Dictamen 4/99, relativo a las  “preguntas más frecuentes” que hará públicas el Ministerio de Comercio de los EE. UU. en relación con la propuesta de principios de puerto seguro, aprobado el 7 junio de 1999 por el  Grupo de trabajo sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales  (DG XV D 5139/99/final WP 21).

WP 21 Grupo de trabajo sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales

Dictamen 4/99, relativo a las preguntas más frecuentes que hará públicas el Ministerio de Comercio de los EE. UU. en relación con la propuesta de principios de puerto seguro

Aprobado el 7 junio de 1999

En el Dictamen 2/99(1) que aprobó el 3 de mayo de 1999 sobre los Principios internacionales de puerto seguro (en adelante los principios ) , el Grupo de trabajo no analizó las preguntas más frecuentes publicadas por el Ministerio de Comercio de los EE.UU. el 30 de abril de 1999 (en adelante las FAQ , del inglés Frequently Asked Questions). Antes de emitir una opinión sobre su contenido, el Grupo de trabajo solicitó que se aclarase el estatuto de las FAQ.

El 2 de junio de 1999, la DG XV remitió al Grupo de trabajo(2) copia de la carta dirigida a los miembros del comité creado en virtud del artículo 31 de la Directiva 95/46/CE, así como de los documentos que la acompañan y, en particular, una nueva versión confidencial de los principios de puerto seguro y una relación de FAQ, de las cuales se adjuntan seis en la lista(3).

Una vez estudiada la mencionada carta, el Grupo de trabajo entiende que la intención de los EE.UU. es publicar las FAQ a modo de guía oficial de los principios, circunstancia ésta que debería reflejarse en la versión final del punto 6 del artículo 25 de la Decisión.

El Grupo de trabajo concuerda en que esta solución sería deseable por dos razones: por un lado, permitiría aclarar, y en algunos casos culminar, los principios en lo relativo a determinadas categorías de tratamiento de los datos, lo que facilitaría la propia evaluación de los principios; por otro, la guía oficial serviría de ayuda a las instancias de recurso a la hora de interpretar y aplicar los principios a casos concretos.

No obstante, esta solución exige que antes de adoptar una decisión sobre la idoneidad de los principios se tomen en la debida consideración todas y cada una de las FAQ.

En opinión del Grupo de trabajo, tal consideración exhaustiva viene requerida por el punto 2 del artículo 25 de la Directiva, en virtud del cual: E l carácter adecuado del nivel de protección que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos.

El Grupo de trabajo constata que ya se ha elaborado una lista de FAQ que incluye quince preguntas. Constata asimismo que si se compara con las nueve FAQ divulgadas en abril y mayo, la lista comprende seis nuevas(4). Constata por último que si se comparan con la versión anterior, en las FAQ adjuntas a la carta de la DG XV se han introducido algunos cambios.

(1) Dictamen 2/99, adoptado el 3 de mayo de 1999, relativo a la idoneidad de los “Principios internacionales de puerto de seguro” que hizo públicos el Departamento estadounidense de Comercio el 19 de abril de 1999. Puede consultarse en:

http://www.europa.eu.int/comm/dg15/en/media/dataprot/index.htm

(2) Creado en virtud del artículo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, DO L 281, 23 de noviembre de 1995, p. 31. Puede consultarse en: véase la nota 1.

(3) Véase el anexo 1: Lista de FAQ. Véase el anexo 2: Preguntas más frecuentes, nº 1 a 6, versión de 1 de junio de 1999.

(4) El texto de las seis nuevas FAQ no estaba disponible con fecha de 3 de junio.

El Grupo de trabajo considera que es indispensable contar con un plazo de tiempo razonable para llevar a cabo una evaluación válida de las FAQ, tal como exige el artículo 25 de la Directiva. Dicho plazo debe permitir en concreto efectuar las consultas de ámbito nacional que sean necesarias, de cara al procedimiento establecido en el artículo 31 de la Directiva. Por consiguiente, el presente Dictamen tiene como única finalidad hacer una primera apreciación sobre el estatuto de las FAQ y sobre las FAQ divulgadas el 2 de junio de 1999, sin perjuicio de los comentarios que el Grupo de trabajo se propone hacer sobre la nueva versión de los principios y sobre las FAQ aún no divulgadas, ni de la evaluación global del planteamiento de puerto seguro , dado que habrán de analizarse otros elementos del expediente (por ejemplo, el proyecto de intercambio de cartas).

I. Estatuto de las FAQ

Conforme a lo anterior, el Grupo de trabajo es de opinión que:

1. Las FAQ que se relacionan en el Anexo deberían tener, una vez publicadas por el Ministerio de Comercio de EE.UU., carácter oficial siempre que sean coherentes con los principios y que se utilicen conjuntamente con ellos.

2. Antes de decidir si los principios ofrecen un nivel adecuado de protección, es necesario hacer una evaluación exhaustiva de todas las FAQ durante un plazo de tiempo razonable que abarque las consultas de ámbito nacional.

3. La Decisión que se tome respecto de los principios hará referencia a las FAQ.

4. La lista final de FAQ será exhaustiva. No podrán introducirse cambios de modo unilateral. Sin embargo, las FAQ habrán de incorporar la experiencia cada vez que se revise la aplicación práctica del acuerdo de puerto seguro y sea necesario adaptarlo o complementarlo.

II. Lista de FAQ

El Grupo de trabajo acepta gustoso la tesis de ampliar la lista de FAQ y considera que, debido a la falta de claridad de alguno de los principios, éstas deberían proporcionar una orientación oficial, clara e inequívoca a los responsables de los ficheros, así como las necesarias garantías a los afectados. El Grupo de trabajo desea ver cuanto antes los textos de los proyectos de FAQ que no se han dado aún a conocer. Concede especial importancia a los aspectos siguientes:

1. Investigación independiente de las quejas (FAQ nº 11). Habida cuenta de que no se han introducido mejoras en el principio de aplicación y en ausencia de garantías equivalentes, el Grupo de trabajo confirma que la credibilidad global del puerto seguro depende mucho de una respuesta satisfactoria a este elemento del principio de aplicación .

2. Cláusula de exclusión (FAQ nº 13). De conformidad con el principio de opción , sólo se ofrecería la cláusula de exclusión cuando el u so o divulgación sea incompatible con el objetivo inicial [información personal] con el que fue recogida o con cualquier otro objetivo o divulgación indicados en una notificación dirigida al particular . En su Dictamen 2/99, el Grupo de trabajo dio a conocer y justificó sus objeciones a un concepto de “opción” tan restringido y formuló algunas sugerencias para perfeccionarlo. La mejor manera de conseguirlo es perfeccionar el principio, teniendo en cuenta las sugerencias que se hacían en el Dictamen 2/99, lo que supondría introducir por lo menos una cláusula de exclusión incondicional en el caso de la venta directa.

III. Información delicada (FAQ nº 1)

El Grupo de trabajo reitera el punto de vista que expresó en el Dictamen 2/99, según el cual los principios sólo tienen que ver con la legalidad de los aspectos internacionales de las transferencias de datos (artículos 25 y 26 de la Directiva).

Recuerda que los responsables de los ficheros establecidos en los EE.UU. (con independencia de que estén afiliados a entidades estadounidenses que suscriban dichos principios) están sujetos a las disposiciones nacionales por las que se aplican los demás preceptos de la Directiva, en particular los relativos a la legalidad del tratamiento (artículos 6 y 7) y otros requisitos en materia de información delicada (artículo 8). Lo mismo se aplica a los datos personales recogidos directamente por entidades estadounidenses sobre particulares de la UE. El Grupo de trabajo señala que, para evitar confusiones, las FAQ deberían incluir los puntos mencionados.

En concreto, debe recordarse que los Estados miembros pueden disponer que el interesado no levante la prohibición de tratar información delicada dando su consentimiento (letra a del punto 2 del art. 8 de la Directiva); asimismo puede ser necesaria la notificación previa a la autoridad de control.

IV. Excepciones del periodismo (FAQ nº 2)

El Grupo de trabajo concede la mayor importancia a la libertad de prensa. Considera que la Directiva consigue un equilibrio idóneo al exigir a los Estados miembros que establezcan exenciones y excepciones (artículo 9). Sin embargo, estas se refieren sólo a las Secciones III, IV y VI, por lo que no se aplican a los demás preceptos de la Directiva, como en el caso de la seguridad del tratamiento (artículo 17). El Grupo de trabajo destaca que en su opinión esta FAQ se aplica exclusivamente al tratamiento con fines periodísticos cubiertos por la primera Enmienda; destaca además que el principio de seguridad, en lugar de chocar con la libertad de prensa, está concebido para defender los intereses de los periodistas (en particular, para proteger sus fuentes de información y su trabajo del acceso o la revelación no autorizados, de la pérdida o de la alteración accidental o ilegítima, especialmente cuando el tratamiento suponga la transmisión de datos por red). El Grupo de trabajo considera pues que no hay razón para menoscabar el principio de seguridad tal como se define en el puerto seguro.

V. Responsabilidad subsidiaria (FAQ nº 3)

El Grupo de trabajo no ve problemas en el texto, siempre que se interprete restrictivamente y se aplique sólo a la situación que se describe en la pregunta.

VI. Cazatalentos, etc. (FAQ nº 4)

En el Dictamen 2/99, el Grupo de trabajo afirmaba ya que no podía renunciarse al criterio establecido en las directrices de la OCDE de 1980, por cuanto constituye un requisito mínimo para aceptar un nivel adecuado de protección.

El Grupo de trabajo señala que esta FAQ introduce excepciones que no se mencionan en los propios principios. Haría falta explicar qué operaciones de tratamiento están cubiertas por cada una de las mencionadas excepciones y por qué son estas de carácter restringido. Además, deberían precisarse los principios (notificación, opción) a los que se aplican les excepciones previstas para defender los intereses legítimos de una entidad o el interés publico. Por último, la legitimidad de la actividad de los cazatalentos o los bancos de inversiones parece depender de otros factores que no se mencionan.

VII. La función de las autoridades de protección de datos (FAQ nº 5)

El Grupo de trabajo acepta gustoso la clarificación que aporta esta FAQ y desea proseguir un examen constructivo de la cuestión, en particular por lo que se refiere a la función que las autoridades nacionales de protección de datos podrían desempeñar en la instrucción de los recursos. No obstante, ciertas cuestiones exigen un análisis pormenorizado, en particular:

– las modalidades de ejercicio de la opción, los elementos que determinarán la identidad de la “autoridad de protección de datos competente” y si tal determinación seguirá sujeta al acuerdo de la autoridad correspondiente

– en el caso de ciertas autoridades, la compatibilidad de esta función con los derechos y obligaciones legales establecidos y delimitados por la legislación nacional

– la repercusión en los recursos. Si este examen confirma que las autoridades pueden desempeñar un papel constructivo, el Grupo de trabajo considera necesario:

– definir con más precisión, si es necesario, los casos en que su participación directa constituya una solución adecuada y practicable

– determinar claramente las medidas de seguimiento necesarias cuando una entidad estadounidense incumpla su compromiso de colaborar con la autoridad de protección de datos.

El Grupo de trabajo destaca en cualquier caso la importancia de velar por que se garanticen a todos los participantes en el puerto seguro, con independencia de los mecanismos escogidos, tanto los tres elementos del principio 7 (resolución de litigios y reparaciones, verificación y sanciones) como procedimientos accesibles y fáciles de seguir para los interesados.

VIII. Autocertificación (FAQ nº 6)

El Grupo de trabajo confirma su preocupación de que la autocertificación origine abusos. El Grupo de trabajo considera que, en caso de falseamiento de los criterios de admisión (es decir, cuando una entidad no cumpla los requisitos del principio 7), debe cuando menos excluirse de la lista al impostor . Lo mismo se aplica a aquellas entidades radicadas en los EE.UU. que habiendo suscrito los convenios de puerto seguro con el compromiso de colaborar con una Autoridad Europea de Protección de Datos, no cumplan plenamente dicho compromiso.

Hecho en Bruselas, a 7 de junio de 1999

Por el Grupo de trabajo

El Presidente

P.J. HUSTINX

ANEXO 1: LISTA de FAQ, versión de 1 de junio de 1999

LISTA DE LAS FAQ RELACIONADAS CON LOS PRINCIPIOS ESTADOUNIDENSES DE PUERTO SEGURO

1) INFORMACIÓN DELICADA

2) EXCEPCIONES DEL PERIODISMO

3) RESPONSABILIDAD SUBSIDIARIA

4) CAZATALENTOS

5) LA FUNCIÓN DE LAS AUTORIDADES DE PROTECCIÓN DE DATOS

6) AUTOCERTIFICACIÓN

7) VERIFICACIÓN

8) ACCESO

9) DATOS SOBRE RECURSOS HUMANOS

10) CONTRATOS DEL ARTÍCULO 17

11) INVESTIGACIÓN INDEPENDIENTE DE LA QUEJAS

12) GESTIÓN DEL RIESGO

13) CLÁUSULA DE EXCLUSIÓN

14) RESERVAS DE BILLETES DE AVIÓN

15) MEDICAMENTOS

ANEXO 2: TEXTO de las FAQ nº 1 a 6, versión de 1 de junio de 1999

Preguntas más frecuentes (FAQ)

FAQ nº 1 – Información delicada – 31 de mayo de 1999

P: ¿Debe una entidad ofrecer siempre de modo explícito la opción de participar cuando se trate de información sensible?

R: No, puesto que no es necesario optar cuando el tratamiento:

(1) se realiza en función de intereses vitales de la persona afectada o de otra persona;

(2) es necesario para preparar un recurso o acción en justicia;

(3) se requiere para hacer un diagnóstico médico;

(4) se lleva a cabo en el marco de las legítimas actividades de una fundación, asociación o cualquier otro organismo sin fines lucrativos que persiga un objetivo político, filosófico, religioso o sindical, a condición de que el tratamiento se refiera exclusivamente a los miembros del organismo o a las personas que tienen contactos habituales con él relacionados con sus fines, y a condición de que los datos no se revelen a terceros sin el consentimiento de los interesados;

(5) es necesario para que la entidad cumpla sus obligaciones en materia de derecho laboral; o

(6) se refiere a información hecha pública de modo manifiesto por el particular o es necesario para ejercitar un recurso o acción en justicia.

FAQ nº 2 – Excepciones del periodismo – 31 de mayo de 1999

P: Habida cuenta del amparo que la Constitución de los EE.UU. ofrece a la libertad de prensa, así como de las excepciones que contempla la Directiva en materia de periodismo, ¿se aplican los principios de puerto seguro a la información de carácter personal recogida, guardada o difundida con fines periodísticos?

R: Cuando el derecho a la libertad de prensa consagrado en la Primera Enmienda de la Constitución de los EE.UU. entra en conflicto con los intereses de la protección de la vida privada, la Primera Enmienda debe garantizar el equilibrio de tales intereses en lo tocante a las actividades de particulares o entidades estadounidenses. La información que se recoge con fines de publicación, transmisión u otras formas de comunicación pública de material periodístico, aunque no se utilice, así como la información que se recabe de material de archivo publicado anteriormente, no está sujeta a los requisitos de los principios de puerto seguro.

FAQ nº 3 – Responsabilidad subsidiaria – 31 de mayo de 1999

P: Los proveedores de servicios Internet, los operadores de telecomunicaciones u otras entidades, ¿son responsables desde el punto de vista de los principios de puerto seguro cuando, en nombre de otra entidad, se limitan a transmitir, encaminar, intercambiar o almacenar temporalmente información contraviniendo dichos principios?

R: No. Tal como la propia Directiva, el puerto seguro no genera una responsabilidad subsidiaria. Si una entidad actúa como transmisor y no es determinante ni de la finalidad ni de los medios de tratamiento de los datos personales, no será responsable.

FAQ nº 4 – Cazatalentos, bancos de inversiones y sociedades de auditoría – 31 de abril de 1999

P: Algunas actividades empresariales requieren inevitablemente el tratamiento de datos personales sin conocimiento del interesado, por ejemplo, las actividades de cazatalentos, bancos de inversiones y sociedades de auditoría. ¿Autorizan este proceder los principios de puerto seguro?

R: Si. Tal como la propia Directiva, el puerto seguro no genera una obligación incondicional de obtener el consentimiento del interesado, informar a los particulares sobre el tratamiento de sus datos o darles acceso a sus propios datos. Caben excepciones, por ejemplo, por razones de interés público o si el tratamiento es necesario en función de los intereses legítimos que persigan aquellas entidades o terceros a quienes se divulgan los datos, salvo cuando el derecho de la persona a la vida privada prevalezca sobre tales intereses. Las actividades de cazatalentos, bancos de inversiones y sociedades de auditoría son intereses legítimos.

FAQ nº 5 – La función de las autoridades de protección de datos (5)

P: ¿Qué forma adoptarán y cómo se aplicarán los compromisos de colaboración de las empresas con las autoridades de protección de datos?

R: Las entidades estadounidenses que reciban datos personales procedentes de la UE deberán comprometerse a utilizar mecanismos eficaces para dar cumplimiento a los principios de puerto seguro. En concreto, dichos mecanismos establecerán

(1) vías de recurso para los particulares a que se refieran los datos,

(2) procedimientos de seguimiento para comprobar la sinceridad de las afirmaciones y declaraciones de las entidades sobre el respeto de la vida privada, y

(3) la obligación de éstas de subsanar los problemas que surjan por el incumplimiento de los principios así como de asumir sus consecuencias. El principio de aplicación permite que las entidades se comprometan a colaborar con las autoridades de protección de datos ( APD ) de la Unión Europea como uno de los medios para cumplir dicho principio de puerto seguro. Las entidades que escojan esta opción tendrán que seguir el procedimiento de notificación y los trámites que se especifican a continuación.

(5) Texto distribuido a los participantes durante la última reunión del comité del artículo 31, celebrada el 21 de mayo. Este texto se convertirá en FAQ si la autoridades nacionales de protección de datos acuerdan desempeñar la función descrita.

