EXPOSICIÓN DE MOTIVOS
La Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, habilita al Gobierno, en su disposición final primera, para dictar las disposiciones necesarias para la aplicación y desarrollo de la referida Ley, a la par que contiene en diferentes preceptos unos concretos mandatos al Gobierno para que por vía reglamentaria regule determinados aspectos, en su mayoría de orden procedimental, referentes al ejercicio de los derechos de acceso, rectificación y cancelación, a la forma de reclamar ante la Agencia de Protección de Datos por actuaciones contrarias a la Ley, a la notificación e inscripción de los ficheros automatizados de datos y al procedimiento para la determinación de las infracciones y la imposición de las sanciones.
En uso de dicha habilitación, y cumplimentando el mandato conferido en los artículos 15.1, 16.1, 17.1, 24.2, 38.3 y 47.1 de la citada Ley Orgánica, se dicta la presente disposición.
En su virtud, a propuesta del Ministro de Justicia e Interior, con la aprobación del Ministro para las Administraciones Públicas, previo informe de la Agencia de Protección de Datos, de acuerdo con el Consejo de Estado y previa deliberación del Consejo de Ministros en su reunión del día 17 de junio de 1994, dispongo:
CAPITULO I . Disposiciones generales
Artículo 1. Definiciones.
A efectos de lo dispuesto en el presente Real Decreto se entenderá por:
1. Bloqueo de datos: la identificación y reserva de datos con el fin de impedir su tratamiento.
2. Cesión de datos: toda obtención de datos resultante de la consulta de un fichero, la publicación de los datos contenidos en el fichero, su interconexión con otros ficheros y la comunicación de datos realizada por una persona distinta de la afectada.
3. Datos accesibles al público: los datos que se encuentran a disposición del público en general, no impedida por cualquier norma limitativa, y están recogidos en medios tales como censos, anuarios, bases de datos públicas, repertorios de jurisprudencia, archivos de prensa, repertorios telefónicos o análogos, así como los datos publicados en forma de listas de personas pertenecientes a grupos profesionales que contengan únicamente los nombres, títulos, profesión, actividad, grados académicos, dirección e indicación de su pertenencia al grupo.
4. Datos de carácter personal: toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable.
5. Identificación del afectado: cualquier elemento que permita determinar directa o indirectamente la identidad física, fisiológica, psíquica, económica, cultural o social de la persona física afectada.
6. Transferencia de datos: el transporte de datos entre sistemas informáticos por cualquier medio de transmisión, así como el transporte de soportes de datos por correo o por cualquier otro medio convencional.
Artículo 2. Regímenes especiales.
1. De conformidad con lo dispuesto en el artículo 2.3 de la Ley Orgánica 5/1992 se regirán por las disposiciones que, en materia de protección de datos, contienen las leyes y reglamentos respectivos, los ficheros siguientes:
a) El censo electoral, el fichero de electores y ficheros complementarios, regulados por la legislación de régimen electoral.
b) Los ficheros automatizados creados con fines exclusivamente estadísticos y amparados en cuanto a protección de datos por la normativa reguladora de la función estadística pública, sin perjuicio de lo prevenido en el artículo 36, m), de la Ley Orgánica 5/1992.
c) Los ficheros automatizados de estado civil, amparados por la Ley del Registro Civil y su Reglamento.
d) Los ficheros automatizados de antecedentes penales.
e) Los ficheros automatizados creados o gestionados al amparo de la normativa sobre protección de materias clasificadas.
f) Los ficheros automatizados cuyo objeto sea el almacenamiento de los datos contenidos en los informes personales regulados en el artículo 68 de la Ley 17/1989, de 19 de julio , reguladora del Régimen del personal militar profesional.
2. La remisión al Derecho nacional, contenida en los Títulos IV y VI del Convenio de 19 de junio de 1990, de aplicación del Acuerdo de Schengen de 14 de junio de 1985, así como cualquier otra remisión hecha a disposiciones nacionales de protección de datos personales contenida en convenios internacionales, se entenderá referida a la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, y a las disposiciones reglamentarias de desarrollo.
CAPITULO II. Transferencia internacional de datos
Artículo 3. Régimen de las transferencias.
