de la Comunidad de Madrid.
Corresponderá a la Agencia de Protección de Datos la elaboración, convocatoria, gestión y resolución de los sistemas de provisión de puestos de trabajo y promoción profesional ajustando sus bases a los criterios generales de provisión de puestos de trabajo establecidos en la Ley 30/1984, de 2 de agosto, de Medidas para la Reforma de la Función Pública, y en la normativa correspondiente de la Comunidad de Madrid.
5. La Agencia de Protección de Datos contará para el cumplimiento de sus fines con los siguientes bienes y recursos económicos:
a) Las asignaciones que se establezcan anualmente con cargo a los Presupuestos Generales de la Comunidad de Madrid.
b) Los bienes y valores que constituyen su patrimonio, así como los productos y rentas del mismo.
c) Cualesquiera otros que legalmente puedan serle atribuidos.
6. La Agencia elaborará y aprobará con carácter anual el correspondiente Anteproyecto de Presupuesto que refleje los créditos necesarios para la consecución de sus objetivos, con la estructura que señale la Consejería competente en materia de Presupuestos de la Comunidad, y lo remitirá a ésta para su elevación al Gobierno, y posterior remisión a la Asamblea, formando parte del Proyecto de los Presupuestos Generales de la Comunidad de Madrid y consolidándose con los de la Administración General y sus Organismos Autónomos.
Este Presupuesto tendrá carácter limitativo por su importe global. Las variaciones en la cuantía global serán aprobadas por la Asamblea de Madrid, el Gobierno o el Consejero de Presidencia y Hacienda, según lo dispuesto en la Ley 9/1990, de 8 de noviembre, reguladora de la Hacienda de la Comunidad de Madrid.
Las variaciones de los créditos de la Agencia que no alteren la cuantía global del Presupuesto de la Agencia serán acordadas por el Director de la misma. En todo caso, se respetarán las normas aplicables a la Administración de la Comunidad de Madrid en cuanto a la tramitación y documentación de las modificaciones presupuestarias y otras operaciones sobre los presupuestos.
La Agencia está sometida a la función interventora, control financiero y control de eficacia, que se ejercerá por la Intervención General en los términos establecidos en los artículos 16 y 17 de la Ley 9/1990, de 8 de noviembre, reguladora de la Hacienda de la Comunidad de Madrid y artículo 12 de la Ley 2/1995, de 8 de marzo, de Subvenciones de la Comunidad de Madrid.
El Gobierno, previo informe de la Intervención General de la Comunidad de Madrid, determinará el control a ejercer sobre la actividad económico-financiera de la Agencia y, en su caso, la modalidad y alcance del mismo.
La Agencia estará sometida al régimen de Contabilidad Pública.
Artículo 15. Funciones
La Agencia de Protección de Datos de la Comunidad de Madrid ejercerá las funciones que a continuación se relacionan en el ámbito de actuación que le atribuye el artículo 41 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal:
a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, oposición, rectificación y cancelación de datos, así como en lo relativo a la comunicación de datos personales entre las Administraciones Públicas a las que se refiere el artículo 2 de la presente Ley.
b) Proporcionar a las personas información acerca de los derechos reconocidos en la normativa vigente en materia de protección de datos de carácter personal.
c) Atender las peticiones y resolver las reclamaciones formuladas por los interesados para la protección de sus derechos de acceso, rectificación, cancelación y oposición en relación con los ficheros sometidos al ámbito de aplicación de esta Ley.
d) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos de datos de carácter personal a los principios contenidos en la Ley Orgánica 15/1999, de 13 de diciembre, y en la presente Ley.
e) Requerir a los responsables y los encargados de los tratamientos sujetos al ámbito de aplicación de esta Ley, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos al ordenamiento jurídico vigente y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros cuando no se ajusten a las disposiciones que les resulten de aplicación, todo ello sin perjuicio de las competencias exclusivas de la Agencia de Protección de Datos del Estado en materia de transferencias internacionales.
f) Inscribir los códigos tipo efectuados en el ámbito de aplicación de esta Ley en el Registro de ficheros, previamente inscritos en el Registro General de Protección de Datos de la Agencia de Protección de Datos del Estado.
g) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley, así como las disposiciones de creación, modificación y supresión de ficheros de datos de carácter personal sujetos al ámbito de aplicación de esta Ley.
h) Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones.
i) Velar por la publicidad de la existencia de los ficheros de datos de carácter personal, a cuyo efecto publicará anualmente una relación de los mismos con la información adicional que el Director de la Agencia determine, sin perjuicio de las competencias atribuidas al respecto a la Agencia de Protección de Datos del Estado.