PROCEDIMIENTO DE NOTIFICACIÓN

Una entidad puede comprometerse a colaborar con las APD declarando en la notificación de puerto seguro dirigida al Ministerio de Comercio que:

(1) opta por cumplir las letras (a) y (c) del principio de aplicación del puerto seguro comprometiéndose a colaborar con la APD competente

(2) colaborará con la APD competente en la investigación y resolución de las quejas que se formulen con arreglo al puerto seguro

(3) en consonancia con las decisiones que se tomen con arreglo al punto 6 del artículo 25 y al [Proyecto de documento sobre los procedimientos comunitarios], cumplirá las decisiones de la APD cuando ésta determine que la entidad debe tomar más medidas para cumplir los principios de puerto seguro, incluidos el pago de indemnizaciones o compensaciones en beneficio de los afectados por el incumplimiento de los principios y la aceptación de las consecuencias que se deriven de ello.

FUNCIONAMIENTO

Si, en el ámbito del puerto seguro, la entidad estadounidense ha optado por colaborar con las APD, los consumidores o asalariados europeos u otras personas afectadas pueden someterle un problema o elevarle una queja. En caso de que no se resuelva pueden acudir a la APD competente. Esta dirigirá a la entidad americana importadora todas las preguntas sobre la queja que sea menester. Si las quejas u otras sospechas concretas originan una investigación de la APD más detenida, la entidad estadounidense se compromete a colaborar de conformidad con la notificación de puerto seguro dirigida al Ministerio de Comercio.

Esto supone, por ejemplo, que la entidad estadounidense habrá de responder a las preguntas que se le hagan o, de lo contrario, ponerse a disposición de la APD, suministrar a petición de ésta información o datos archivados, informar sobre las medidas de seguridad o facilitarle acceso directo o a distancia a los bancos de datos y demás sistemas que contengan información. La entidad estadounidense habrá de facilitar la información que soliciten las APD europeas, que no necesitarán desplazarse a los EE.UU. para investigar las quejas.

Cuando las propias partes acuerden medidas para resolver la queja, como borrar a alguien de una lista de correo o corregir o suprimir datos, la entidad estadounidense, de conformidad con su compromiso de colaboración, estará obligada a cumplir el acuerdo respecto de los datos que se guarden en los EE.UU. Si no llegan a un acuerdo sobre el cumplimiento de los principios de puerto seguro, o sobre el pago de indemnizaciones o compensaciones por las empresas estadounidenses, la APD tendrá la última palabra. Una vez más, la entidad estadounidense quedará vinculada por el compromiso público de plegarse al resultado del proceso, sin perjuicio de las modalidades de revisión fijadas en el [Proyecto de documento sobre los procedimientos comunitarios].

JUSTIFICACIÓN

Para las entidades estadounidenses, la opción de colaborar con las APD constituye por diversas razones una interesante alternativa de cara a la aplicación de los principios. En primer lugar, recurrir a los arbitrajes privados no es en los EE.UU. el método ideal para resolver problemas derivados de relaciones de trabajo en Europa. Colaborar con la APD sería una alternativa mucho mejor para este tipo de quejas. En segundo lugar, esta opción permitiría a las entidades estadounidenses reunir las condiciones de puerto seguro más deprisa que si dependieran de mecanismos de autorregulación concebidos en los Estados Unidos. Cuando entre en vigor el sistema de puerto seguro, probablemente no existirán mecanismos de autorregulación para todas las categorías de transferencia de datos a los EE.UU. Aunque el sector privado está desarrollando programas en este sentido, ni éstos ni otros programas se terminarán ni se llevarán a cabo antes de que concluyan los debates sobre el puerto seguro. El compromiso de colaboración con las APD puede ayudara a cubrir esta laguna. Por último, esta opción permitiría que participaran más entidades estadounidenses en el puerto seguro. Algunas de ellas, porque su negocio sea relativamente singular o por otras razones, difícilmente encontrarían organismos de autorregulación que puedan tratar sus necesidades específicas. Por otra parte, podría no existir un organismo estadounidenses de carácter oficial o reglamentario que entienda de este tipo de quejas. El compromiso de colaboración con las APD permitiría a dichas entidades, no obstante, reunir los requisitos de puerto seguro.

FAQ nº 6 – Autocertificación – 31 de mayo de 1999 (6)

(6) Puesto que la FAQ sobre la autocertificación describe la información que las empresas han de proporcionar al Ministerio de Comercio para inscribirse en el Registro del puerto seguro , este texto tiene que dejar de ser una FAQ y adjuntarse a los propios principios de puerto seguro. La parte estadounidense está dispuesta a aceptar este punto si obtiene satisfacción en cuanto al estatuto de las FAQ.

P: ¿De qué modo una entidad autocertifica su adhesión a los principios de puerto seguro?

R: Para proceder a la autocertificación, las entidades proporcionarán al Ministerio de Comercio, o a su representante, una carta firmada por uno de los responsables de la empresa, que contendrá cuando menos la información siguiente: nombre de la entidad, señas postales y de correo electrónico, teléfono y fax descripción de sus actividades principales descripción de su política respecto de la protección de la vida privada, con indicación de:

– el lugar donde pueda consultarla el público

– la fecha de entrada en vigor de dicha política

– un contacto para la tramitación de las quejas, las solicitudes de acceso y cualquier otra cuestión relacionada con los principios de puerto seguro,

– los organismos oficiales concretos con jurisdicción para entender de cualquier queja contra la entidad por posibles prácticas desleales o deshonestas

– el nombre de los programas de protección de la vida privada a los que esté adscrita la entidad

– el método de verificación (por ejemplo, interna, por terceros)* y

– la instancia independiente de recurso que se ocupará de las quejas no resueltas.

El Ministerio (o su representante) llevará una lista de las entidades que autocertifican su adhesión a los principios de puerto seguro. Tanto la lista como las cartas de autocertificación remitidas por las entidades se harán públicas. Las entidades que autocertifican su adhesión a los principios de puerto seguro indicarán también este extremo en las declaraciones relativas a su política de protección de la vida privada.

Cualquier deficiencia en la información dada a conocer al Ministerio o al público en lo relativo a la mencionada adhesión podrá denunciarse ante la Comisión Federal de Comercio u otra instancia oficial competente.

*Véase la FAQ sobre verificación

Hecho en Bruselas, a 7 de junio de 1999

Por el Grupo de trabajo

El Presidente

P.J. HUSTINX

La Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, contiene, en sus artículos 24, 25 y 26, una nueva regulación de los registros electrónicos, preceptos que son desarrollados por el Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la citada Ley y regula las condiciones de su funcionamiento.

El artículo 24.1 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos establece que las administraciones públicas crearán registros electrónicos para la recepción y remisión de solicitudes, escritos y comunicaciones.

Asimismo, el artículo 25.1 de la citada Ley prevé que las disposiciones de creación de registros electrónicos especificarán el órgano o unidad responsable de su gestión, así como la fecha y hora oficial y los días declarados como inhábiles a los efectos de cómputo de plazos.

Además, la sección 2.ª del capítulo III del título II de la Ley 11/2007, de 22 de junio, regula las comunicaciones electrónicas y la práctica de la notificación por medios electrónicos.

La Ley 11/2007, de 22 de junio, y el Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla la citada ley, contienen una nueva regulación de los registros electrónicos, y aunque la ley prevé, en su disposición transitoria única, que los registros telemáticos existentes a la entrada en vigor de la Ley serán considerados registros electrónicos, dado el número de procedimientos que podrán registrar electrónicamente a la entrada vigor de la ley, amparados en el registro electrónico del Ministerio de Educación, es necesario crear y regular el Registro Electrónico del Ministerio de Ciencia e Innovación.

Por otra parte, teniendo en cuenta el nivel de disposición de medios informáticos propio de los agentes del ámbito de la I+D+i, se considera necesario, para agilizar la resolución de los procedimientos, aplicar el artículo 27.6 de la Ley 11/2007, de 22 de junio, estableciendo la obligatoriedad de que los interesados se comuniquen con las Administraciones Públicas utilizando sólo medios electrónicos, cuando los mismos sean personas jurídicas. Dejando con carácter preferente pero voluntario que las personas físicas puedan utilizar o no los medios electrónicos de comunicación.

Por otra parte, con el fin de promover y facilitar el acceso por medios electrónicos de los ciudadanos a los procedimientos administrativos, se habilita al Subsecretario del Departamento para incluir nuevos procedimientos, trámites y comunicaciones a los que será de aplicación lo dispuesto en esta orden,

En su virtud, con la aprobación previa de la Ministra de la Presidencia, dispongo:

CAPÍTULO I.- DISPOSICIONES GENERALES

Artículo 1.- Objeto y ámbito de aplicación.

1. La presente Orden tiene como objeto la creación y regulación del Registro Electrónico del Ministerio de Ciencia e Innovación –en adelante Registro Electrónico–, para la recepción y remisión, por vía electrónica, de solicitudes, escritos y comunicaciones, en la forma prevista en el artículo 24 de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos y en el Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la citada Ley.

2. El Registro Electrónico será único para todos los órganos del departamento.

Quedan fuera de su ámbito de aplicación los organismos públicos dependientes o adscritos al Ministerio, si bien éstos podrán utilizar el Registro regulado en la presente Orden, previa firma de un convenio con el responsable de su gestión, que se publicará en el Boletín Oficial del Estado.

Artículo 2.- Dirección del Registro Electrónico.

El acceso de los interesados al Registro Electrónico estará disponible a través de la dirección sede.micinn.gob.es de la Sede Electrónica del Departamento y en la dirección electrónica www.micinn.es.

Artículo 3.- Responsabilidades y órganos competentes.

1. La gestión del Registro Electrónico corresponde a la Subsecretaría de Ciencia e Innovación, que la ejercerá a través de la Subdirección General de Tecnologías de la Información y las Comunicaciones.

2. La aprobación y modificación de la relación de solicitudes, escritos y comunicaciones normalizados, correspondientes a servicios, procedimientos y trámites específicos, conforme a lo previsto en la letra a) del número 2 del artículo 24 de la Ley 11/2007, de 22 de junio, le corresponde a la citada Subdirección General.

3. La aprobación o modificación de los formularios para las solicitudes, escritos y comunicaciones normalizados, con especificación de los campos de los mismos de obligada cumplimentación y de los criterios de congruencia entre los datos consignados en el formulario le corresponde a las Unidades competentes del Departamento o de los Organismos públicos adheridos, en coordinación con la Subdirección General antes citada.

Las Resoluciones de aprobación de estos formularios, con independencia de la publicación oficial que les resulte de aplicación, serán divulgadas a través de la sede electrónica.

4. La Subdirección General de Tecnologías de la Información y las Comunicaciones será responsable de la seguridad del registro electrónico y dispondrá de los medios organizativos y técnicos adecuados para garantizar lo previsto en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

5. Los usuarios asumen con carácter exclusivo la responsabilidad de la custodia de los elementos necesarios para su autenticación en el acceso a estos servicios, el establecimiento de la conexión precisa y la utilización de la firma electrónica, así como de las consecuencias que pudieran derivarse del uso indebido, incorrecto o negligente de los mismos. Igualmente será responsabilidad del usuario la adecuada custodia y manejo de los ficheros que le sean devueltos por el Registro Electrónico como acuse de recibo.

Artículo 4.- Calendario y fecha y hora oficial.

1. El Registro Electrónico permitirá la presentación de solicitudes, escritos y comunicaciones durante las veinticuatro horas de todos los días del año, sin perjuicio de las interrupciones, previstas en el artículo 30.2 del Real Decreto 1671/2009, de 6 de noviembre, cuando concurran razones justificadas de mantenimiento técnico u operativo, de las que se informará en el propio registro y en la sede electrónica.

2. A los efectos oportunos la sede electrónica mostrará, en lugar igualmente visible:

a) El calendario de días inhábiles relativo a sus procedimientos y trámites, que será el que se determine en la resolución anual publicada en el Boletín Oficial del Estado, por el Ministerio de la Presidencia, para todo el territorio nacional.

b) La fecha y hora oficial, que será la que conste como fecha y hora de la transacción en el Registro Electrónico y cuya sincronización se realizará según lo dispuesto en el artículo 15 del Real Decreto 4/2010, de 8 de enero, por el que se aprueba el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.

Los interesados podrán manifestar su discrepancia respecto a dichas fecha y hora en el acto mismo de presentación de los correspondientes formularios.

Artículo 5.- Carácter de las comunicaciones a través del Registro Electrónico.

1. De acuerdo con lo previsto en el artículo 27.6 de la Ley 11/2007, de 22 de junio, y lo previsto en los artículos 14.4 y 32.1 del Real Decreto 1671/2009, de 6 de noviembre, las personas jurídicas están obligadas a presentar las solicitudes, escritos y comunicaciones relativos a los procedimientos recogidos en el Anexo I de esta orden, por medio del Registro Electrónico.

2. La presentación de solicitudes, escritos y comunicaciones por medio del Registro Electrónico tendrá carácter preferente, pero será voluntaria, para las personas físicas, siendo la alternativa la presentación en los lugares señalados en el artículo 38.4 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de la Administraciones Pública y del Procedimiento Administrativo Común.

La utilización del Registro Electrónico será obligatoria para la Administración en las relaciones electrónicas con los ciudadanos en las que, conforme a las normas generales, deba llevarse a cabo su anotación registral, de acuerdo con lo establecido en el artículo 38 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común y disposiciones de desarrollo, no pudiendo ser sustituida esta anotación por otras en registros no electrónicos o en los registros de las aplicaciones gestoras de los procedimientos.

Artículo 6.- Fichero de Protección de Datos.

En cumplimiento de lo previsto en el artículo 20 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se crea el fichero de datos personales “Fichero del Registro Electrónico” del Ministerio, cuya titularidad corresponde a la Subsecretaría de Ciencia e Innovación, válido a efectos del ejercicio por parte de los ciudadanos de los derechos previsto por dicha ley.

El contenido del fichero se recoge en el anexo II de la presente Orden.

CAPÍTULO II.- CONDICIONES PARA LA PRESENTACIÓN ELECTRÓNICA DE ESCRITOS, SOLICITUDES Y COMUN ICACIONES

Artículo 7.- Acreditación de la identidad.

1. Las solicitudes, escritos y comunicaciones podrán ser presentados ante el Registro Electrónico por los interesados o sus representantes, en los términos definidos en los artículos 30 y siguientes de la Ley 30/1992, de 26 de noviembre.

2. El firmante del documento podrá acreditar su identidad ante el Registro Electrónico mediante firma electrónica o a través de funcionarios públicos habilitados, mediante el procedimiento previsto en el artículo 22 de la Ley 11/2007, de 22 de junio.

3. Las sedes electrónicas informarán sobre los sistemas de representación y de autenticación y firma utilizables para la presentación de escritos ante el Registro Electrónico a través de sus aplicaciones gestoras, con especificación, en su caso, de los servicios, procedimientos y trámites a los que sean de aplicación.

Cuando la representación no quede acreditada o no pueda presumirse, se requerirá dicha acreditación por la vía que corresponda.

Adicionalmente, cuando estén operativos los respectivos sistemas, los documentos podrán ser presentados por representación, de acuerdo con lo dispuesto en el artículo 23 de la Ley 11/2007, de 22 de junio, y artículos 13 y 14 del Real Decreto 1671/2009, de 6 de noviembre.

Artículo 8.- Documentos admitidos.

1. El Registro Electrónico estará habilitado únicamente para la recepción y remisión de escritos, solicitudes y comunicaciones que se presenten por medios electrónicos respecto de los trámites y procedimientos incluidos en el anexo I de esta Orden o de la versión que figure actualizada en cada momento, en la dirección electrónica de acceso al mismo junto con los correspondientes modelos normalizados para cada caso.

Cualquier solicitud, escrito, comunicación o documentación presentada ante el Registro Electrónico no relacionada con los trámites y procedimientos a que se refiere el apartado anterior, será remitido a las personas, órganos o unidades destinatarias, en los términos previstos en el artículo 24.2.b) de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, y en el Real Decreto 1671/2009, de 6 de noviembre, que desarrolla parcialmente la citada ley.

Asimismo, se podrá localizar un formulario genérico que permita la presentación de solicitudes, escritos y comunicaciones no asociados a procedimientos normalizados.

2. El Registro Electrónico podrá rechazar los documentos electrónicos que se encuentren en alguna de las circunstancias previstas en el artículo 29.1 del Real Decreto 1671/2009, de 6 de noviembre, en la forma establecida en el mismo. En su caso, la notificación al remitente se hará de conformidad con lo allí dispuesto.

Artículo 9.- Documentación complementaria.

Toda la presentación de solicitudes, escritos y comunicaciones podrá incorporar como documentación complementaria:

a) Los documentos electrónicos que cumplan los requisitos técnicos que se regulan en el Capítulo de “Requisitos técnicos en materia de Tecnologías de la Información” de la presente Orden.

b) Los documentos no disponibles en formato electrónico y que, por su naturaleza, no sean susceptibles de aportación utilizando el procedimiento de copia digitalizada previsto en el artículo 35.2 de la Ley 11/2007, de 22 de junio, podrá incorporarse a través de las vías previstas en el artículo 38.4 de la Ley 30/1992, de 26 de noviembre, en el plazo de 10 días desde la presentación del correspondiente formulario electrónico. El incumplimiento de este plazo para la aportación de la documentación complementaria, podrá dar lugar a su requerimiento conforme a lo dispuesto en el artículo 71 de la Ley 30/1992, de 26 de noviembre.

c) Siempre que se realice la presentación de documentos electrónicos separadamente al formulario principal, el interesado deberá mencionar el número o código de registro individualizado que permita identificar el expediente en el que haya de surtir efectos.

Artículo 10.- Acuse de recibo.

Tras la recepción de una solicitud, escrito o comunicación, el Registro Electrónico emitirá, automáticamente, un recibo firmado electrónicamente, que pueda ser impreso, en el que constarán los datos proporcionados por el interesado, la fecha y hora en que tal presentación se produjo, el número de registro de entrada y otros contenidos acordes con lo establecido en el artículo 30.3 del Real Decreto 1671/2009, de 6 de Noviembre.