1. Si la transferencia de los datos de carácter personal tuviera como destinatario un país que no proporciona un nivel de protección equiparable al que presta la Ley Orgánica 5/1992, el Director de la Agencia de Protección de Datos autorizará la transferencia de los mismos, siempre que el cedente de los datos acredite haber cumplido lo dispuesto en los preceptos de la referida Ley y otorgue las garantías que al efecto le sean exigidas. A tal fin, la autorización deberá ser sometida al cumplimiento de las condiciones o cargas modales que se consideren necesarias para que de la transferencia no se deriven perjuicios a los derechos de los afectados y se respeten los principios contenidos en el Título II de la Ley Orgánica 5/1992.
2. En caso de incumplimiento de los términos de la autorización el cedente y el cesionario de los datos responderán solidariamente a efectos de lo previsto en el artículo 17.3 de la Ley Orgánica 5/1992.
Artículo 4. Excepciones.
1. Se exceptúan, en todo caso, de la autorización previa del Director de la Agencia de Protección de Datos las transferencias de datos de carácter personal que resulten de la aplicación de tratados o convenios en los que sea parte España y, en particular:
a) Las transmisiones de datos registrados en ficheros creados por las Fuerzas y Cuerpos de Seguridad en función de una investigación concreta, hechas por conducto de Interpol u otras vías previstas en convenios en los que España sea parte, cuando las necesidades de la investigación en curso exijan la transmisión a servicios policiales de otros Estados.
b) Las transmisiones de datos registrados en la parte nacional española del Sistema de Información Schengen, con destino a la unidad de apoyo del sistema, a los solos efectos de una investigación policial en curso que requiera la utilización de datos del sistema.
c) Las transmisiones de datos previstas en el sistema de intercambios de información contemplado en el Título VI del Tratado de la Unión Europea.
d) Las transmisiones de los datos registrados en los ficheros creados por las Administraciones tributarias, en favor de los demás Estados miembros de la Unión Europea o en favor de otros Estados terceros, en virtud de lo dispuesto en los convenios internacionales de asistencia mutua en materia tributaria.
2. Se exceptúan, asimismo, de la autorización previa del Director de la Agencia de Protección de Datos, cualquiera que sea el Estado destinatario de los datos, las transmisiones de datos que se efectúen para cumplimentar exhortos, cartas órdenes, comisiones rogatorias u otras peticiones de auxilio judicial internacional, y los demás supuestos previstos en el artículo 33 de la Ley Orgánica 5/1992.
CAPITULO III. Notificación e inscripción de ficheros
Artículo 5. Notificación de ficheros de titularidad pública.
Todo fichero de datos de carácter personal, de titularidad pública, será notificado a la Agencia de Protección de Datos por el órgano competente de la Administración responsable del fichero para su inscripción en el Registro General de Protección de Datos, mediante el traslado, a través del modelo normalizado que al efecto elabore la Agencia, de una copia de la disposición de creación del fichero.
Artículo 6. Notificación de ficheros de titularidad privada.
La persona o entidad que pretenda crear un fichero de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos mediante escrito o soporte informático en modelo normalizado que al efecto elabore la Agencia, en el que se especificarán los siguientes extremos:
a) Nombre, denominación o razón social, documento nacional de identidad o código de identificación fiscal, dirección y actividad u objeto social del responsable del fichero.
b) Ubicación del fichero.
c) Identificación de los datos que se pretendan tratar, individualizando los supuestos de datos especialmente protegidos.
d) Dirección de la oficina o dependencia en la cual puedan ejercerse los derechos de acceso, rectificación y cancelación.
e) Origen o procedencia de los datos.
f) Finalidad del fichero.
g) Cesiones de datos previstas.
h) Transferencias temporales o definitivas que se prevean realizar a otros países, con expresión de los mismos.
i) Destinatarios o usuarios previstos para las cesiones o transferencias.
j) Sistemas de tratamiento automatizado que se vayan a utilizar.
k) Medidas de seguridad.
Artículo 7. Inscripción de los ficheros.
1. Los ficheros de titularidad pública serán inscritos de oficio por la Agencia de Protección de Datos, una vez haya recibido la copia de la disposición de creación del fichero.
2. El Director de la Agencia de Protección de Datos, a propuesta del Registro General de Protección de Datos, acordará la inscripción de los ficheros de titularidad privada si la notificación contuviera la información preceptiva y se cumplen las restantes exigencias legales, requiriendo, en caso contrario, al responsable del fichero para que la complete o subsane en el plazo de diez días, con indicación de que, si así no lo hiciera, se le tendrá por desistido de su petición, archivándose sin más trámite.