j) Velar por el cumplimiento de las disposiciones que las leyes sobre estadística pública de la Comunidad de Madrid establezcan respecto de la recogida de datos estadísticos y del secreto estadístico, así como dictar las instrucciones precisas y dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadísticos.
k) Redactar una memoria anual de sus actividades que será remitida al Gobierno y a la Asamblea de Madrid.
l) Colaborar con la Agencia de Protección de Datos del Estado y con los órganos correspondientes de las Comunidades Autónomas en cuantas actividades sean necesarias para aumentar la protección de los derechos de los ciudadanos respecto a los ficheros de datos de carácter personal.
m) Proponer la iniciación de procedimientos disciplinarios contra quienes estime responsables de las infracciones al régimen de protección de datos personales sujetos al ámbito de aplicación de esta Ley, sin perjuicio de la adopción de las medidas cautelares previstas en el apartado e) de este artículo y de las competencias de la Agencia de Protección de Datos del Estado en materia de transferencias internacionales.
n) Cuantas otras le sean atribuidas por normas legales o reglamentarias.
Artículo 16. El Director de la Agencia de Protección de Datos
1. El Director de la Agencia de Protección de Datos dirige la Agencia, ostenta su representación y preside el Consejo. Será nombrado mediante Decreto del Presidente de la Comunidad de Madrid, previa designación por el Consejo de Protección de Datos, por un período de cuatro años.
2. Ejercerá sus funciones con plena independencia y objetividad, sin estar sujeto a mandato imperativo o instrucción alguna en el desempeño de aquéllas. No obstante, el Director deberá oír al Consejo de Protección de Datos sobre aquellos asuntos que le someta a su consideración o sobre aquellos asuntos en que el Consejo estime conveniente pronunciarse en el ejercicio de sus funciones.
3. El Director sólo cesará antes de la expiración de su mandato a petición propia o por separación acordada por el Presidente de la Comunidad de Madrid a solicitud del Consejo de Protección de Datos de la Comunidad. Dicha solicitud deberá ser aprobada por el voto de tres cuartas partes de sus miembros en reunión extraordinaria convocada al efecto y sólo por alguna de las causas siguientes: Incumplimiento grave de sus obligaciones, incompatibilidad, incapacidad sobrevenida para el ejercicio de sus funciones o condena por delito doloso.
4. El Director tendrá la consideración de alto cargo resultándole de aplicación la Ley 14/1995, de 21 de abril, de Incompatibilidades de Altos Cargos de la Comunidad de Madrid.
5. El Director de la Agencia de Protección de Datos representará a la Comunidad de Madrid en el Consejo Consultivo regulado en el artículo 38 de la Ley Orgánica 15/1999, de 13 de diciembre.
Artículo 17. El Consejo de Protección de Datos
1. El Consejo de Protección de Datos de la Comunidad de Madrid es el órgano consultivo de la Agencia, designa al Director, le asesora en el ejercicio de sus funciones y emite sus dictámenes que serán vinculantes en las materias que regulan esta Ley y el Estatuto de la Agencia.
2. El Consejo estará compuesto por los siguientes miembros:
a) Un representante de cada Grupo Parlamentario de la Asamblea de Madrid.
b) Cinco representantes de la Administración de la Comunidad de Madrid, designados por el Presidente.
c) Dos representantes de las Entidades Locales de la Comunidad de Madrid, designados por la Federación de Municipios de Madrid.
d) Un representante de las organizaciones sindicales, elegido por el Consejo Económico y Social de la Comunidad de Madrid.
e) Un representante de las organizaciones empresariales, elegido por el Consejo Económico y Social de la Comunidad de Madrid.
f) Un experto en la materia, designado por la Asamblea de Madrid.
3. Los miembros del Consejo serán nombrados mediante Decreto del Presidente de la Comunidad de Madrid, a propuesta de los respectivos grupos, órganos, entidades y organizaciones citados en el apartado anterior, por un período de cuatro años. Podrán ser sustituidos, por el mismo procedimiento, a solicitud de los mismos grupos, órganos, organizaciones o entidades proponentes.
4. En su sesión constitutiva el Consejo designará al Director de la Agencia por mayoría absoluta de sus miembros. La designación deberá recaer en una persona de acreditada independencia, elevado conocimiento de las materias de su competencia y probada capacidad de gestión. Una vez nombrado, y en cuanto miembro del Consejo de Protección de Datos, ejercerá la presidencia del mismo.
Artículo 18. Registro de Ficheros de Datos Personales
1. La Agencia de Protección de Datos de la Comunidad de Madrid llevará un Registro de Ficheros de Datos de carácter personal.