El acuse de recibo indicará que el mismo no prejuzga la admisión definitiva del escrito si concurriera alguna de las causas de rechazo contenidas en el.

Artículo 11.- Cómputo de plazos.

El cómputo de plazos se realizará conforme a lo dispuesto en los apartados 3, 4 y 5 del artículo 26 de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.

CAPÍTULO III.- REQUISITOS TÉCNICOS EN MATERIA DE TECNOLOGÍAS DE LA INFORMACIÓN

Artículo 12.- Condiciones generales

Los requisitos técnicos que se recogen en este Capítulo se consideran referidos al tratamiento de la información y las comunicaciones en lo que afecten al Registro Electrónico.

Un resumen de las normas y protocolos particulares que se deriven de lo aquí dispuesto estará publicado, en todo momento, en la sede electrónica del Ministerio.

Artículo 13.- Firma Electrónica.

Se admitirán los sistemas de firma electrónica que sean conformes con lo establecido en el articulo 10 del Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos.

Artículo 14.- Interoperabilidad y Seguridad.

El Registro Electrónico dispondrá los medios organizativos y técnicos adecuados para garantizar la interoperabilidad y seguridad de acuerdo con lo previsto en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad y en el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad.

Artículo 15.- Accesibilidad.

El diseño del Registro Electrónico observará los requisitos de accesibilidad previstos en el Real Decreto 1494/2007, de 12 de noviembre, por el que se aprueba el Reglamento sobre las condiciones básicas para el acceso de las personas con discapacidad a las tecnologías, productos y servicios relacionados con la sociedad de la información y medios de comunicación social. En este sentido las páginas web relacionadas con el Registro Electrónico deberán ajustarse a la prioridad 1 de la Norma UNE 139803:2004 desde la entrada en vigor del real decreto.

Artículo 16.- Condiciones técnicas de los documentos electrónicos admitidos por el Registro Electrónico.

Los formatos de los documentos electrónicos y de las imágenes electrónicas de los documentos serán establecidos en el marco del Esquema Nacional de Interoperabilidad. De acuerdo con los instrumentos informáticos y vías de comunicación disponibles, podrá limitarse la extensión máxima de los ficheros complementarios a presentar en una sola sesión.

Disposición transitoria única.- Adaptación paulatina de procedimientos.

Todos los procedimientos electrónicos del anexo I de esta orden que provengan del Ministerio de Educación se adaptaran paulatinamente a su funcionamiento en el Registro electrónico del Ministerio de Ciencia e Innovación.

Disposición derogatoria única.- Derogación normativa.

Quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en esta Orden Ministerial.

Disposición final primera.- Habilitación al titular de la Subsecretaría del Ministerio de Ciencia e Innovación.

Se habilita al titular de la Subsecretaría del Departamento para incluir nuevos procedimientos, trámites y comunicaciones a los que será de aplicación lo dispuesto en esta orden. En todo caso, la admisión de nuevos procedimientos, trámites, preimpresos, solicitudes y modelos será difundida a través de la página de Internet del Ministerio de Ciencia e Innovación, o en su Sede Electrónica.

Disposición final segunda.- Entrada en vigor.

La presente Orden entrará en vigor el día siguiente al de su publicación en el Boletín Oficial del Estado.

Madrid, 26 de febrero de 2010.–La Ministra de Ciencia e Innovación, Cristina Garmendia Mendizábal.

ANEXO I.- PROCEDIMIENTOS INCLUIDOS EN EL ÁMBITO DE APLICACIÓN DEL REGISTRO ELECTRÓNICO

Premios, becas, subvenciones y otras ayudas que concede el Ministerio de Ciencia e Innovación.

Procedimientos relativos a gestión de personal.

Aportación de información por los ciudadanos y entidades para registrar y evaluar los datos sobre sus actuaciones en el marco del Plan Nacional de I+D+i.

Registros de entidades que sean agentes del Sistema Nacional de I+D+i.

Quejas y sugerencias.

Formulario genérico de solicitud.

ANEXO II.- FICHEROS DE DATOS PERSONALES

Nombre del fichero: Registro Electrónico del Ministerio de Ciencia e Innovación.

Finalidad del fichero: Anotaciones registrales de los asientos electrónicos efectuados en este Registro Electrónico para, en su caso, poder consultar la información registral de un asiento.

Usos previstos: Recepción y remisión al órgano u organismo competente de dichos escritos, solicitudes y comunicaciones, así como de la documentación complementaria de los mismos, así como fines estadísticos y para responder a las consultas de los propios usuarios, sobre el hecho registral.

Personas o colectivos sobre los que se pretende obtener datos de carácter personal, o que resulten obligados a suministrarlos: El asiento registral contiene el nombre y el DNI, NIF o pasaporte del interesado.

Procedimiento de recogida de datos de carácter personal: Por archivo de los datos introducidos en el momento de realizar el asiento.

Estructura básica del Fichero y descripción de los tipos de datos de carácter personal, incluidos en el mismo: Se recogerán los siguientes datos personales, asociados a la información registral:

Datos de carácter identificativo: DNI, NIF o pasaporte, Nombre y apellidos.

Datos relativos a la solicitud, escrito o comunicación presentados: Campos Asunto, Expone y Solicita.

Fecha, hora y número de asiento registral.

Órgano administrativo responsable del Fichero: Subdirección General Tecnologías de la Información y las Comunicaciones.

Órgano administrativo ante el que pueden ejercitarse los derechos de acceso, rectificación, cancelación y oposición: Subdirección General Tecnologías de la Información y las Comunicaciones.

Medidas de seguridad, con indicación del nivel básico, medio o alto, exigible: Bajo.

El artículo 24 de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, establece que las Administraciones Públicas crearán registros electrónicos para la recepción y remisión de solicitudes, escritos y comunicaciones y señala que los registros podrán admitir documentos normalizados que se cumplimenten de acuerdo con formatos preestablecidos, o bien cualquier solicitud escrito o comunicación distinta de los anteriores. Dicho precepto establece que, en cada Administración Pública existirá, al menos, un sistema de registros electrónicos suficiente para recibir todo tipo de solicitudes, escritos y comunicaciones dirigidas a dicha Administración Pública. Asimismo, para un mejor servicio a los ciudadanos prevé que las Administraciones Públicas, mediante Convenios de colaboración, puedan habilitar a sus registros para la recepción de solicitudes, escritos y comunicaciones de la competencia de otra Administración.

Para dar cumplimiento a estas previsiones legales, el artículo 31 del Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la citada Ley 11/2007, de 22 de junio, establece la creación, naturaleza y funcionamiento del Registro Electrónico Común con el fin de permitir la presentación electrónica de escritos, solicitudes y comunicaciones dirigidas a la Administración General del Estado y a sus Organismos públicos. Conforme a lo previsto en el citado artículo 31, los requisitos y condiciones de funcionamiento del Registro Electrónico Común se establecerán mediante orden del Ministro de la Presidencia. De esta forma la　Orden PRE/3523/2009, de 29 de diciembre, procedió a dar cumplimiento al referido mandato, determinando la regulación del referido Registro Electrónico Común.

Por su parte, la Orden TAP/1955/2011, de 5 de julio, por la que se crea y regula el registro electrónico del Ministerio de Política Territorial y Administración Pública y por la que se modifica la Orden PRE/3523/2009, de 29 de diciembre, por la que se regula el Registro Electrónico Común, abre la posibilidad de que éste actúe como registro específico de los procedimientos de inscripción y pago de tasas de los procesos selectivos que impliquen a varios Departamentos u Organismos.

No obstante, la nueva estructura orgánica básica del Ministerio de Hacienda y Administraciones Públicas establecida por el Real Decreto 256/2012, de 27 de enero, hace preciso adecuar la regulación en materia de Registro Electrónico Común a los cambios organizativos producidos. Asimismo, la actualización de la regulación del Registro Electrónico Común responde a lo establecido en los Esquemas Nacionales de Seguridad y de Interoperabilidad en el ámbito de la Administración Electrónica, aprobados por los Reales Decretos 3/2010 y 4/2010, de 8 de enero, y en particular, en la Norma Técnica de Interoperabilidad de Modelo de Datos para el Intercambio de Asientos entre las Entidades Registrales, aprobada por　Resolución de 19 de julio de 2011, de la Secretaría de Estado para la Función Pública, que sienta las bases para la interconexión de registros entre las Administraciones Públicas y su interconexión con el Registro Electrónico Común, objeto de la disposición adicional segunda de esta nueva regulación.

De acuerdo con lo señalado anteriormente, se considera necesario, a efectos de una mayor seguridad jurídica, refundir en una sola orden la regulación existente sobre el Registro Electrónico Común.

Para la creación de un fichero, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en su artículo 20, así como el artículo 52 del Reglamento de desarrollado de dicha ley, aprobado por Real Decreto 1720/2007, de 21 de diciembre, establece que solo podrá hacerse por disposición de carácter general publicada en el “Boletín Oficial del Estado” o Diario oficial correspondiente.
La presente orden ha sido sometida al previo informe de la Agencia Española de Protección de Datos de conformidad con lo dispuesto en el artículo 37, párrafo h), de la Ley Orgánica 15/1999, de 13 de diciembre.
En uso de la atribución que me ha sido conferida en el artículo 31.5 del Real Decreto 1671/2009, de 6 de noviembre, dispongo:

Artículo 1.- Objeto y ámbito de aplicación.

1. La presente orden tiene por objeto la regulación de los requisitos y condiciones de funcionamiento del Registro Electrónico Común, creado por el artículo 31 del Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.

2. De conformidad con lo previsto en el artículo 31.3 del citado Real Decreto, el Registro Electrónico Común posibilitará la presentación de cualesquiera solicitudes, escritos y comunicaciones dirigidas a la Administración General del Estado y a sus Organismos públicos, y está habilitado para la recepción y remisión de solicitudes, escritos y comunicaciones, presentados al amparo del artículo 24.2.b) de la Ley 11/2007, de 22 de junio.

En todo caso, de acuerdo con lo establecido en el artículo 31.4 de dicho real decreto, el Registro Electrónico Común informará al ciudadano y le redirigirá, cuando proceda, a los registros competentes para la recepción de aquellos documentos que dispongan de aplicaciones específicas para su tratamiento.

3. El ámbito del Registro Electrónico Común es la Administración General del Estado y los Organismos Públicos adscritos o dependientes de la misma.

Artículo 2.- Órganos competentes.

1. El Registro Electrónico Común será gestionado por la Secretaría de Estado de Administraciones Públicas del Ministerio de Hacienda y Administraciones Públicas, a través de la Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica. Corresponde a la Secretaria de Estado de Administraciones Públicas, la modificación del formulario electrónico de propósito general para la presentación en el Registro Electrónico Común de los escritos a los que se refiere el artículo 24.2.b) de la Ley 11/2007, de 22 de junio, que se incluye en el anexo I de la presente orden, así como la aprobación de otros formularios que, en su caso, resulten precisos para la presentación de los escritos en dicho Registro.

2. De acuerdo con lo previsto en los artículos 9 y 31.4 del Real Decreto 1671/2009, de 6 de noviembre, los Departamentos ministeriales y Organismos públicos participarán en la gestión del Registro Electrónico Común, y serán responsables de mantener actualizada la información que éste proporcione sobre servicios, procedimientos y trámites que cuentan con aplicaciones específicas y formularios normalizados en los Registros de su competencia.

Asimismo, serán responsables del acceso al Registro Electrónico Común y el traslado, en su caso, al registro competente para su tramitación de los escritos recibidos en el Registro Electrónico Común que tengan como destinatario al Ministerio u Organismo de que se trate.

Artículo 3.- Inscripción en procesos selectivos.

El Registro Electrónico Común actuará como registro específico para la inscripción y pago de la correspondiente tasa en las convocatorias de procesos selectivos en relación con el ingreso en Cuerpos o Escalas de personal funcionario o en plazas de personal laboral adscritos a la Administración General del Estado y sus Organismos públicos vinculados o dependientes, así como para la aportación de documentación adicional, cuyos formularios de inscripción figuren en la dirección electrónica de acceso al registro, para las que exista un Acuerdo de encomienda de gestión entre el órgano convocante y el Ministerio de Hacienda y Administraciones Públicas por el cual se encomiende a este último la gestión de la inscripción y pago por vía telemática.

El formulario específico a utilizar para la presentación de solicitudes respecto a la inscripción en procesos selectivos, se recoge en el anexo II de la presente orden y estará disponible en su sede electrónica.

Artículo 4.- Registro Electrónico de Apoderamientos

El Registro Electrónico Común actuará como registro específico para la inscripción en el Registro Electrónico de Apoderamientos, así como para la aportación de documentación adicional en dicho registro, cuyos formularios de inscripción fueron publicados en la Orden HAP/1637/2012, de 5 de julio, por la que se regula el Registro Electrónico de Apoderamientos.

Artículo 5.- Acceso al Registro Electrónico Común.

1. El acceso al Registro Electrónico Común estará disponible en la sede electrónica del Punto de Acceso General de la Administración General del Estado, regulado por el artículo 9 del Real Decreto 1671/2009, de 6 de noviembre.

2. La sede electrónica del Punto de Acceso General contendrá la información que facilite a los interesados la utilización de los procedimientos de identificación y firma electrónica admitidos, o el enlace con la dirección en que dicha información se contenga. Asimismo, incluirá información detallada sobre la utilización, validación y conservación de los ficheros de acuse de recibo, entregados como consecuencia de la presentación de cualquier tipo de documento ante el Registro Electrónico Común.

3. La sede electrónica incluirá una relación de los documentos electrónicos normalizados correspondientes a los Departamentos ministeriales y Organismos públicos, y un enlace con la sede electrónica a través de la cual debe realizarse la presentación de dichos escritos ante el registro competente.

4. En la sede electrónica del Punto de Acceso General estará disponible para su consulta la orden por la que se regula el Registro Electrónico Común.

Artículo 6.- Documentos admisibles.

1. El Registro Electrónico Común admitirá cualquier solicitud, escrito o comunicación, dirigida a la Administración General del Estado o a sus Organismos públicos que, conforme a lo previsto en el artículo 24.2.b) de la Ley 11/2007, de 22 de junio, no se corresponda con un documento electrónico normalizado que pueda cumplimentarse de acuerdo con formatos preestablecidos en su formulario correspondiente.

El formulario de propósito general a utilizar para la presentación de solicitudes, escritos y comunicaciones en el Registro Electrónico Común se recoge en el anexo I de la presente orden y estará disponible en su sede electrónica.

2. El Registro Electrónico Común admitirá asimismo documentación complementaria al escrito de iniciación mediante documentos electrónicos, incluyendo copias digitalizadas, conforme a los requisitos, condiciones y exigencias del artículo 35.2 de la Ley 11/2007, de 22 de junio. De acuerdo con los instrumentos informáticos y vías de comunicación disponibles, podrá limitarse la extensión máxima de los documentos complementarios a presentar en una sola sesión.

La aportación de la documentación complementaria que se realice en el Registro Electrónico Común en un momento posterior, ya sea por las razones técnicas aludidas en el párrafo anterior o de otra índole, se llevará a cabo mediante una nueva presentación que incluirá, al menos, la referencia al número o código de registro individualizado al que se refiere el artículo 8.1 de esta orden, del escrito de iniciación, o la información que permita identificarlo.

3. Cuando requiriéndose la presentación de una solicitud, escrito o comunicación mediante la utilización de documentos normalizados en el registro competente al efecto, conforme a lo previsto en el artículo 32 del Real Decreto 1671/2009, de 6 de noviembre, esta presentación se realice en el Registro Electrónico Común, la misma se admitirá y registrará, si bien el órgano destinatario podrá requerir al ciudadano la subsanación de acuerdo con lo previsto en el　artículo 29.3 del citado Real Decreto.

Los documentos admitidos en el Registro Electrónico Común se ajustarán a lo establecido en el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica, así como a lo establecido en la Resolución de la Secretaría de Estado de Administraciones Públicas, de 3 de octubre de 2012, por la que se aprueba la Norma Técnica de Interoperabilidad de Catálogo de estándares.

4. La presentación de solicitudes, escritos o comunicaciones dirigidos a órganos o entidades dependientes de otras Administraciones Públicas se tendrá por no realizada. En tal caso, se comunicará al interesado tal circunstancia, a través del medio elegido por éste en el momento de la presentación del escrito y se le informará sobre el sitio electrónico donde puede encontrar la referencia de los registros y lugares habilitados para la presentación conforme a las normas en vigor.

Todo ello se entiende sin perjuicio de lo previsto en la disposición adicional primera de la presente orden, que prevé que el Registro Electrónico Común, a través de los correspondientes Convenios, pueda ser habilitado para la remisión, recepción e intercambio de solicitudes, escritos y comunicaciones de la competencia de otras Administraciones Públicas.

Artículo 7.- Acreditación de la identidad.

1. Los documentos electrónicos podrán ser presentados ante el Registro Electrónico Común por los interesados, o por sus representantes cuando estén operativos los sistemas informáticos para la comprobación y validación de la representación a través de:

a) El régimen de representación habilitada regulado por el artículo 23 de la Ley 11/2007, de 22 de junio, y los artículos 13 y 14 del Real Decreto 1671/2009, de 6 de noviembre.

b) Su acreditación ante el Registro electrónico de apoderamientos, en los términos previstos en la Orden HAP/1637/2012, de 5 de julio, por la que se regula aquel.

2. El firmante del documento podrá acreditar su identidad ante el Registro Electrónico Común mediante los sistemas de firma electrónica incorporados al documento nacional de identidad o mediante sistemas de firma electrónica avanzada a los que se refiere el artículo 13.2 de la Ley 11/2007, de 22 de junio, o a través de funcionarios públicos habilitados, mediante el procedimiento previsto en el artículo 22 de dicha Ley.

3. El Registro Electrónico Común permitirá la utilización de todos los certificados respecto a los que se acuerde la admisión general en el ámbito de la Administración General del Estado.

Artículo 8.- Acuse de recibo.