3. La inscripción contendrá, en el supuesto de ficheros de titularidad pública, las indicaciones previstas en el artículo 18.2 de la Ley Orgánica 5/1992, con especificación de la disposición general de creación y del diario oficial de su publicación, y, en el supuesto de ficheros de titularidad privada, los extremos relacionados en el artículo 6 del presente Real Decreto, con excepción de las medidas de seguridad.
4. La inscripción será notificada al responsable del fichero por el Registro General de Protección de Datos.
Artículo 8. Modificación y cancelación de la inscripción.
1. La modificación o, en su caso, cancelación de la inscripción de los ficheros de titularidad pública se producirá de oficio por la Agencia de Protección de Datos, previo traslado por el órgano de la Administración responsable del fichero de una copia de la disposición general que modifique o suprima aquél.
2. Cuando se trate de ficheros de titularidad privada, cualquier modificación posterior en el contenido de los extremos a que se refiere el artículo 6 del presente Real Decreto se comunicará, a efectos de inscripción, en su caso, a la Agencia de Protección de Datos dentro del mes siguiente a la fecha en que aquélla se hubiera producido. En igual plazo se comunicará la decisión de supresión del fichero a efectos de la cancelación del correspondiente asiento de inscripción.
Artículo 9. Inscripción y publicidad de los códigos tipo.
1. Los códigos tipo se depositarán, para su inscripción, en el Registro General de Protección de Datos.
2. El Director de la Agencia de Protección de Datos podrá denegar la inscripción si el código tipo no se ajusta a las disposiciones de la Ley Orgánica 5/1992 y del presente Real Decreto, sin perjuicio de requerir a los solicitantes para que subsanen las deficiencias.
3. Los particulares podrán obtener copias de los códigos tipo depositados e inscritos en el Registro General de Protección de Datos.
4. En caso de incumplimiento de las normas contenidas en los códigos tipo se estará a lo dispuesto al efecto en los acuerdos o decisiones que los formulen.
Artículo 10. Recursos.
Contra las resoluciones del Director de la Agencia de Protección de Datos relativas a la inscripción o, en su caso, a la modificación o cancelación de la inscripción de un fichero o código tipo, procederá el recurso contencioso-administrativo.
CAPITULO IV. Ejercicio y tutela de los derechos del afectado
Artículo 11. Carácter personal de los derechos.
Los derechos de acceso a los ficheros automatizados, así como los de rectificación y cancelación de datos son personalísimos y serán ejercidos por el afectado frente al responsable del fichero, sin otras limitaciones que las que prevén la Ley Orgánica 5/1992 y el presente Real Decreto.
Podrá, no obstante, actuar el representante legal del afectado cuando éste se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de los mismos.
Artículo 12. Derecho de acceso.
1. El derecho de acceso se ejercerá mediante petición o solicitud dirigida al responsable del fichero, formulada por cualquier medio que garantice la identificación del afectado y en la que conste el fichero o ficheros a consultar.
2. El afectado podrá optar por uno o varios de los siguientes sistemas de consulta del fichero, siempre que la configuración e implantación material del fichero lo permita:
a) Visualización en pantalla.
b) Escrito, copia o fotocopia remitida por correo.
c) Telecopia.
d) Cualquier otro procedimiento que sea adecuado a la configuración e implantación material del fichero, ofrecido por el responsable del mismo.
3. El responsable del fichero resolverá sobre la petición de acceso en el plazo máximo de un mes, a contar de la recepción de la solicitud. Transcurrido este plazo sin que de forma expresa se responda a la petición de acceso, ésta podrá entenderse desestimada a los efectos de la interposición de la reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992.
4. Si la resolución fuera estimatoria, el acceso se hará efectivo en el plazo de los diez días siguientes a la notificación de aquélla.
Artículo 13. Contenido de la información.
1. La información, cualquiera que sea el soporte en que fuere facilitada, se dará en forma legible e inteligible, previa transcripción en claro de los datos del fichero, en su caso.
2. La información comprenderá los datos de base del afectado y los resultantes de cualquier elaboración o proceso informático, así como el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos.
Artículo 14. Denegación del acceso.