2. Serán objeto de inscripción en el Registro de Ficheros de Datos de carácter personal:
a) Los ficheros de datos de carácter personal de que sean titulares las Instituciones, Órganos, Organismos y Empresas referidas en el artículo 2 de la presente Ley.
b) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición.
c) Los códigos tipo a los que se refiere el artículo 32 de la Ley Orgánica 15/1999, de 13 de diciembre, una vez inscritos en el Registro General de Protección de Datos de la Agencia de Protección de Datos del Estado.
3. Por vía reglamentaria se regulará el procedimiento de inscripción de los ficheros en el Registro de Ficheros de Datos Personales, el contenido de la inscripción, su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás extremos pertinentes.
4. Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro de Ficheros de Datos Personales, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro será de consulta pública y gratuita.
Artículo 19. Potestad de inspección
1. La Agencia de Protección de Datos de la Comunidad de Madrid dispondrá de los medios de investigación y del poder efectivo de intervenir frente a la explotación y creación de ficheros sujetos al ámbito de aplicación de esta Ley, que no se ajusten a las disposiciones de la Ley Orgánica 15/1999, de 13 de diciembre, de la presente Ley, y de las demás disposiciones que resulten de aplicación.
A tal efecto, tendrá acceso a los ficheros, podrá inspeccionarlos y recabar toda la información necesaria para el cumplimiento de su misión de control, podrá solicitar la exhibición o el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los dispositivos físicos y lógicos utilizados para el tratamiento de los datos accediendo a los locales donde se hallen instalados.
2. El personal que ejerza la inspección a que se refiere el apartado anterior, tendrá la consideración de autoridad pública en el desempeño de sus cometidos y las actas que levanten gozarán de la presunción de veracidad en los términos establecidos en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
CAPITULO V. De la Cooperación Interadministrativa
Artículo 20. Cooperación interadministrativa
1. La Agencia de Protección de Datos de la Comunidad de Madrid iniciará las acciones oportunas para la colaboración y cooperación con otras Administraciones Públicas en orden a la creación de las condiciones adecuadas para el ejercicio de los derechos y el cumplimiento de las garantías establecidas para la protección de datos personales, así como para favorecer la participación de los interesados y la adopción de medidas para el desarrollo de los sistemas de seguridad.
2. Periódicamente, la Agencia de Protección de Datos remitirá a la Agencia de Protección de Datos del Estado el contenido del Registro de Ficheros de Datos Personales de la Comunidad de Madrid.
DISPOSICIÓN TRANSITORIA PRIMERA. Ficheros de las Entidades Locales
En el plazo de tres meses a partir de la entrada en vigor de la presente Ley, la Agencia de Protección de Datos de la Comunidad de Madrid solicitará a la Agencia de Protección de Datos del Estado toda la información respecto de los ficheros inscritos en su Registro General y que sean de titularidad de las entidades que integran la Administración Local del ámbito territorial de la Comunidad de Madrid.
DISPOSICIÓN TRANSITORIA SEGUNDA. Procedimientos sancionadores
Los procedimientos a los que se refiere el artículo 46.1 de la Ley 15/1999, de 13 de diciembre, iniciados con anterioridad a la entrada en vigor de esta Ley, por la Agencia de Protección de Datos del Estado, contra las Entidades Locales incluidas en el ámbito de aplicación de esta Ley, se tramitarán hasta su resolución por dicha Agencia estatal.
Asimismo, corresponderá a ésta la resolución de los recursos administrativos que contra dichas resoluciones pudieran interponer las entidades referidas.
DISPOSICIÓN DEROGATORIA ÚNICA. Derogación normativa
Quedan derogadas todas las normas de igual o inferior rango en lo que contradigan o se opongan a lo dispuesto en la presente Ley y, en particular, la Ley 13/1995, de 21 de abril, de regulación del uso de informática en el tratamiento de datos personales por la Comunidad de Madrid.
Asimismo, se deroga el Capítulo VI del Título III de la Ley 27/1997, de 26 de diciembre, de Tasas y Precios Públicos de la Comunidad de Madrid, integrada por los artículos 96 a 99, ambos inclusive.
DISPOSICIÓN FINAL PRIMERA. Habilitación de desarrollo reglamentario
Se autoriza al Gobierno a dictar cuantas disposiciones de aplicación y desarrollo de la presente Ley sean necesarias.
DISPOSICIÓN FINAL SEGUNDA. Entrada en vigor
La presente Ley entrará en vigor al mes siguiente de su publicación en el BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID.
Por tanto, ordeno a todos los ciudadanos a los que sea de aplicación esta Ley que la cumplan, y a los Tribunales y Autoridades que corresponda, la guarden y la hagan guardar.
Madrid, 13 de julio de 2001.
El Presidente,
ALBERTO RUIZ-GALLARDÓN