1. El Registro Electrónico Común emitirá automáticamente por el mismo medio un recibo electrónico firmado mediante alguno de los sistemas de firma previstos en el artículo 18 de la Ley 11/2007, de 22 de junio, con el siguiente contenido:

a) El número o código de registro individualizado.

b) La fecha y hora de presentación.

c) La copia autenticada del escrito, comunicación o solicitud presentada, siendo admisible a estos efectos la reproducción literal de los datos introducidos en el formulario de presentación.

d) En su caso, la enumeración y denominación de los documentos adjuntos al formulario de presentación o documento presentado, seguida de la huella electrónica de cada uno de ellos.

e) En el caso de la inscripción en los procesos selectivos a que se refiere el artículo 3, información del plazo máximo establecido normativamente para la resolución y notificación del procedimiento, así como de los efectos que pueda producir el silencio administrativo, cuando sea automáticamente determinable.

2. El acuse de recibo indicará que el mismo no prejuzga la admisión definitiva del escrito cuando concurra alguna de las causas de rechazo contenidas en el artículo 29.1 del Real Decreto 1671/2009, de 6 de noviembre.

Artículo 9.- Presentación de documentos. Fecha y hora oficial. Cómputo de plazos.

1. El Registro Electrónico Común permitirá la presentación de solicitudes, escritos y comunicaciones todos los días del año, durante las veinticuatro horas del día, sin perjuicio de las interrupciones de mantenimiento técnico u operativo contempladas en el artículo 30.2 del Real Decreto 1671/2009, de 6 de noviembre, que se anunciarán con la antelación que resulte posible en la sede electrónica del Registro Electrónico Común.

Cuando por tratarse de interrupciones no planificadas que impidan la presentación de escritos no resulte posible realizar su anuncio con antelación, se actuará conforme a lo establecido en el artículo 30.2 del Real Decreto 1671/2009, de 6 de noviembre, a cuyo efecto, siempre que una norma legal no lo impida expresamente, se dispondrá por el tiempo imprescindible la prórroga de los plazos de inminente vencimiento, de lo que se dejará constancia en la sede electrónica.

2. Conforme a lo establecido en el artículo 26.1 de la Ley 11/2007, de 22 de junio, la fecha y hora a computar en las anotaciones del Registro Electrónico Común será la oficial de la sede electrónica de acceso, debiendo adoptarse las medidas precisas para asegurar su integridad.

3. El calendario de días inhábiles a efectos del Registro Electrónico Común será el que se determine en la Resolución publicada cada año en el “Boletín Oficial del Estado” para todo el territorio nacional por el Ministerio de Hacienda y Administraciones Públicas, en cumplimiento del artículo 48.7 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

4. El cómputo de plazos se realizará conforme a lo dispuesto en los apartados 3, 4 y 5 del artículo 26 de la Ley 11/2007, de 22 de junio. El inicio del cómputo de plazos vendrá determinado por la fecha y hora de entrada en el Registro del destinatario. La fecha de presentación, y sus consecuencias a efectos de cómputo de plazos, se comunicarán expresamente al ciudadano en el justificante de registro, que se generará automáticamente tras cada presentación, y podrá descargarse adicionalmente mediante una consulta al registro realizado.

Artículo 10.- Fichero de Protección de Datos.

En cumplimiento de lo previsto en el artículo 20 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se crea el fichero de datos personales “Registro Electrónico Común”, cuya titularidad corresponde a la Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica, calle María de Molina, 50, 28071 Madrid, válido a efectos del ejercicio por parte de los ciudadanos de los derechos previstos por dicha ley. El contenido del fichero se recoge en el anexo III de la presente orden. Dicho fichero se añade a los ficheros de la Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica del Ministerio de Hacienda y Administraciones Públicas que se recogen en la correspondiente orden ministerial. (Artículo derogado por Orden HAP 2478/2013, de 20 de diciembre, por la que se regulan los ficheros de datos de carácter personal existentes en el departamento y en determinados organismos adscritos al mismo).

Artículo 11.- Responsabilidad.

Los usuarios asumen con carácter exclusivo la responsabilidad de la custodia de los elementos necesarios para su autenticación en el acceso a los servicios prestados mediante administración electrónica, el establecimiento de la conexión precisa y la utilización de la firma electrónica, así como de las consecuencias que pudieran derivarse del uso indebido, incorrecto o negligente de los mismos. Igualmente será responsabilidad del usuario la adecuada custodia y manejo de los ficheros que le sean devueltos por el Registro Electrónico Común como acuse de recibo.

Los departamentos ministeriales y organismos públicos destinatarios de los escritos presentados en el Registro Electrónico Común serán responsables de la custodia y manejo de los correspondientes ficheros.

DISPOSICIONES ADICIONALES

Disposición adicional primera.- Escritos dirigidos a otras Administraciones Públicas.

De acuerdo con lo previsto en el artículo 24.3 de la Ley 11/2007, de 22 de junio, el Registro Electrónico Común podrá ser habilitado para la remisión, recepción e intercambio de solicitudes, escritos y comunicaciones de la competencia de otras Administraciones Públicas, en la forma que se determine en los correspondientes Convenios.

Disposición adicional segunda.- Interoperabilidad de los registros públicos.

La Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica de la Secretaría de Estado de Administraciones Públicas, certificará las herramientas y mecanismos que se pongan en funcionamiento para garantizar el acceso y la interoperabilidad con el Registro Electrónico Común, así como para garantizar la interconexión de los registros, por parte del resto de las Administraciones Públicas, de conformidad con lo señalado en el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.

Disposición adicional tercera.- No incremento de gasto público.

Las medidas contenidas en esta orden se atenderán con los medios personales y materiales existentes en el Ministerio de Hacienda y Administraciones Públicas, y en ningún caso podrá generar incremento de gasto público.

DISPOSICIÓN TRANSITORIA

Disposición transitoria única.- Acceso al Registro Electrónico Común.

En tanto no se produzca la entrada en funcionamiento de la sede electrónica del Punto de Acceso General de la Administración General del Estado, el acceso al Registro Electrónico Común estará disponible en la sede electrónica del portal nacional de ciudadanos y empresas (sede.060.gob.es), y en el propio portal (www.060.es).

DISPOSICIÓN DEROGATORIA

Disposición derogatoria única.- Derogación normativa.

Quedan derogadas la Orden PRE/3523/2009, de 29 de diciembre, por la que se regula el Registro Electrónico Común, y cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en esta orden.

DISPOSICIÓN FINAL

Disposición final única.- Entrada en vigor.

La presente orden entrará en vigor el día siguiente al de su publicación en el “Boletín Oficial del Estado”.

ANEXO I.- Formulario de propósito general

1. Datos del formulario:

Tipo de documento (obligatorio).
Número de identificación (obligatorio).
Nombre (obligatorio).
Primer apellido (obligatorio).
Segundo apellido (obligatorio).
País (obligatorio).
Provincia (obligatorio).
Localidad (obligatorio).
Tipo de vía (obligatorio).
Nombre y número de vía (obligatorio).
Bloque.
Escalera.
Piso.
Puerta.
Código postal (obligatorio).
Teléfono de contacto.
Correo electrónico.
Teléfono móvil.

2. Datos de la solicitud:

Organismo destinatario (obligatorio).
Asunto: (obligatorio).
Expone: (obligatorio).
Solicita: (obligatorio).

3. Documentos anexos:

Documentos (hasta cinco).

4. Alertas:

Alerta SMS.
Alerta mail.

ANEXO II.- Formulario de inscripción a pruebas selectivas

1. Datos del formulario:

N.º justificante (obligatorio).
Nombre (obligatorio).
Primer apellido (obligatorio).
Segundo apellido (obligatorio).
Correo electrónico (obligatorio).
NIF (obligatorio).
Nacionalidad.
Fecha de nacimiento (obligatorio).
Sexo (obligatorio).
Domicilio-calle o plaza (obligatorio).
Domicilio-municipio (obligatorio).
Domicilio-provincia (obligatorio).
Domicilio-código postal (obligatorio).
Domicilio-país (obligatorio).
Domicilio-teléfonos (obligatorio).
Convocatoria-Cuerpo y Escala (obligatorio).
Convocatoria-Especialidad.
Convocatoria-Centro gestor (obligatorio).
Convocatoria-importe (obligatorio).
Convocatoria-Ministerio (obligatorio).
Convocatoria-fecha BOE (obligatorio).
Convocatoria-forma acceso (obligatorio).
Convocatoria-ejercicio (obligatorio).
Convocatoria-provincia de examen (obligatorio).
Porcentaje discapacidad.
Reserva plaza.
Adaptación que se solicita.
Títulos académicos-exigidos en la convocatoria (obligatorio).
Títulos académicos-otros títulos.
Datos a consignar según las bases de la convocatoria-datos A.
Datos a consignar según las bases de la convocatoria-datos B.
Datos a consignar según las bases de la convocatoria-datos C.
Dirigido a (obligatorio).
Consiente verificación de datos (obligatorio).

2. Autoliquidación del pago de la tasa:

Importe (obligatorio).
Tipo de pago: (obligatorio).
Causa de exención o reducción.
Fecha de pago: (obligatorio).
NRC.
Entidad.

3. Documentos anexos.

ANEXO III.- Fichero de datos personales (Anexo derogado por Orden HAP 2478/2013, de 20 de diciembre, por la que se regulan los ficheros de datos de carácter personal existentes en el departamento y en determinados organismos adscritos al mismo).

Nombre del fichero: Registro Electrónico Común (REC).
Finalidad del fichero: Anotaciones registrales de los asientos electrónicos efectuados en el Registro Electrónico Común para, en su caso, poder consultar la información registral de un asiento.
Usos previstos: Recepción y remisión al órgano u organismo competente de dichos escritos, solicitudes y comunicaciones, así como de la documentación complementaria de los mismos, así como fines estadísticos y para responder a las consultas de los propios usuarios, sobre el hecho registral.
Personas o colectivos sobre los que se pretende obtener datos de carácter personal, o que resulten obligados a suministrarlos: El asiento registral contiene el nombre y el DNI del interesado, así como su lugar de residencia, por lo que se obtendrá esta información de los usuarios del registro electrónico común.
Procedimiento de recogida de datos de carácter personal: Por archivo de los datos introducidos en el momento de realizar el asiento.
Estructura básica del fichero y descripción de los tipos de datos de carácter personal, incluidos en el mismo: Se recogerán los siguientes datos personales, asociados a la información registral:
Datos de carácter identificativo: DNI, nombre y apellidos.
Datos de características personales: Lugar de residencia.
Datos relativos a la solicitud, escrito o comunicación presentados: Campos Asunto, Expone y Solicita.
Datos relativos a la comisión de infracciones penales y administrativas: Pueden ser introducidos por el usuario en los campos Solicita y Expone, así como en la documentación aneja.
Datos académicos y profesionales: Pueden ser introducidos por el usuario en los campos Solicita y Expone, así como en la documentación aneja.
Datos de circunstancias sociales: Pueden ser introducidos por el usuario en los campos Solicita y Expone, así como en la documentación aneja.
Sistema de tratamiento utilizado en su organización: Automatizado.
Cesiones de datos que se prevean y transferencias a países terceros, en su caso: La transmisión de la información y documentación a la Administración destinataria de la misma.
Órgano administrativo responsable del fichero: Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica, calle María de Molina, 50, 28071 Madrid.
Órgano administrativo ante el que pueden ejercitarse los derechos de acceso, rectificación, cancelación y oposición: Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica, calle María de Molina, 50, 28071 Madrid.
Medidas de seguridad, con indicación del nivel básico, medio o alto, exigible: Básico.

Municipalidad de San Martín de los Andes

Ordenanza nº 5661, Año 2004 Acceso a la Información Pública. Publicación.- 02/09/2004. Boletín Oficial nº 254

Organismo emisor.- Concejo Deliberante

Sanción.- 13/08/2004

Promulgación.- 27/08/2004 por Resolución nº 3155

ARTÍCULO 1º.- OBJETO. La presente Ordenanza tiene por objeto regular el acceso a la información pública como instancia de participación ciudadana consagrando el derecho de toda persona a solicitar y a recibir información completa de los órganos del gobierno municipal.

ARTÍCULO 2º.- ÁMBITO DE APLICACIÓN. Esta Ordenanza es de aplicación a los organismos, dependencias y entes del Departamento Ejecutivo Municipal, entes descentralizados, Concejo Deliberante y Contraloría Municipal.

ARTÍCULO 3º.- SUJETOS. Toda persona física o jurídica, pública o privada, tiene derecho a solicitar y a recibir información pública de los organismos, dependencias y entes aludidos en el artículo anterior.

ARTÍCULO 4º.- GRATUIDAD. El acceso público a la información es gratuito en tanto no se requiera su reproducción. Las copias son a cargo del solicitante.

ARTÍCULO 5º.- ALCANCES. Se considera información a los efectos de la presente, toda constancia en documentos escritos, fotográficos, grabaciones, soporte magnético, digital o en cualquier otro formato y que haya sido creada por la Administración municipal y en los entes en lo que ésta tenga participación, con motivo y en ocasión de sus funciones públicas. El órgano requerido no tiene obligación de crear o producir información con la que no cuente al momento de efectuarse el pedido.

ARTÍCULO 6º.- EXCEPCIONES. El organismo o ente municipal está exceptuado de suministrar información, cuando:

a) Sea expresamente calificada como reservada por el Concejo Deliberante.

b) Pueda ocasionar un peligro a la vida o seguridad de una o más personas.

c) Afecte a la intimidad de las personas.

d) Esté protegida por el secreto profesional.

e) Se trate de información preparada por asesores jurídicos o abogados de la Administración.

f) Sean notas internas con recomendaciones u opiniones producidas como parte del proceso previo al dictado de un acto administrativo o a la toma de una decisión, que no formen parte de un expediente.

g) Pueda vulnerar los derechos de la Municipalidad, en su relación económica y/o  financiera con terceros.

h) Se trate de materias exceptuadas por normas específicas. i) El Juzgado Municipal de Faltas disponga la reserva de las actuaciones en los expedientes sometidos a su juzgamiento.

ARTÍCULO 7º.- SOLICITUD. La solicitud de información debe ser realizada por escrito, en doble ejemplar, con la identificación del requirente, consignando el número de documento y domicilio. Una de las copias de la solicitud será devuelta al solicitante con la constancia de la recepción. La solicitud de información se debe presentar en la Mesa de Entradas del organismo o ente del que se trate.

ARTÍCULO 8º.- RESPUESTA. El organismo requerido dispondrá de un plazo de diez días para proveer la información al solicitante. El plazo puede ser prorrogado por otros diez días, de mediar circunstancias que dificulten reunir la información solicitada. La información solicitada, como la denegatoria a la misma, solamente puede ser dispuesta por la autoridad máxima del órgano o ente interviniente.

ARTÍCULO 9º.- SILENCIO. Si una vez cumplidos los plazos establecidos en el artículo 8, la demanda de información no se hubiere satisfecho, el interesado podrá:

a) Reputar denegada tácitamente su petición, recurso o reclamación en cualquier oportunidad antes de la prescripción, ejerciendo los medios de impugnación administrativos o judiciales que correspondieren.

b) Aguardar una resolución expresa, extemporánea en los términos del Artículo 162 in fine de la Ley 1264. c) Requerir por vía judicial, a través del amparo por mora administrativa, un pronunciamiento expreso. El ejercicio por parte del interesado de la opción otorgada en el inciso a) impide la del inciso c), pero el uso de esta última no obsta ejercitar el derecho conferido en el inciso a). Será condición ineludible para habilitar al interesado a ejercitar la opción otorgada en el inciso c), que requiera en sede administrativa un pronunciamiento expreso del órgano competente; este requerimiento se realizará por escrito con petición de pronto despacho, con el fin de constituir en mora a la Administración. Si vencido el plazo de diez días hábiles administrativos de recibida la petición, la Administración tampoco se pronunciara, podrá el interesado interponer el amparo por mora en sede judicial sin más trámite.

ARTÍCULO 10º.- VIGENCIA. La presente Ordenanza tendrá vigencia efectiva en el plazo de noventa días desde su publicación en el Boletín Oficial Municipal.

ARTÍCULO 11º.- Regístrese, comuníquese, publíquese y cumplido, dése al Archivo Municipal.-

Dada en la Sala de Sesiones del Concejo Deliberante, en Sesión Ordinaria nº 20 de fecha 13 de Agosto del 2.004, según consta en Acta correspondiente. 

Personal Information Protection and Electronic Documents Act

An Act to support and promote electronic commerce by protecting personal information that is collected, used or disclosed in certain circumstances, by providing for the use of electronic means to communicate or record information or transactions and by amending the Canada Evidence Act, the Statutory Instruments Act and the Statute Revision Act.

Her Majesty, by and with the advice and consent of the Senate and House of Commons of Canada, enacts as follows:

SHORT TITLE

1.–This Act may be cited as the Personal Information Protection and Electronic Documents Act.

PART 1.- PROTECTION OF PERSONAL INFORMATION IN THE PRIVATE SECTOR

Interpretation

Definitions

2.–　

(1)　The definitions in this subsection apply in this Part.

3.– The purpose of this Part is to establish, in an era in which technology increasingly facilitates the circulation and exchange of information, rules to govern the collection, use and disclosure of personal information in a manner that recognizes the right of privacy of individuals with respect to their personal information and the need of organizations to collect, use or disclose personal information for purposes that a reasonable person would consider appropriate in the circumstances.

Application

Application

4.–

6.　The designation of an individual under clause 4.1 of Schedule 1 does not relieve the organization of the obligation to comply with the obligations set out in that Schedule.

Collection without knowledge or consent

7.–　

10.–　An organization shall give access to personal information in an alternative format to an individual with a sensory disability who has a right of access to personal information under this Part and who requests that it be transmitted in the alternative format if

Commissioner’s Report

Contents

13.–

15.– The Commissioner may, in respect of a complaint that the Commissioner did not initiate,

16.– The Court may, in addition to any other remedies it may give,

21.– The Commissioner or person acting on behalf or under the direction of the Commissioner is not a competent witness in respect of any matter that comes to their knowledge as a result of the performance or exercise of any of the Commissioner’s duties or powers under this Part in any proceeding other than

24.– The Commissioner shall

28.–　Every person who knowingly contravenes subsection 8(8) or 27.1(1) or who obstructs the Commissioner or the Commissioner’s delegate in the investigation of a complaint or in conducting an audit is guilty of

32.– The purpose of this Part is to provide for the use of electronic alternatives in the manner provided for in this Part where federal laws contemplate the use of paper to record or communicate information or transactions.