1. Se denegará el acceso a los datos de carácter personal registrados en ficheros de titularidad pública cuando se dé alguno de los supuestos contemplados en los artículos 14.3, 21.1 y 2 y 22.2 de la Ley Orgánica 5/1992.
2. Tratándose de datos de carácter personal registrados en ficheros de titularidad privada, únicamente se denegará el acceso cuando la solicitud sea formulada por persona distinta del afectado.
Artículo 15. Derecho de rectificación o cancelación.
1. Cuando el acceso a los ficheros revelare que los datos del afectado son inexactos o incompletos, inadecuados o excesivos, podrá éste solicitar del responsable del fichero la rectificación o, en su caso, cancelación de los mismos.
No obstante, cuando se trate de datos que reflejen hechos constatados en un procedimiento administrativo, aquéllos se considerarán exactos siempre que coincidan con éste.
2. La rectificación o cancelación se hará efectiva por el responsable del fichero dentro de los cinco días siguientes al de la recepción de la solicitud. En idéntico plazo se efectuará la notificación a que se refiere el artículo 15.3 de la Ley Orgánica 5/1992.
3. En el supuesto de que el responsable del fichero considere que no procede acceder a lo solicitado por el afectado, se lo comunicará motivadamente y dentro del plazo señalado en el apartado anterior, a fin de que por éste se pueda hacer uso de la reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992.
4. Transcurrido el plazo previsto en el apartado 2 sin que de forma expresa se responda a la solicitud de rectificación o cancelación, ésta podrá entenderse desestimada a los efectos de la interposición de la reclamación que corresponda.
Artículo 16. Bloqueo de los datos.
1. En los casos en que, siendo procedente la cancelación de los datos, no sea posible su extinción física, tanto por razones técnicas como por causa del procedimiento o soporte utilizado, el responsable del fichero procederá al bloqueo de los datos, con el fin de impedir su ulterior proceso o utilización.
Se exceptúa, no obstante, el supuesto en el que se demuestre que los datos han sido recogidos o registrados por medios fraudulentos, desleales o ilícitos, en cuyo caso la cancelación de los mismos comportará siempre la destrucción del soporte en el que aquellos figuren.
2. Contra la resolución por la que el responsable del fichero acuerde el bloqueo de los datos procederá reclamación ante el Director de la Agencia de Protección de Datos.
Artículo 17. Tutela de los derechos.
1. Las reclamaciones de los afectados ante la Agencia de Protección de Datos, a que se refiere el artículo 17.1 de la Ley Orgánica 5/1992, se sustanciarán en la forma prevista en el presente artículo.
2. El procedimiento se iniciará a instancia del afectado o afectados, expresando con claridad el contenido de su reclamación y de los preceptos de la Ley Orgánica 5/1992 que se consideran vulnerados.
3. Recibida la reclamación en la Agencia de Protección de Datos, se dará traslado de la misma al responsable del fichero, para que, en el plazo de quince días, formule las alegaciones que estime pertinentes.
4. Recibidas las alegaciones o transcurrido el plazo previsto en el apartado anterior, la Agencia de Protección de Datos, previos los informes, pruebas y otros actos de instrucción pertinentes, incluida la audiencia del afectado y nuevamente del responsable del fichero, resolverá sobre la reclamación formulada, dando traslado de la misma a los interesados.
5. Contra la resolución del Director procederá recurso contencioso-administrativo.
CAPITULO V. Procedimiento sancionador
Artículo 18. Iniciación e instrucción.
1. El procedimiento sancionador previsto en el artículo 47 de la Ley Orgánica 5/1992, se iniciará siempre de oficio, bien por propia iniciativa o en virtud de denuncia de un afectado o afectados, por acuerdo del Director de la Agencia de Protección de Datos, en el cual se designará instructor y, en su caso, secretario, con expresa indicación del régimen de recusación de los mismos.
En el referido acuerdo se identificará a la persona o personas presuntamente responsables y se concretarán los hechos imputados, con expresión de la infracción presuntamente cometida y de la sanción o sanciones que pudieran imponerse, así como de las medidas provisionales que, en su caso, se adopten.
2. El acuerdo de incoación del expediente se notificará al presunto responsable y en el mismo se informará a éste de su derecho a formular alegaciones y utilizar los medios de defensa procedentes y que la autoridad competente para imponer, en su caso, la sanción es el Director de la Agencia de Protección de Datos, con cita expresa del presente artículo y del artículo 36, g), en relación con el artículo 35, ambos de la Ley Orgánica 5/1992.