Electronic Alternatives

Collection, storage, etc.

33.– A minister of the Crown and any department, branch, office, board, agency, commission, corporation or body for the administration of affairs of which a minister of the Crown is accountable to the Parliament of Canada may use electronic means to create, collect, receive, store, transfer, distribute, publish or otherwise deal with documents or information whenever a federal law does not specify the manner of doing so.

Electronic payment

34.– A payment that is required to be made to the Government of Canada may be made in electronic form in any manner specified by the Receiver General.

Electronic version of statutory form

35.– 

36.–　A provision of a federal law that provides that a certificate or other document signed by a minister or public officer is proof of any matter or thing, or is admissible in evidence, is, subject to the federal law, satisfied by an electronic version of the certificate or other document if the electronic version is signed by the minister or public officer with that person’s secure electronic signature.

Retention of documents

37.–　A requirement under a provision of a federal law to retain a document for a specified period is satisfied, with respect to an electronic document, by the retention of the electronic document if

38.–　A reference in a provision of a federal law to a document recognized as a notarial act in the province of Quebec is deemed to include an electronic version of the document if

39.–　A requirement under a provision of a federal law for a person’s seal is satisfied by a secure electronic signature that identifies the secure electronic signature as the person’s seal if the federal law or the provision is listed in Schedule 2 or 3.

Requirements to provide documents or information

40.–　A provision of a federal law requiring a person to provide another person with a document or information, other than a provision referred to in any of sections 41 to 47, is satisfied by the provision of the document or information in electronic form if

41.–　A requirement under a provision of a federal law for a document to be in writing is satisfied by an electronic document if

42.–　A requirement under a provision of a federal law for a document to be in its original form is satisfied by an electronic document if

43.–　Subject to sections 44 to 46, a requirement under a provision of a federal law for a signature is satisfied by an electronic signature if

44.–　A statement required to be made under oath or solemn affirmation under a provision of a federal law may be made in electronic form if

45.–　A statement required to be made under a provision of a federal law declaring or certifying that any information given by a person making the statement is true, accurate or complete may be made in electronic form if

46.–　A requirement under a provision of a federal law for a signature to be witnessed is satisfied with respect to an electronic document if

47.　A requirement under a provision of a federal law for one or more copies of a document to be submitted is satisfied by the submission of an electronic document if

49.–　For the purposes of sections 38 to 47, the responsible authority in respect of a provision of a federal law may, by order, amend Schedule 2 or 3 by adding or striking out a reference to that federal law or provision.

Regulations

50.–　

51.– The striking out of a reference to a federal law or provision in Schedule 2 or 3 does not affect the validity of anything done in compliance with any regulation made under section 50 that relates to that federal law or provision while it was listed in that Schedule.

PART 3.- AMENDMENTS TO THE CANADA EVIDENCE ACT

52. to 57.　(Amendments)

PART 4.- AMENDMENTS TO THE STATUTORY INSTRUMENTS ACT

58. and 59.　(Amendments)

PART 5.- AMENDMENTS TO THE STATUTE REVISION ACT

60. to 71.　(Amendments)

PART 6.- COMING INTO FORCE

Coming into force

72.– Parts 1 to 5 or any provision of those Parts come into force on a day or days to be fixed by order of the Governor in Council made on the recommendation of

4.1.- Principle 1 .- Accountability

An organization is responsible for personal information under its control and shall designate an individual or individuals who are accountable for the organization's compliance with the following principles.

4.2.- Principle 2 .- Identifying Purposes

The purposes for which personal information is collected shall be identified by the organization at or before the time the information is collected.

The knowledge and consent of the individual are required for the collection, use, or disclosure of personal information, except where inappropriate.

Note: In certain circumstances personal information can be collected, used, or disclosed without the knowledge and consent of the individual. For example, legal, medical, or security reasons may make it impossible or impractical to seek consent. When information is being collected for the detection and prevention of fraud or for law enforcement, seeking the consent of the individual might defeat the purpose of collecting the information. Seeking consent may be impossible or inappropriate when the individual is a minor, seriously ill, or mentally incapacitated. In addition, organizations that do not have a direct relationship with the individual may not always be able to seek consent. For example, seeking consent may be impractical for a charity or a direct-marketing firm that wishes to acquire a mailing list from another organization. In such cases, the organization providing the list would be expected to obtain consent before disclosing personal information.

4.4.- Principle 4 .- Limiting Collection

The collection of personal information shall be limited to that which is necessary for the purposes identified by the organization. Information shall be collected by fair and lawful means.

4.5.- Principle 5 .-Limiting Use, Disclosure, and Retention

Personal information shall not be used or disclosed for purposes other than those for which it was collected, except with the consent of the individual or as required by law. Personal information shall be retained only as long as necessary for the fulfilment of those purposes.

4.6.- Principle 6 .- Accuracy

Personal information shall be as accurate, complete, and up-to-date as is necessary for the purposes for which it is to be used.

4.7.- Principle 7 .- Safeguards

Personal information shall be protected by security safeguards appropriate to the sensitivity of the information.

4.8.- Principle 8 .- Openness

An organization shall make readily available to individuals specific information about its policies and practices relating to the management of personal information.

4.9.- Principle 9 .- Individual Access

Upon request, an individual shall be informed of the existence, use, and disclosure of his or her personal information and shall be given access to that information. An individual shall be able to challenge the accuracy and completeness of the information and have it amended as appropriate.

Note: In certain situations, an organization may not be able to provide access to all the personal information it holds about an individual. Exceptions to the access requirement should be limited and specific. The reasons for denying access should be provided to the individual upon request. Exceptions may include information that is prohibitively costly to provide, information that contains references to other individuals, information that cannot be disclosed for legal, security, or commercial proprietary reasons, and information that is subject to solicitor-client or litigation privilege.

4.10.- Principle 10 .- Challenging Compliance

An individual shall be able to address a challenge concerning compliance with the above principles to the designated individual or individuals accountable for the organization's compliance.

               Column 1                                                                         Column 2

Item      Act of Parliament                                                            Provisions

1           Federal Real Property and Federal Immovables Act    Sections 3, 5 5o 7 and 16

2          Canada Labour Code                                                       Subsection 254 (1)　

SCHEDULE 3

(Sections 38 to 47, 49 and 51)

REGULATIONS AND OTHER INSTRUMENTS

                     Column 1 Column 2

Item      Regulations or Other Instrument                Provisions

1           Federal Real Property Regulations            Sections 9 and 11 (SOR/2005-407)

1          Federal Real Property Regulations             Sections 9 and 11 (SOR/2004-309, s.2)

AMENDMENTS NOT IN FORCE

2010, c. 23, s. 82

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196) e, in particolare gli articoli 33 ss., nonché il relativo Allegato B) contenente il disciplinare tecnico in materia di misure minime di sicurezza;

VISTO l'art. 29 del decreto-legge 25 giugno 2008, n. 112, come modificato dalla legge di conversione 6 agosto 2008, n. 133, con il quale è stato, fra l'altro, modificato l'art. 34 del Codice;

RITENUTA l'esigenza di individuare alcune modalità semplificate di applicazione del predetto disciplinare tecnico da parte dei “soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale”, nonché rispetto a “trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani”, nel rispetto dei diritti degli interessati (comma 1-bis art. 34 cit.);

RILEVATA l'ulteriore esigenza che di tali modalità semplificate, da aggiornare periodicamente, sia data la più ampia pubblicità anche attraverso il sito Internet dell'Autorità (http://www.garanteprivacy.it);

VISTO il parere del Ministro per la semplificazione normativa formulato con nota del 21 novembre 2008, sullo schema preliminare del presente provvedimento trasmesso con nota del 3 novembre 2008;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Francesco Pizzetti;

Il presente provvedimento individua modalità semplificate di applicazione delle misure minime di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali, di seguito indicato come Allegato B).

La disciplina sulle misure minime di sicurezza

I soggetti che trattano dati personali sono tenuti a proteggerli attraverso adeguate misure di sicurezza.

Alcune di esse sono individuate puntualmente dal Codice e delineano il livello minimo di protezione dei dati: si tratta delle misure indicate dagli articoli 33 ss. del Codice, da adottare nei modi previsti dall'Allegato B).

Di recente sono state introdotte con disposizione di legge alcune semplificazioni relative ai trattamenti effettuati con strumenti elettronici da parte dei soggetti che utilizzano soltanto dati personali non sensibili e che trattano, come unici dati sensibili, quelli inerenti allo stato di salute o alla malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero all'adesione a organizzazioni sindacali o a carattere sindacale.

Per questi casi, la tenuta di un aggiornato documento programmatico sulla sicurezza (art. 34, comma 1, lett. g) del Codice) è stata sostituita da un obbligo di autocertificazione (resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445) di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte (art. 29 d.l. 25 giugno 2008, n. 112, come modificato dalla legge di conversione 6 agosto 2008, n. 133).

In relazione ai trattamenti sopra menzionati, nonché a quelli effettuati da chiunque per correnti finalità amministrative e contabili in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante deve individuare modalità semplificate di applicazione dell'Allegato B) sentito il Ministro per la semplificazione normativa.

Tale individuazione avviene mediante il presente provvedimento, che sarà aggiornato con cadenza periodica.

Semplificazione per taluni trattamenti

Come il Garante ha già evidenziato nel provvedimento del 19 giugno 2008 (in Gazzetta Ufficiale 1° luglio 2008, n. 152 e in www.garanteprivacy.it, doc. web n. 1526724), nonché mediante la segnalazione al Parlamento e al Governo in materia di misure minime di sicurezza del 19 giugno 2008, da parte di taluni titolari del trattamento le medesime misure di sicurezza possono essere attuate in modo semplificato, alla luce dell'esperienza applicativa e senza diminuire dal punto di vista sostanziale le cautele volte a prevenire determinati rischi (art. 34, comma 1 bis, del Codice, come introdotto dall'art. 29 cit.).

Sono state pertanto individuate alcune nuove modalità volte a semplificare incisivamente l'applicazione di varie regole contenute nell'Allegato B).

L'obiettivo è garantire egualmente un idoneo livello di sicurezza tenendo conto delle ridotte dimensioni di alcune realtà organizzative, nonché della particolare natura di alcuni trattamenti a fini esclusivamente amministrativo-contabili. Ciò, sulla base di una dettagliata ricognizione delle singole questioni e di approfondimenti svolti in ordine alle questioni applicative che sono state poste a vario titolo all'attenzione di questa Autorità, in particolare attraverso quesiti e segnalazioni.

Le modalità semplificate elencate nell'unito prospetto potranno essere applicate immediatamente dai soggetti interessati.

    a) ai sensi dell'art. 34, comma 1-bis, del Codice individua nell'unito prospetto che costituisce parte integrante del presente provvedimento le modalità semplificate per applicare le misure minime di sicurezza per il trattamento dei dati personali;

    b) dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.

Roma, 27 novembre 2008

En la sesión del Consejo de Ministros de Telecomunicaciones de la Unión Europea, celebrada el 22 de abril de 1999, se ha informado favorablemente la adopción de una posición común, respecto del proyecto de Directiva del Parlamento Europeo y del Consejo por la que se establece un marco común para la firma electrónica.

El Estado español ha tenido una participación activa en el logro de la posición común que facilita la tramitación del texto, al recoger éste los elementos suficientes para proteger la seguridad y la integridad de las comunicaciones telemáticas en las que se emplee la firma electrónica.  En ese sentido, existen ya en España diversas normas sobre la presentación de la declaración del Impuesto sobre la Renta de las Personas Físicas por medios telemáticos, dictadas por la Administración tributaria.  La Comisión Nacional del Mercado de Valores, por su parte, ha aprobado y puesto en marcha un sistema de cifrado y firma electrónica que se emplea para la recepción de información de las entidades supervisadas.  Asimismo, el artículo 81 de la Ley 66/1997, de 30 de diciembre, de Medidas Fiscales, Administrativas y de Orden Social, anuncia la posibilidad de prestar, por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, los servicios técnicos y administrativos necesarios para garantizar la seguridad, la validez y la eficacia de la emisión y recepción de comunicaciones, a través de técnicas y medios electrónicos, informáticos y telemáticos.  La Fábrica Nacional de la Moneda y Timbre-Real Casa de la Moneda actuará en colaboración con Correos y Telégrafos.

En el proyecto de Directiva se incorpora, a solicitud del Estado español, una novedad, recogida en el apartado c) del anexo II, entre los requisitos exigibles a los prestadores de servicios de certificación que expidan certificados reconocidos.  Esta novedad consiste en permitir que la certificación pueda recoger la fecha y la hora en la que se produce la actuación certificante.

Existe, además, en España un sector empresarial que podría prestar un servicio de certificación de la firma electrónica con suficiente calidad.  Se considera que debe introducirse, cuanto antes, la disciplina que permita utilizar, con la adecuada seguridad jurídica, este medio tecnológico que contribuye al desarrollo de lo que se ha venido en denominar, en la Unión Europea, la sociedad de la información, La urgencia de la aprobación de esta norma deriva, también, del deseo de dar, a los usuarios de los nuevos servicios, elementos de confianza en los sistemas, permitiendo su introducción y rápida difusión.

Por ello, este Real Decreto-ley persigue, respetando el contenido de la posición común respecto de la Directiva sobre firma electrónica, establecer una regulación clara del uso de ésta, atribuyéndole eficacia jurídica y previendo el régimen aplicable a los prestadores de servicios de certificación.  De igual modo, este Real Decreto-ley determina el registro en el que habrán de inscribirse los prestadores de servicios de certificación y el régimen de inspección administrativa de su actividad, regula la expedición y la pérdida de eficacia de los certificados y tipifica las infracciones y las sanciones que se prevén para garantizar su cumplimiento.

La presente disposición ha sido sometida al procedimiento de información en materia de normas y reglamentaciones técnicas previsto en la Directiva 98/34/CE, del Parlamento Europeo y del Consejo, de 22 de junio de 1998, modificada por la Directiva 98/34/CE, del Parlamento Europeo y del Consejo, de 20 de julio de 1998, y en el Real Decreto 1337/1999, de 31 de julio.

En su virtud, a propuesta del Ministro de Fomento, de la Ministra de Justicia y del Ministro de Industria y Energía, previo informe del Consejo General del Poder Judicial y de la Agencia de Protección de Datos, tras la deliberación del Consejo de Ministros, en su reunión celebrada el día 17 de septiembre de 1999, y en uso de la autorización concedida en el artículo 86 de la Constitución,

DISPONGO:

TÍTULO I . Disposiciones generales

CAPÍTULO ÚNICO . Disposiciones generales

Artículo 1. Ámbito de aplicación.

1. Este Real Decreto-ley regula el uso de la firma electrónica, el reconocimiento de su eficacia jurídica y la prestación al público de servicios de certificación.  Las normas sobre esta actividad son de aplicación a los prestadores de servicios establecidos en España.

2. Las disposiciones contenidas en este Real Decreto-ley no alteran las normas relativas a la celebración, la formalización, la validez y la eficacia de los contratos y otros actos jurídicos ni al régimen jurídico aplicable a las obligaciones.

Las normas sobre la prestación de servicios de certificación de firma electrónica que recoge este Real Decreto-ley no sustituyen ni modifican las que regulan las funciones que corresponde realizar a las personas facultadas con arreglo a derecho, para dar fe de la firma en documentos o para intervenir en su elevación a públicos.

Artículo 2. Definiciones.

A los efectos de este Real Decreto-ley, se establecen las siguientes definiciones:

a) “Firma electrónica”: Es el conjunto de datos, en forma electrónica, anejos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge.

b) “Firma electrónica avanzada”: Es la firma electrónica que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detestable cualquier modificación ulterior de éstos.

c) “Signatario”: Es la persona física que cuenta con un dispositivo de creación de firma y que actúa en nombre propio o en el de una persona física o jurídica a la que representa.

d) “Datos de creación de firma”: Son los datos únicos, como códigos o claves criptográficas privadas, que el signatario utiliza para crear la firma electrónica.

e) “Dispositivo de creación de firma”: Es un programa o un aparato informático que sirve para aplicar los datos de creación de firma.

f) “Dispositivo seguro de creación de firma”: Es un dispositivo de creación de firma que cumple los requisitos establecidos en el artículo 19.

g) “Datos de verificación de firma”: Son los datos, como códigos o claves criptográficas públicas, que se utilizan para verificar la firma electrónica.

h) “Dispositivo de verificación de firma”: Es un programa o un aparato informático que sirve para aplicar los datos de verificación de firma.

i) “Certificado”: Es la certificación electrónica que vincula unos datos de verificación de firma a un signatario y confirma su identidad.

j) “Certificado reconocido”: Es el certificado que contiene la información descrita en el artículo 8 y es expedido por un prestador de servicios de certificación que cumple los requisitos enumerados en el artículo 12.

k) “Prestador de servicios de certificación”: Es la persona física o jurídica que expide certificados, pudiendo prestar, además, otros servicios en relación con la firma electrónica.

I) “Producto de firma electrónicas: Es un programa o un aparato informático o sus componentes específicos, destinados a ser utilizados para la prestación de servicios de firma electrónica por el prestador de servicios de certificación o para la creación o verificación de firma electrónica.

II) “Acreditación voluntaria del prestador de servicios de certificación”: Resolución que establece los derechos y obligaciones específicos para la prestación de servicios de certificación y que se dicta, a petición del prestador al que le beneficie, por el organismo público encargado de su supervisión.

Artículo 3. Efectos jurídicos de la firma electrónica.

1. La firma electrónica avanzada, siempre que esté basada en un certificado reconocido y que haya sido producida por un dispositivo seguro de creación de firma, tendrá, respecto de los datos consignados en forma electrónica, el mismo valor jurídico que la firma manuscrita en relación con los consignados en papel y será admisible como prueba en juicio, valorándose ésta según los criterios de apreciación establecidos en las normas procesales.

Se presumirá que la firma electrónica avanzada reúne las condiciones necesarias para producir los efectos indicados en este apartado, cuando el certificado reconocido en que se base haya sido expedido por un prestador de servicios de certificación acreditado y el dispositivo seguro de creación de firma con el que ésta se produzca se encuentre certificado, con arreglo a lo establecido en el artículo 21.

2. A la firmar electrónica que no reúna todos los requisitos previstos en el apartado anterior, no se le negarán efectos jurídicos ni será excluida como prueba en juicio, por el mero hecho de presentarse en forma electrónica.

TÍTULO II . La prestación de servicios de certificación

CAPITULO I .Principios generales

Artículo 4. Régimen de libre competencia.

1. La prestación de servicios de certificación no está sujeta a autorización previa y se realiza en régimen de libre competencia, sin que quepa establecer restricciones para los servicios de certificación que procedan de alguno de los Estados miembros de la Unión Europea.

2. La prestación de los servicios de certificación por las Administraciones o los organismos o sociedades de ellas dependientes se realizará con la debida separación de cuentas y con arreglo a los principios de objetividad, transparencia y no discriminación.

Artículo 5.  Empleo de la firma electrónica por las Administraciones públicas.

a) Se podrá supeditar por la normativa estatal o, en su caso, autonómica el uso de la firma electrónica en el seno de las Administraciones públicas y sus entes públicos y en las relaciones que con cualesquiera de ellos mantengan los particulares, a las condiciones adicionales que se consideren necesarias, para salvaguardar las garantías de cada procedimiento.

Las condiciones adicionales que se establezcan podrán incluir la prestación de un servicio de consignación de fecha y hora. respecto de los documentos electrónicos integrados en un expediente administrativo.  El citado servicio consistirá en la acreditación por el prestador de servicios de certificación, o por un tercero, de la fecha y hora en que un documento electrónico es enviado por el signatario o recibido por el destinatario.

Las normas estatales que regulen las condiciones adicionales sobre el uso de la firma electrónica a las que se refiere este apartado sólo podrán hacer referencia a las características específicas de la aplicación de que se trate y se dictarán a propuesta del Ministerio de Administraciones Públicas y previo informe del Consejo Superior de Informática.

b) Las condiciones adicionales a las que se refiere el apartado anterior deberán garantizar el cumplimiento de lo previsto en el artículo 45 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, serán objetivas, razonables y no discriminatorias y no obstaculizarán la prestación de servicios al ciudadano, cuando en ella intervengan distintas Administraciones públicas nacionales o extranjeras.

3. Podrá someterse a un régimen específico, la utilización de la firma electrónica en las comunicaciones que afecten a la información clasificada, a la seguridad pública o a la defensa.  Asimismo, el Ministro de Economía y Hacienda, respetando las condiciones previstas en este Real Decreto-ley, podrá establecer un régimen normativo destinado a garantizar el cumplimiento de las obligaciones tributarios, determinando, respecto de la gestión de los tributos, la posibilidad de que el signatario sea una persona física o una persona jurídica.

Artículo 6.  Sistemas de acreditación de prestadores de servicios de certificación y de certificación de productos de firma electrónica.

1. El Gobierno, por Real Decreto, podrá establecer sistemas voluntarios de acreditación de los prestadores de servicios de certificación de firma electrónica, determinando, para ello, un régimen que permita lograr el adecuado grado de seguridad y proteger, debidamente, los derechos de los usuarios.

2. Las funciones de certificación a las que se refiere este Real Decreto-ley serán ejercidas por los órganos, en cada caso competentes, referidos en la Ley 1 1/1 998, de 24 de abril, General de Telecomunicaciones; en la Ley 21/1992, de 16 de julio, de Industria, y en la demás legislación vigente sobre la materia.  El Real Decreto al que se refiere el apartado 1 establecerá las condiciones que permitan coordinar los sistemas de certificación.

3. Las normas que regulen los sistemas de acreditación y de certificación deberán ser objetivas, razonables y no discriminatorias.  Todos los prestadores de servicios que se sometan voluntariamente a ellos, podrán obtener la correspondiente acreditación de su actividad o, en su caso, la certificación del producto de firma electrónica que empleen.

4. Los órganos competentes para el ejercicio de las funciones a que se refiere el apartado anterior valorarán los informes técnicos que emitan las entidades de evaluación sobre los prestadores de servicios que hayan solicitado su acreditación o los productos para los que se haya pedido certificación.  También tomarán en cuenta el cumplimiento, por el prestador de servicios, de los requisitos que se determinen reglamentariamente para poder ser acreditado.

5. A los efectos de este Real Decreto-ley, sólo podrán actuar como entidades de evaluación aquellas que hayan sido acreditadas por el organismo independiente al que se haya atribuido esta facultad por el Real Decreto al que se refiere el apartado primero de este artículo.

Artículo 7. Registro de Prestadores de Servicios de Certificación.

1. Se crea, en el Ministerio de Justicia, el Registro de Prestadores de Servicios de Certificación, en el que deberán solicitar su inscripción, con carácter previo al inicio de su actividad, todos los establecidos en España.  Su regulación se desarrollará por Real Decreto.

2. La solicitud de inscripción habrá de formularse, aportando la documentación que se establezca reglamentariamente, a efectos de la identificación del prestador de servicios de certificación y de justificar que éste reúne los requisitos necesarios, en cada caso, para ejercer su actividad.  También será objeto de inscripción ulterior cualquier circunstancia relevante, a efectos de este Real Decreto-ley, relativa al prestador de servicios de certificación, como su acreditación o estar en condiciones de expedir certificados reconocidos.

La formulación de la solicitud de inscripción en el Registro por los citados prestadores de servicios, les permitirá iniciar o continuar su actividad, sin perjuicio de la aplicación, en su caso, del régimen sancionador correspondiente.

3. El Registro de Prestadores de Servicios de Certificación será público y deberá mantener permanentemente actualizada y a disposición de cualquier persona una relación de los inscritos, en la que figurarán su nombre o razón social, la dirección de su página en Internet o de correo electrónico, los datos de verificación de su firma electrónica y, en su caso, su condición de acreditado o de tener la posibilidad de expedir certificados reconocidos.  En la citada relación figurarán, también, cualesquiera otros datos complementarios que se determinen por Real Decreto.

Los datos inscritos en el Registro podrán ser consultados por vía telemática o a través de la oportuna certificación registral.  El suministro de esta información podrá sujetarse al pago de una tasa, cuyos elementos esenciales se determinarán por ley.

CAPÍTULO II .Certificados

Artículo 8- Requisitos para la existencia de un certificado reconocido.

1. Los certificados reconocidos, definidos en el artículo 2.j) de este Real Decreto-ley, tendrán el siguiente contenido:

a) La indicación de que se expiden como tales.

b) El código identificativo único del certificado.

c) La identificación del prestador de servicios de certificación que expide el certificado, indicando su nombre o razón social, su domicilio, su dirección de correo electrónico, su número de identificación fiscal y, en su caso, sus datos de identificación registral.

d) La firma electrónica avanzada del prestador de servicios de certificación que expide el certificado.

e) La identificación del signatario, por su nombre y apellidos o a través de un seudónimo que conste como tal de manera inequívoca.  Se podrá consignar en el certificado cualquier otra circunstancia personal del titular, en caso de que sea significativa en función del fin propio del certificado y siempre que aquél dé su consentimiento.

f) En los supuestos de representación, la indicación del documento que acredite las facultades del signatario para actuar en nombre de la persona física o jurídica a la que represente.

g) Los datos de verificación de firma que correspondan a los datos de creación de firma que se encuentren bajo el control del signatario

h) El comienzo y el fin del período de validez del certificado.

i) Los límites de uso del certificado, si se prevén.

j) Los límites del valor de las transacciones para las que puede utilizarse el certificado, si se establecen.

2. La consignación en el certificado de cualquier otra información relativa al signatario, requerirá su consentimiento expreso.

Artículo 9. Vigencia de los certificados.

1. Los certificados de firma electrónica quedarán sin efecto, si concurre alguna de las siguientes circunstancias:

a) Expiración del período de validez del certificado.  Tratándose de certificados reconocidos, éste no podrá ser superior a cuatro años, contados desde la fecha en que se hayan expedido.

b) Revocación por el signatario, por la persona física o jurídica representada por éste o por un tercero autorizado.

c) Pérdida o inutilización por daños del soporte del certificado.

d) Utilización indebida por un tercero.

e) Resolución judicial o administrativa que lo ordene-

f) Fallecimiento del signatario o de su representado, incapacidad sobrevenida, total o parcial, de cualquiera de ellos, terminación de la representación o extinción de la persona jurídica representada.

g) Cese en su actividad del prestador de servicios de certificación salvo que, previo consentimiento expreso del signatario, los certificados expedidos por aquél sean transferidos a otro prestador de servicios.

h) Inexactitudes graves en los datos aportados por el signatario para la obtención del certificado.

2. La pérdida de eficacia de los certificados, en los supuestos de expiración de su período de validez y de cese de actividad del prestador de servicios, tendrá lugar desde que estas circunstancias se produzcan.  En los demás casos, la extinción de la eficacia de un certificado surtirá efectos desde la fecha en que el prestador de servicios tenga conocimiento cierto de cualquiera de los hechos determinantes de ella y así lo haga constar en su Registro de certificados al que se refiere el artículo 11.e).

3. En cualquiera de los supuestos indicados, el prestador de servicios de certificación, habrá de publicar la extinción de eficacia del certificado en el Registro al que se refiere el artículo 11.e), y responderá de los posibles perjuicios que se causen al signatario o a terceros de buena fe, por el retraso en la publicación.  Corresponderá al prestador de servicios la prueba de que los terceros conocían las circunstancias invalidantes del certificado.

4. El prestador de servicios de certificación podrá suspender, temporalmente, la eficacia de los certificados expedidos, si así lo solicita el signatario o sus representados o lo ordena una autoridad judicial o administrativa.  La suspensión surtirá efectos en la forma prevista en los dos apartados anteriores.

Artículo 10. Equivalencia de certificados.

Los certificados que los prestadores de servicios de certificación establecidos en un Estado que no sea miembro de la Unión Europea, de acuerdo con la legislación de éste, expidan como reconocidos, se considerarán equivalentes a los expedidos por los establecidos en España. siempre que se cumplan alguna de las siguientes condiciones:

a) Que el prestador de servicios reúna los requisitos establecidos en la normativa comunitaria sobre firma electrónica y haya sido acreditado, conforme a un sistema voluntario establecido en un Estado miembro de la Unión Europea.

b) Que el certificado esté garantizado por un prestador de servicios de la Unión Europea que cumpla los requisitos establecidos en la normativa comunitaria sobre firma electrónica.

c) Que el certificado o el prestador de servicios estén reconocidos en virtud de un acuerdo bilateral o multilateral entre la Comunidad Europea y terceros países u organizaciones internacionales.

CAPÍTULO III. Condiciones exigibles a los prestadores de servicios de certificación

Artículo 11. Obligaciones de los prestadores de servicios de certificación.

Todos los prestadores de servicios de certificación deben cumplir las siguientes obligaciones:

a) Comprobar por sí o por medio de una persona física o jurídica que actúe en nombre y por cuenta suyos, la identidad y cualesquiera circunstancias personales de los solicitantes de los certificados relevantes para el fin propio de éstos, utilizando cualquiera de los medios admitidos en derecho.  Se exceptúan de esta obligación, los prestadores de servicios de certificación que, expidiendo certificados que no tengan la consideración de reconocidos, se limiten a constatar determinadas circunstancias específicas de los solicitantes de aquellos.

b) Poner a disposición del signatario los dispositivos de creación y de verificación de firma electrónica.

c) No almacenar ni copiar los datos de creación de firma de la persona a la que hayan prestado sus servicios, salvo que ésta lo solicite.

d) Informar, antes de la emisión de un certificado, a la persona que solicite sus servicios, de su precio, de las condiciones precisas para la utilización del certificado, de sus limitaciones de uso y de la forma en que garantiza su posible responsabilidad patrimonial.

e) Mantener un registro de certificados, en el que quedará constancia de los emitidos y figurarán las circunstancias que afecten a la suspensión o perdida de vigencia de sus efectos.  A dicho registro podrá accederse por medios telemáticos y su contenido estará a disposición de las personas que lo soliciten, cuando así lo autorice el signatario.

f) En el caso de cesar en su actividad, los prestadores de servicios de certificación deberán comunicarlo con la antelación indicada en el apartado 1 del artículo 13, a los titulares de los certificados por ellos emitidos y, si estuvieran inscritos en él, al Registro de Prestadores de Servicios del Ministerio de Justicia.

g) Solicitar la inscripción en el Registro de Prestadores de Servicios de Certificación.

h) Cumplir las demás normas previstas, respecto de ellos, en este Real Decreto-ley y en sus normas de desarrollo.

Artículo 12.  Obligaciones exigibles a los prestadores de servicios de certificación que expidan certificados reconocidos.

Además de cumplir las obligaciones establecidas en los artículos 7 y 11, los prestadores de servicios de certificación que expidan certificados reconocidos, han de cumplir las siguientes:

a) Indicar la fecha y la hora en las que se expidió o se dejó sin efecto un certificado.

b) Demostrar la fiabilidad necesaria de sus servicios.

c) Garantizar la rapidez y la seguridad en la prestación del servicio.  En concreto, deberán permitir la utilización de un servicio rápido y seguro de consulta del Registro de certificados emitidos y habrán de asegurar la extinción o suspensión de la eficacia de éstos de forma segura e inmediata.

d) Emplear personal cualificado y con la experiencia necesaria para la prestación de los servicios ofrecidos, en el ámbito de la firma electrónica y los procedimientos de seguridad y de gestión adecuados.

e) Utilizar sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen la seguridad técnica y, en su caso, criptográfica de los procesos de certificación a los que sirven de soporte.

f) Tomar medidas contra la falsificación de certificados y, en el caso de que el prestador de servicios de certificación genere datos de creación de firma, garantizar su confidencialidad durante el proceso de generación.

g) Disponer de los recursos económicos suficientes para operar de conformidad con lo dispuesto en este Real Decreto-ley y, en particular, para afrontar el riesgo de la responsabilidad por daños y perjuicios.  Para ello, habrán de garantizar su responsabilidad frente a los usuarios de sus servicios y terceros afectados por éstos.  La garantía a constituir podrá consistir en un afianzamiento mercantil prestado por una entidad de crédito o en un seguro de caución.

Inicialmente, la garantía cubrirá, al menos, el 4 por 100 de la suma de los importes límite de las transacciones en que puedan emplearse el conjunto de los certificados que emita cada prestador de servicios de certificación.  Teniendo en cuenta la evolución del mercado, el Gobierno, por Real Decreto, podrá reducir el citado porcentaje, hasta el 2 por 100.

En caso de que no se limite el importe de las transacciones en las que puedan emplearse al conjunto de los certificados que emita el prestador de servicios de certificación, la garantía a constituir, cubrirá, al menos, su responsabilidad por un importe de 1.000.000.000 de pesetas (6.010.121,04 euros).  El Gobierno, por Real Decreto, podrá modificar el referido importe.

h) Conservar registrada toda la información y documentación relativa a un certificado reconocido durante quince años.  Esta actividad de registro podrá realizarse por medios electrónicos.

i) Antes de expedir un certificado, informar al solicitante sobre el precio y las condiciones precisas de utilización del certificado.  Dicha información, deberá incluir posibles límites de uso, la acreditación del prestador de servicios y los procedimientos de reclamación y de resolución de litigios previstos en las leyes y deberá ser fácilmente comprensible.  Estará también a disposición de terceros interesados y se incorporará a un documento que se entregará a quien lo solicite.  Para comunicar esta información podrán utilizarse medios electrónicos si el signatario o los terceros interesados lo admiten.

j) Utilizar sistemas fiables para almacenar certificados, de modo tal que:

1). Sólo personas autorizadas puedan consultarlos, si éstos únicamente están disponibles para verificación de firmas electrónicas.

2). Únicamente personas autorizadas puedan hacer en ellos anotaciones y modificaciones.

3). Pueda comprobarse la autenticidad de la información.

4). El signatario o la persona autorizada para acceder a los certificados, pueda detectar todos los, cambios técnicos que afecten a los requisitos de seguridad mencionados,

k) Informar a cualesquiera usuarios de sus servicios de los criterios que se comprometen a seguir, respetando este Real Decreto-ley y sus disposiciones de desarrollo, en el ejercicio de su actividad.

Artículo 13.  Cese de la actividad.

1. El prestador de servicios de certificación que vaya a cesar en su actividad, deberá comunicarlo a los titulares de los certificados por él expedidos y transferir, con su consentimiento expreso, los que sigan siendo válidos en la fecha en que el cese se produzca a otro prestador de servicios que los asuma o dejarlos sin efecto.  La citada comunicación se llevará a cabo con una antelación mínima de dos meses al cese efectivo de la actividad.

2. Si el prestador de servicios estuviera inscrito en el Registro de Prestadores de Servicios de Certificación del Ministerio de Justicia, deberá comunicar a éste, con la antelación indicada en el anterior apartado, el cese de su actividad, y el destino que vaya a dar a los certificados especificando, en su caso, si los va a transferir y a quién o si los dejará sin efecto.  Igualmente, indicará cualquier otra circunstancia relevante, que pueda impedir la continuación de su actividad.  En especial, deberá comunicar, en cuanto tenga conocimiento de ello, la apertura de un procedimiento de quiebra o suspensión de pagos respecto de él.

3. La inscripción del prestados de servicios de certificación en el Registro de Prestadores de Servicios de Certificación será cancelada, de oficio, por el Ministerio de Justicia, cuando aquél cese en su actividad.  El Ministerio de Justicia se hará cargo de la información relativa a los certificados que se hubieren dejado sin efecto por el prestador de servicios de certificación, a efectos de lo previsto en el artículo 12.h).