3. Dentro de los quince días siguientes a la notificación del acuerdo de incoación, el instructor ordenará, de oficio, la práctica de cuantas pruebas y actos de instrucción sean adecuados para esclarecer los hechos y determinar las responsabilidades susceptibles de sanción. En idéntico plazo, el presunto responsable podrá formular las alegaciones y proponer las pruebas que considere convenientes.
4. Transcurrido el plazo previsto en el apartado anterior, el instructor acordará la práctica de las pruebas que estime pertinentes, a cuyo efecto concederá un plazo de treinta días, transcurrido el cual el expediente se pondrá de manifiesto al presunto responsable para que, en el plazo de quince días, formule alegaciones y aporte cuantos documentos estime de interés.
Artículo 19. Resolución.
1. Cumplimentados los trámites previstos en el artículo anterior, el instructor formulará propuesta de resolución motivada en la cual se fijarán de modo claro y preciso los hechos, se razonará, en su caso, la denegación y de la práctica probatoria propuesta por el presunto responsable, se valorarán jurídicamente aquéllos a fin de determinar la infracción cometida y se señalará la sanción a imponer, determinando su cuantía con arreglo a los criterios establecidos en el artículo 44.4 de la Ley Orgánica 5/1992, o bien, se propondrá la declaración de no existencia de responsabilidad.
2. La propuesta de resolución se notificará al presunto responsable para que, en el plazo de quince días, pueda formular nuevas alegaciones si lo considera oportuno.
3. Notificada la propuesta de resolución o expirado el plazo de alegaciones previsto en el apartado anterior, el instructor elevará el expediente completo al Director de la Agencia de Protección de Datos.
4. El Director podrá, antes de dictar resolución, ordenar al instructor la práctica de cuantas actuaciones considere necesarias, lo que se llevará a efecto en un plazo máximo de quince días.
5. La resolución, que se dictará dentro de los diez días siguientes, determinará con la necesaria precisión los hechos imputados, la infracción cometida, con expresión del precepto que la tipifique, el responsable de la misma y la sanción impuesta, o bien, la declaración de no existencia de responsabilidad. Contendrá, asimismo, la declaración pertinente en orden a las medidas provisionales adoptadas durante la tramitación del procedimiento.
6. La resolución se notificará al responsable, con expresión de su derecho a interponer recurso contencioso-administrativo, el plazo de interposición, y el órgano ante el cual deba ser presentado.
7. Si el procedimiento se hubiera iniciado como consecuencia de denuncia de un afectado, la resolución deberá ser notificada al firmante de la misma.
DISPOSICIONES ADICIONALES
Primera.-Comunicación de ficheros preexistentes.
Los ficheros automatizados de datos de carácter personal que se hubiesen creado con posterioridad a la entrada en vigor de la Ley Orgánica 5/1992 y antes de la vigencia del presente Real Decreto se deberán comunicar a la Agencia de Protección de Datos antes del 31 de julio de 1994.
Segunda.-Ficheros de las Comunidades Autónomas.
Corresponde a las Comunidades Autónomas, respecto de sus propios ficheros, la regulación del ejercicio y tutela de los derechos del afectado y del procedimiento sancionador en los términos y con los límites establecidos en la Ley Orgánica 5/1992 y de acuerdo con las normas del procedimiento administrativo común.
Tercera.-Ficheros de las Administraciones Tributarias.
Los ficheros creados por las Administraciones Tributarias para la gestión de los tributos que se les encomienden, se regirán por las disposiciones del presente Real Decreto y por las demás disposiciones reglamentarias que, en desarrollo y con sujeción a lo dispuesto en la Ley Orgánica 5/1992, específicamente se aprueben para los mismos.
DISPOSICIONES FINALES
Primera.-Lista de países con equiparable protección.
Se faculta al Ministro de Justicia e Interior para que, previo informe del Director de la Agencia de Protección de Datos, apruebe la relación de países que, a efectos de lo dispuesto en el artículo 32 de la Ley Orgánica 5/1992, se entiende que proporcionan un nivel de protección equiparable al de dicha Ley.
Segunda.-Entrada en vigor.
El presente Real Decreto entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».