Artículo 14. Responsabilidad de los prestadores de servicios de certificación.

1). Los prestadores de servicios de certificación responderán por los daños y perjuicios que causen a cualquier persona, en el ejercicio de su actividad, cuando incumplan las obligaciones que les impone este Real Decreto-ley o actúen con negligencia.  En todo caso, corresponderá al prestador de servicios demostrar que actuó con la debida diligencia.

2). El prestador de servicios de certificación sólo responderá de los daños y perjuicios causados por el uso indebido del certificado reconocido, cuando no haya consignado en él, de forma claramente reconocible por terceros, el límite en cuanto a su posible uso o al importe del valor de las transacciones válidas que pueden realizarse empleándolo.

3). La responsabilidad será exigible conforme a las normas generales sobre la culpa contractual o extracontractual, según proceda, con las especialidades previstas en este artículo.  Cuando la garantía que, en su caso, hubieran constituido los prestadores de servicios de certificación no sea suficiente para satisfacer la indemnización debida, responderán de la deuda, con todos sus bienes presentes y futuros.

4. Lo dispuesto en este artículo, se entiende sin perjuicio de lo establecido en la legislación sobre protección de los consumidores y usuarios.

Artículo 15. Protección de los datos personales.

1. El tratamiento de los datos personales que precisen los prestadores de servicios de certificación para el desarrollo de su actividad y el que se realice en el Registro de Prestadores de Servicios de Certificación al que se refiere este Real Decreta-ley, se sujetan a lo dispuesto en la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, y en las disposiciones dictadas en su desarrollo.  El mismo régimen será de aplicación a los datos personales que se conozcan en el órgano que, en el ejercicio de sus funciones, supervisa la actuación de los prestadores de servicios de certificación y el competente en materia de acreditación.

2. Los prestadores de servicios de certificación que expidan certificados a los usuarios, únicamente pueden recabar datos personales directamente de los titulares de los mismos o con su consentimiento explícito.  Los datos requeridos serán, exclusivamente, los necesarios para la expedición y el mantenimiento del certificado.

3. Los prestadores de  servicios de certificación que hayan consignado un seudónimo en el certificado, a solicitud del signatario, deberán constatar su verdadera identidad y conservar la documentación que la acredite.  Dichos prestadores de servicios estarán obligados a revelar la identidad le los titulares de certificados cuando lo soliciten los órganos judiciales en el ejercicio de las funciones que tienen atribuidas y en los demás supuestos previstos en el artículo 11.2 de la Ley Orgánica 5/1992, de 29 de octubre.  Ello se entiende sin perjuicio de lo que, en la legislación específica en materia tributaria, de defensa de la competencia y de seguridad pública, se disponga sobre la identificación de las personas.

En todo caso, se estará a lo previsto en las normas sobre protección de datos indicadas en el apartado 1 de este artículo.

CAPÍTULO IV . Inspección y control de la actividad de los prestadores de servicios de certificación

Artículo 16.  Supervisión y control.

1. El Ministerio de Fomento controlará, a través de la Secretaría General de Comunicaciones, el cumplimiento, por los prestadores de servicios de certificación que expidan al público certificados reconocidos, de las obligaciones establecidas en este Real Decreto-ley y en sus disposiciones de desarrollo.  Asimismo, vigilará el cumplimiento, por los prestadores de servicios de certificación que no expidan certificados reconocidos, de las obligaciones establecidas en el artículo 11.

2. En el ejercicio de su actividad de control, la Secretaría General de Comunicaciones actuará de oficio, mediante petición razonada del Ministerio de Justicia o de otros órganos administrativos o a instancia de persona interesada.  Los funcionarios de la Secretaría General de Comunicaciones adscritos a la Inspección de las Telecomunicaciones, a efectos de cumplir las tareas de control, tendrán la consideración de autoridad pública.

3. Cuando, como consecuencia de una actuación inspectora, se tuviera constancia de la contravención en el tratamiento de datos, de lo dispuesto en el artículo 11.c), la Secretaría General de Comunicaciones pondrá el hecho en conocimiento de la Agencia de Protección de Datos. Esta podrá, con arreglo a la Ley Orgánica 5/1992, iniciar el oportuno procedimiento sancionador, con arreglo a la legislación que regula su actividad.

Artículo 17.  Deber de colaboración.

Los prestadores de servicios de certificación tienen la obligación de facilitar a la Secretaría General de Comunicaciones toda la información y los medios precisos para el ejercicio de sus funciones y la de permitir a sus agentes o al personal inspector el acceso a sus instalaciones y la consulta de cualquier documentación relevante para la inspección de que se trate, referida siempre a datos que conciernan al prestador de servicios.

Artículo 18.  Resoluciones del órgano de supervisión.

La Secretaría General de Comunicaciones podrá ordenar a los prestadores de servicios de certificación la adopción de las medidas apropiadas para exigirles que cumplan este Real Decreto-ley y sus disposiciones de desarrollo.

TÍTULO III. Los dispositivos de firma electrónica y la evaluación de su conformidad con la normativa aplicable

CAPÍTULO ÚNICO. Los dispositivos de firma electrónica y la evaluación de su conformidad con la normativa aplicable

Artículo 19.  Dispositivos seguros de creación de firma electrónica.

A efectos del artículo 2.f), para que se entienda que el dispositivo de creación de una firma electrónica es seguro, se exige:

1.º. Que garantice que los datos utilizados para la generación de firma puedan producirse sólo una vez y que asegure, razonablemente, su secreto.

2.º. Que exista seguridad razonable de que dichos datos no puedan ser derivados de los de verificación de firma o de la propia firma y de que la firma no pueda ser falsificada con la tecnología existente en cada momento.

3.º. Que los datos de creación de firma puedan ser protegidos fiablemente por el signatario contra la utilización por otros.

4.º. Que el dispositivo utilizado no altere los datos o el documento que deba firmarse ni impida que éste se muestre al signatario antes del proceso de firma.

Artículo 20.  Normas técnicas.

1. Se presumirá que los productos de firma electrónica que se ajusten a las normas técnicas cuyos números de referencia hayan sido publicados en el “Diario Oficial de las Comunidades Europeas” son conformes con lo previsto en la letra e) del artículo 12 y en el artículo 19.

2. Sin perjuicio de esta presunción, los números de referencia de esas normas se publicarán en el “Boletín Oficial del Estado”.

Artículo 2l.  Evaluación de la conformidad con la normativa aplicable de los dispositivos seguros de creación de firma electrónica.

1. Los órganos de certificación a los que se refiere el artículo 6 podrán certificar los dispositivos seguros de creación de firma electrónica, previa valoración de los informes técnicos emitidos sobre los mismos, por entidades de evaluación acreditadas.

En la evaluación del cumplimiento de los requisitos previstos en el artículo 19, las entidades de evaluación podrán aplicar las normas técnicas respecto de los productos de firma electrónica a las que se refiere el articulo anterior u otras que determinen los órganos de acreditación y de certificación, y cuyas referencias se publiquen en el “Boletín Oficial del Estado”.

2. Se reconocerá eficacia a los certificados sobre dispositivos seguros de creación de firma que hayan sido expedidos por los organismos designados para ello por los Estados miembros de la Unión Europea, cuando pongan de manifiesto que dichos dispositivos cumplen los requisitos contenidos en la normativa comunitaria sobre firma electrónica.

Artículo 22.  Dispositivos de verificación de firma.

1. Los dispositivos de verificación de firma electrónica avanzada deben garantizar lo siguiente:

a) Que la firma se verifica de forma fiable y el resultado de esa verificación figura correctamente.

b) Que el verificador puede, en caso necesario, establecer de forma fiable el contenido de los datos firmados y detectar si han sido modificados.

c) Que figura correctamente la identidad del signatario o, en su caso, consta claramente la utilización de un seudónimo,

d) Que se verifica de forma fiable el certificado.

e) Que puede detectarse cualquier cambio relativo su seguridad.

2. El Real Decreto al que se refiere el artículo 6 podrá establecer los términos en los que las entidades de evaluación y los órganos de certificación podrán evaluar y certificar, respectivamente, el cumplimiento, por los dispositivos de verificación de firma electrónica avanzada, de los requisitos establecidos en este artículo.

TÍTULO IV. Tasa por el reconocimiento de acreditaciones y certificaciones

CAPÍTULO ÚNICO. Tasa por el reconocimiento de acreditaciones y certificaciones

Artículo 23.  Régimen aplicable a la tasa.

1. La gestión precisa para el reconocimiento de las acreditaciones y de las certificaciones con arreglo a los artículos 6, 21 y 22, por los órganos públicos competentes, se grava con una tasa, a la que se aplicará el siguiente régimen:

a) Constituye el hecho imponible el reconocimiento dichos órganos de la acreditación de los prestadores de servicios o de la certificación de los dispositivos de creación o de verificación de firma a que se refieren los artículos 6, 21 y 22.

b) Es sujeto pasivo la persona natural o jurídica que se beneficie del reconocimiento de la correspondiente acreditación o certificación.

c) Su cuota es de 47.500 pesetas (285,48 euros) por cada acreditación o certificación reconocida.  Esta cantidad podrá ser actualizada por Real Decreto.

d) Se devengará cuando se presente la solicitud de reconocimiento de la correspondiente acreditación o certificación.

2. La forma de liquidación de la tasa se establecerá reglamentariamente.

TÍTULO V. Infracciones y sanciones

CAPÍTULO ÚNICO. Infracciones y sanciones

Artículo 24.  Clasificación de las infracciones.

Las infracciones de las normas reguladores de la firma electrónica y los servicios de certificación se clasifican en muy graves, graves y leves.

Artículo 25.  Infracciones.

1. Son infracciones muy graves:

a) El incumplimiento por los prestadores de servicios de certificación que expidan certificados reconocidos de las obligaciones establecidas en cualquiera de las letras del artículo 11, salvo la c), la g) y la h).

b) El incumplimiento por los prestadores de servicios de certificación que expidan certificados reconocidos de las obligaciones impuestas en las letras c) a la j) del articulo 12, siempre que se causen daños graves a los usuarios o a terceros o se afecte gravemente a la seguridad de los servicios de certificación.

c) El incumplimiento grave y reiterado por los prestadores de servicios de certificación de las resoluciones dictadas por la Secretaría General de Comunicaciones, para asegurar el respeto a este Real Decreto-ley.

2. Son infracciones graves:

a) El incumplimiento por los prestadores de servicios de certificación que no expidan certificados reconocidos, de las obligaciones impuestas en cualquiera de las letras del artículo 11, salvo la c), la g) y la h), siempre que se causen daños graves a los usuarios o a terceros o se afecte gravemente a la seguridad de los servicios de certificación.

b) El incumplimiento por los prestadores de servicios de certificación que expidan certificados reconocidos de las obligaciones previstas en las letras a), b) y k) del artículo 12.

c) El incumplimiento por los prestadores de servicios de certificación que expidan certificados reconocidos de las obligaciones contempladas en las letras c) a la j) del artículo 12, cuando no concurran las circunstancias previstas en el apartado 1.b) de este artículo.

d) La falta de comunicación por el prestados de servicios de certificación al Ministerio de Justicia, en los plazos previstos en el artículo 13, del cese de su actividad o de la iniciación, respecto de él, de un procedimiento de suspensión de pagos o de quiebra.

e) La resistencia, excusa o negativa a la actuación inspectora de los órganos facultados para llevarlo a cabo, con arreglo a este Real Decreto-ley.

f) El incumplimiento de las resoluciones dictadas por la Secretaría General de Comunicaciones para asegurar que el prestador de servicios de certificación se ajuste a este Real Decreto-ley, cuando no deba considerarse como infracción muy grave, conforme al apartado 1.c) de este artículo.

3. Son infracciones leves:

a) El incumplimiento por los prestadores de servicios de certificación que no expidan certificados reconocidos de las obligaciones establecidas en cualquiera de las letras del artículo 11, excepto la c), cuando no deba considerarse como infracción grave, de acuerdo con lo previsto en el apartado 2.a) de este artículo.

b) La expedición de certificados reconocidos que incumplan alguno de los requisitos establecidos en el artículo 8.

c) No facilitar los datos requeridos, en el ámbito de sus respectivas funciones, por el Ministerio de Justicia o la Secretaría General de Comunicaciones, para comprobar el cumplimiento de este Real Decreto-ley por los prestadores de servicios de certificación.

d) Cualquier otro incumplimiento de las obligaciones impuestas a los prestadores de servicios de certificación por este Real Decreto-ley, salvo el de la recogida en el artículo 11.c) o que deba ser considerado como infracción grave o muy grave, de acuerdo con lo dispuesto en los apartados anteriores.

Artículo 26.  Sanciones.

1. Por la comisión de infracciones recogidas en el artículo anterior, se impondrán las siguientes sanciones:

a) Por la comisión de infracciones muy graves, se impondrá al infractor multa por importe no inferior al tanto, ni superior al quíntuplo, del beneficio bruto obtenido como consecuencia de los actos u omisiones en que consista la infracción o, en caso de que no resulte posible aplicar este criterio o de su aplicación resultara una cantidad inferior a la mayor de las que a continuación se indican, esta última constituirá el límite del importe de la sanción pecuniaria.  A estos efectos, se considerarán las siguientes cantidades: El 1 por 100 de los ingresos brutos anuales obtenidos por la entidad infractora en el último ejercicio o. en caso de inexistencia de éstos, en el ejercicio actual; el 5 por 100 de los fondos totales, propios o ajenos, utilizados para la comisión de la infracción o 100.000.000 de pesetas (601.012, 10 euros).

La reiteración de dos o más infracciones muy graves, en el plazo de cinco años, podrá dar lugar, en función de sus circunstancias, a la sanción de prohibición de actuación en España durante un plazo máximo de dos años.  Cuando la resolución de imposición de esta sanción sea firme, será comunicada al Registro de Prestadores de Servicios de Certificación para que cancele la inscripción del prestador de servicios sancionado.

b) Por la comisión de infracciones graves, se impondrá al infractor multa por importe de hasta el duplo del beneficio bruto obtenido como consecuencia de los actos u omisiones que constituyan aquéllas o, en caso de que no resulte aplicable este criterio o de su aplicación resultara una cantidad inferior a la mayor de las que a continuación se indican, esta última constituirá el límite del importe de la sanción pecuniaria.  A estos efectos, se considerarán las siguientes cantidades: El 0,5 por 100 de los ingresos brutos anuales obtenidos por la entidad infractora en el último ejercicio a, en caso de inexistencia de éstos, en el ejercicio actual; el 2 por 100 de los fondos totales, propios o ajenos, utilizados para la comisión de la infracción o 50.000.000 de pesetas (300.506,04 euros).

c) Por la comisión de infracciones leves, se impondrá al infractor una multa por importe de hasta 2.000.000 de pesetas (12.020,23 euros).

2. Las infracciones graves y muy graves podrán llevar aparejada la publicación de la resolución sancionadora en el “Boletín Oficial del Estado” y en dos periódicos de difusión nacional, una vez que aquélla tenga carácter firme.

3. La cuantía de las multas que se impongan, dentro de los límites indicados, se graduará teniendo en cuenta, además de lo previsto en el artículo 131.3 de la Ley 30/1992. lo siguiente:

a) La gravedad de las infracciones cometidas anteriormente por el sujeto al que se sanciona.

b) La repercusión social de las infracciones.

c) El daño causado, siempre que no haya sido tomado en consideración para calificar la infracción como leve, grave o muy grave.

d) El beneficio que haya reportado al infractor el hecho objeto de la infracción.

4. Se anotarán en el Registro de Prestadores de Servicios de Certificación las sanciones impuestas por resolución firme a éstos por la comisión de cualquier infracción grave o muy grave.  Las notas relativas a las sanciones se cancelarán una vez transcurridos los plazos de prescripción de las sanciones administrativas previstos en la Ley reguladora del procedimiento administrativo común.

5. Las cuantías señaladas en este artículo serán actualizadas periódicamente por el Gobierno, mediante Real Decreto, teniendo en cuenta la variación de los índices de precios al consumo.

Artículo 27.  Medidas cautelares.

En los procedimientos sancionadores por infracciones graves o muy graves se podrán adoptar, con arreglo a la Ley 30/1992, de 26 de noviembre, las medidas cautelares que se estimen necesarias para asegurar la eficacia de la resolución que definitivamente se dicte.  Estas medidas podrán consistir en la orden de cese temporal de la actividad del prestador de servicios de certificación, en la suspensión de la vigencia de los certificados por él expedidos o en la adopción de otras cautelas que se estimen precisas.  En todo caso, se respetará el principio de proporcionalidad de la medida a adoptar con los objetivos que se pretendan alcanzar en cada supuesto.

Artículo 28.  Procedimiento sancionador.

1. El ejercicio de la potestad sancionadora atribuida por este Real Decreto-ley corresponde a la Secretaría General de Comunicaciones del Ministerio de Fomento.  Para ello, la Secretaría General de Comunicaciones se sujetará al procedimiento aplicable, con carácter general, al ejercicio de la potestad sancionadora por las Administraciones públicas.

2. El Ministerio de Justicia y los demás órganos que ejercen competencias con arreglo a este Real Decreto-ley y sus normas de desarrollo podrán instar la incoación de un procedimiento sancionador, mediante petición razonada dirigida a la Secretaría General de Comunicaciones

Disposición adicional única.  Posibilidad de emisión por las entidades públicas de radiodifusión de una Comunidad Autónoma en el territorio de otras con las que aquélla tenga espacios radioeléctricos colindantes.

Las entidades autonómicas habilitadas, con arreglo a la Ley, para prestar el servicio de radiodifusión digital terrenal, podrán emitir en el territorio de otras Comunidades Autónomas con las que aquélla tenga espacios radioeléctricos colindantes.  Para ello, será preciso que exista acuerdo entre las Comunidades Autónomas afectadas y que, en cada territorio, se empleen los bloques de frecuencias planificados en el Plan Técnico Nacional de Radiodifusión Sonora Digital Terrenal, para el ámbito autonómico.

Disposición transitoria única.  Prestadores de servicios de certificación establecidos en España antes de la entrada en vigor de este Real Decreto-ley.

Los prestadores de servicios de certificación ya establecidos en España y cuya actividad se rija por una normativa específica habrán de adaptarse a este Real Decreto-ley en el plazo de un año desde su entrada en vigor.  No obstante conservarán su validez los certificados ya expedidos que hayan surtido efectos.

Disposición final primera.  Fundamento constitucional.

Este Real Decreto-ley se dicta al amparo del artículo 149.1.8ª, 18ª y 21ª de la Constitución, que atribuye competencia exclusiva al Estado en materia de legislación civil, de bases del régimen jurídico de las Administraciones Públicas y de telecomunicaciones.

Disposición final segunda.  Habilitación al Gobierno.

Se habilita al Gobierno para desarrollar, mediante Reglamento, lo previsto en este Real Decreto.

Disposición final tercera.  Entrada en vigor.

El presente Real Decreto-ley entrará en vigor el día siguiente al de su publicación en el “Boletín Oficial del Estado”.

Dado en Madrid a 17 de septiembre de 1999.

JUAN CARLOS R.

El Presidente del Gobierno. JOSÉ MARÍA AZNAR LÓPEZ.

El Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica, permite a los españoles mayores de edad y que gocen de plena capacidad de obrar acreditar electrónicamente la identidad y demás datos personales del titular que en él consten, así como la identidad del firmante y la integridad de los documentos firmados con los dispositivos de firma electrónica, en los términos previstos en la Ley 59/2003, de 19 de diciembre, de firma electrónica.

En consecuencia, se reúnen en el documento nacional de identidad electrónico los dos instrumentos que le van a permitir llevar a cabo, de forma conjunta, las nuevas utilidades de que va revestido, cuales son la identificación y la firma electrónica de su titular.

Recientemente, distintos órganos de la Administración General del Estado, en aras de conseguir una mayor protección de la infancia en el uso de Internet, han mostrado su interés para que todos los ciudadanos, cualquiera que sea su edad, puedan acreditar su identidad por medios telemáticos, considerando que el documento nacional de identidad electrónico podría ser el mejor medio a estos fines.

Dado que, técnicamente es posible la disociación de los certificados contenidos en el documento nacional de identidad electrónico, parece aconsejable llevar a cabo una modificación del real decreto regulador del documento nacional de identidad, a fin de permitir que todos los ciudadanos españoles puedan acreditar su identidad por medios electrónicos, al tiempo que se reserva la capacidad de realizar la firma electrónica de documentos a las personas con capacidad legal para ello.

En otro orden de cosas, se considera también conveniente introducir cambios en determinados artículos del real decreto a fin de: facilitar que los ciudadanos puedan presentar el volante o el certificado de empadronamiento para la acreditación del domicilio en los supuestos de las primeras expediciones del documento nacional de identidad; adaptar su normativa reguladora a la normativa internacional que pueda afectarle; rebajar la validez de este documento cuando el solicitante sea menor de cinco años, tramo de edad en el que la fisonomía de su titular cambia muy rápidamente; y permitir clarificar determinados aspectos de la normativa que, actualmente, pueden suscitar dudas sobre el sentido de la misma.

En su virtud, a propuesta del Ministro del Interior, con la aprobación previa del Ministro de Hacienda y Administraciones Públicas, de acuerdo con el Consejo de Estado y previa deliberación del Consejo de Ministros en su reunión del día 8 de noviembre de 2013, dispongo:

Artículo único. Modificación del Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica.

El Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica, queda modificado como sigue:

Uno.- Se añade un segundo párrafo al apartado 4 del artículo 1 con la siguiente redacción:

“En el caso de los españoles menores de edad, o que no gocen de plena capacidad de obrar, el documento nacional de identidad contendrá, únicamente, la utilidad de la identificación electrónica, emitiéndose con el respectivo certificado de autenticación activado.”

Dos.- Se modifican la letra c) del apartado 1 y el apartado 3 del artículo 5, que quedan redactados en los siguientes términos:

“1.c) Certificado o volante de empadronamiento del Ayuntamiento donde el solicitante tenga su domicilio, expedido con una antelación máxima de tres meses a la fecha de la solicitud del documento nacional de identidad.”

“3. En el momento de la solicitud, al interesado se le recogerán las impresiones dactilares de los dedos índices de ambas manos. Si no fuere posible obtener la impresión dactilar de alguno de los dedos o de ambos, se sustituirá, en relación con la mano que corresponda, por otro dedo según el siguiente orden de prelación: medio, anular o pulgar; consignándose, en el lugar del soporte destinado a tal fin, el dedo utilizado, o la imposibilidad de obtener alguno de ellos.”

Tres.- Se modifican el apartado 1 y la letra b) del apartado 2 del artículo 6, que quedan redactados en los siguientes términos:

“1. Con carácter general el documento nacional de identidad tendrá un período de validez, a contar desde la fecha de la expedición o de cada una de sus renovaciones, de:

a) Dos años cuando el solicitante no haya cumplido los cinco años de edad.

b) Cinco años, cuando el titular haya cumplido los cinco años de edad y no haya alcanzado los treinta al momento de la expedición o renovación.

c) Diez años, cuando el titular haya cumplido los treinta y no haya alcanzado los setenta.

d) Permanente cuando el titular haya cumplido los setenta años.”

“2.b) Por un año en los supuestos del apartado segundo del artículo 5 y del mismo apartado del artículo 7 siempre que, en éste último caso, no se puedan aportar los documentos justificativos que acrediten la variación de los datos.”

Cuatro.- Se modifican los apartados 1 y 2 del artículo 9, que quedan redactados en los siguientes términos:

“1. La entrega del documento nacional de identidad deberá realizarse personalmente a su titular, y cuando éste sea menor de 14 años o sea una persona con capacidad judicialmente complementada, se llevará a cabo en presencia de quien tenga encomendada la patria potestad o tutela, o persona apoderada por estas últimas. En el momento de la entrega del documento nacional de identidad se proporcionará la información a que se refiere el artículo 18.b) de la Ley 59/2003, de 19 de diciembre.

2. La activación del certificado de firma electrónica en el documento nacional de identidad tendrá carácter voluntario y su utilización se realizará mediante una clave personal y secreta que el titular del documento nacional de identidad podrá introducir reservadamente en el sistema.”

DISPOSICIÓN FINAL

Disposición final única. entrada en vigor.-El presente real decreto entrará en vigor el día siguiente al de su publicación en el “Boletín Oficial del Estado”. 

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado constitutivo de la Comunidad Europea, y en particular su artículo 62, punto 2, letra a), su artículo 63, punto 3, letra b) y su artículo 66,

Vista la propuesta de la Comisión,

De conformidad con el procedimiento establecido en el artículo 251 del Tratado,

Considerando lo siguiente:

(1) El Sistema de Información de Schengen (“SIS”), creado de conformidad con las disposiciones del título IV del Convenio de 19 de junio de 1990 de aplicación del Acuerdo de Schengen, de 14 de junio de 1985, entre los Gobiernos de los Estados de la Unión Económica Benelux, de la Republica Federal de Alemania y de la República Francesa, relativo a la supresión gradual de los controles en las fronteras comunes (el Convenio de Schengen), y su desarrollo SIS 1+, constituye un instrumento esencial para la aplicación de las disposiciones del acervo de Schengen integradas en el marco de la Unión Europea.

(2) El desarrollo del SIS de segunda generación (“SIS II”) ha sido confiado a la Comisión en virtud del Reglamento (CE) n.º 2424/2001 del Consejo y de la Decisión 2001/886/JAI del Consejo, de 6 de diciembre de 2001, sobre el desarrollo del Sistema de Información de Schengen de segunda generación (SIS II). El SIS II sustituirá al SIS, tal como fue creado en virtud del Convenio de Schengen.

(3) El presente Reglamento constituye la base legislativa necesaria para regular el SIS II en las materias que entran en el ámbito de aplicación del Tratado constitutivo de la Comunidad Europea (el “Tratado”) CE. La Decisión 2006/…/JAI del Consejo, de … relativa al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen de segunda generación (SIS II), constituye la base legislativa necesaria para regular el SIS II en las materias que entran en el ámbito del Tratado de la Unión Europea.

(4) El hecho de que la base legislativa necesaria para la regulación del SIS II consista en dos instrumentos separados no afecta al principio de que el SIS II constituye un único sistema de información que debe funcionar como tal. En consecuencia, algunas disposiciones de dichos instrumentos deben ser idénticas.

(5) El SIS II debe ser una medida compensatoria que contribuya al mantenimiento de un alto nivel de seguridad, en el espacio de libertad, seguridad y justicia de la Unión Europea, mediante el apoyo a la aplicación de las políticas relacionadas con la circulación de personas que forman parte del acervo de Schengen, tal como consta en el Título IV de la Tercera parte del Tratado.

(6) Es necesario especificar los objetivos del SIS II, su arquitectura técnica y su financiación para establecer las normas relativas a su funcionamiento, y utilización y para definir las responsabilidades, las categorías de datos que se introducirán en el sistema, los fines para los que se introducirán, los criterios de introducción, las autoridades autorizadas para acceder a los datos, la interconexión entre las descripciones, y otras normas sobre tratamiento de datos y protección de datos personales.

(7) El SIS II debe incluir un sistema central (SIS II Central) y aplicaciones nacionales. El gasto derivado del funcionamiento del SIS II Central y de la infraestructura de comunicación debe correr a cargo del presupuesto general de la Unión Europea.

(8) Es necesario elaborar un manual que establezca normas detalladas sobre el intercambio de información complementaria en relación con la acción requerida por las descripciones. Las autoridades nacionales de cada Estado miembro deberán garantizar el intercambio de esta información.

(9) Durante un período transitorio, la Comisión debe ser responsable de la gestión operativa del SIS II Central y de parte de la infraestructura de comunicación. No obstante, para garantizar una transición fluida al SIS II, podrá delegar alguna o todas sus responsabilidades en dos organismos nacionales del sector público. A largo plazo, y tras una evaluación de impacto que contenga un análisis material de las alternativas desde el punto de vista financiero, operativo y organizativo, así como propuestas legislativas de la Comisión, debe crearse una Autoridad de Gestión con responsabilidades para estos cometidos. El período transitorio debe durar un máximo de cinco años a partir de la fecha en que el presente Reglamento sea aplicable.

(10) El SIS II debe contener descripciones a efectos de denegación de entrada o de estancia. Es necesario seguir considerando la oportunidad de armonizar las disposiciones sobre los motivos de inscripción de nacionales de terceros países con el fin de denegarles la entrada o la estancia, y de aclarar la utilización de las descripciones en el marco de las políticas de asilo, inmigración y retorno. Por lo tanto, la Comisión debe evaluar, tres años después de que el presente Reglamento sea aplicable, las disposiciones sobre los objetivos y las condiciones para la introducción de descripciones a efectos de denegación de entrada o estancia.

(11) Las descripciones a efectos de denegación de entrada o de estancia no podrán mantenerse en el SIS II por más tiempo del necesario para cumplir el propósito para el que se facilitaron. Por regla general, las descripciones se borraran automáticamente del SIS II transcurrido un período de tres años. La decisión de mantener una descripción debe basarse en una evaluación global del caso concreto. Los Estados miembros deben revisar las descripciones durante este período de tres años y llevar estadísticas del número de descripciones cuyo período de conservación se haya prorrogado.

(12) El SIS II debe permitir tratar datos biométricos para ayudar a la identificación fiable de las personas en cuestión. En esta misma perspectiva, el SIS II también debe permitir el tratamiento de datos sobre personas cuya identidad haya sido usurpada, a fin de evitar las dificultades causadas por la identificación incorrecta, respetando las garantías adecuadas, en particular el consentimiento de la persona en cuestión y una limitación estricta de los fines legales para los que dichos datos podrán ser objeto de tratamiento.

(13) Debe existir la posibilidad de que los Estados miembros establezcan conexiones entre las descripciones en el SIS II. La creación por un Estado miembro de conexiones entre dos o más descripciones no debe afectar a la acción que deberá emprenderse, al período de conservación ni a los derechos de acceso a las descripciones.

(14) Los datos tratados en el SIS II en aplicación del presente Reglamento no deben transmitirse ni ponerse a disposición de terceros países ni de organizaciones internacionales.

(15) La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, se aplica al tratamiento de datos personales realizado en aplicación del presente Reglamento. Esto incluye la designación del responsable del tratamiento y la posibilidad de que los Estados miembros establezcan excepciones y limitaciones respecto de determinados derechos y obligaciones previstos en dicha Directiva, incluidos los derechos de acceso e información de la persona en cuestión. Los principios establecidos en la Directiva 95/46/CE se completaran o aclararan, en su caso, en el presente Reglamento.

(16) El Reglamento (CE) n.° 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos, y en particular las disposiciones relativas a la confidencialidad y a la seguridad del tratamiento, se aplica al tratamiento de datos personales por los organismos o instituciones comunitarios al llevar a cabo sus cometidos como responsables de la gestión operativa del SIS II. Los principios establecidos en el Reglamento (CE) n.º 45/2001 deben completarse o aclararse en el presente Reglamento, cuando proceda.

(17) Por lo que respecta a la confidencialidad, a los funcionarios y otros agentes de las Comunidades Europeas que trabajen en SIS II y en relación con SIS II se les deben aplicar las disposiciones pertinentes del Estatuto de los funcionarios de las Comunidades Europeas y las condiciones de empleo de los otros agentes de las Comunidades Europeas.

(18) Es conveniente que las autoridades nacionales de control supervisen la legalidad del tratamiento de datos por los Estados miembros, mientras que el Supervisor Europeo de Protección de Datos, nombrado en virtud de la Decisión 2004/55/CE del Parlamento Europeo y del Consejo, de 22 de diciembre de 2003, por la que se nombra a la autoridad de vigilancia independiente prevista por el artículo 286 del Tratado CE, debe supervisar las actividades de las instituciones y los organismos comunitarios en relación con el tratamiento de datos personales, teniendo en cuenta los cometidos limitados de dichas instituciones y dichos organismos comunitarios con respecto a los datos en sí.

(19) Tanto los Estados miembros como la Comisión deben elaborar un plan de seguridad, con el fin de facilitar la aplicación concreta de las obligaciones en materia de seguridad y deben cooperar entre si para abordar las cuestiones de seguridad desde una perspectiva común.

(20) A fin de garantizar la transparencia, la Comisión o, cuando se establezca, la Autoridad de Gestión debe presentar cada dos años un informe sobre el funcionamiento técnico del SIS II Central y de la infraestructura de comunicación, así como sobre su seguridad y sobre el intercambio de información complementaria. La Comisión debe emitir una evaluación general cada cuatro años.

(21) Determinados aspectos del SIS II, como las normas técnicas para la introducción de datos, incluidos los datos necesarios para introducir una descripción, la actualización, la supresión y la consulta, las normas sobre compatibilidad y prioridad de las descripciones, las conexiones entre descripciones y el intercambio de información complementaria, no pueden ser regulados exhaustivamente por las disposiciones del presente Reglamento, debido a su naturaleza técnica, al nivel de detalle requerido y a la necesidad de una actualización regular. En consecuencia, las competencias de ejecución en estas materias deben delegarse en la Comisión. Las normas técnicas sobre la consulta de descripciones deberán tener en cuenta la necesidad de que las aplicaciones nacionales funcionen con fluidez. A reserva de la evaluación de impacto que realice la Comisión, debe decidirse hasta que punto las medidas de ejecución pueden ser responsabilidad de la Autoridad Gestión, en cuanto se establezca.

(22) Procede aprobar las medidas necesarias para la ejecución del presente Reglamento con arreglo a la Decisión 1999/468/CE del Consejo, de 28 de junio de 1999, por la que se establecen los procedimientos para el ejercicio de las competencias de ejecución atribuidas a la Comisión.

(23) Es conveniente establecer disposiciones transitorias sobre las descripciones introducidas en el SIS 1+ que deben ser transferidas al SIS II. Algunas disposiciones del acervo de Schengen deben seguir aplicándose durante un período limitado de tiempo, hasta que los Estados miembros hayan examinado la compatibilidad de dichas descripciones con el nuevo marco legal. El examen de la compatibilidad de las descripciones de personas debe ser prioritario. Además, toda modificación, adición, rectificación o actualización de una descripción transferida del SIS 1+ al SIS II, así como toda obtención de una respuesta positiva respecto de una de esas descripciones debe dar lugar a un examen inmediato de su compatibilidad con las disposiciones del presente Reglamento.

(24) Es necesario establecer disposiciones especiales sobre la parte del presupuesto que se destinara a las operaciones del SIS que no forman parte del presupuesto general de la Unión Europea.

(25) Dado que los objetivos de la acción propuesta, a saber, el establecimiento y regulación de un sistema común de información, no pueden ser alcanzados de manera suficiente por los Estados miembros y, por consiguiente, pueden lograrse mejor, debido a la dimensión y los efectos de la acción, a nivel comunitario, la Comunidad podrá adoptar medidas de acuerdo con el principio de subsidiariedad consagrado en el artículo 5 del Tratado. De conformidad con el principio de proporcionalidad enunciado en dicho artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos.

(26) El presente Reglamento respeta los derechos fundamentales y observa los principios reconocidos en particular por la Carta de los Derechos Fundamentales de la Unión Europea.

(27) De conformidad con los artículos 1 y 2 del Protocolo sobre la posición de Dinamarca, anexo al Tratado de la Unión Europea y al Tratado constitutivo de la Comunidad Europea, Dinamarca no participa en la adopción del presente Reglamento y no esta vinculada ni sujeta a su aplicación. Teniendo en cuenta que el presente Reglamento desarrolla el acervo de Schengen con arreglo a lo dispuesto en el título IV de la tercera parte del Tratado, Dinamarca, de conformidad con el artículo 5 de dicho Protocolo, debe decidir dentro de un período de seis meses a partir de la fecha de adopción del presente Reglamento, si lo incorpora a su legislación nacional.

(28) El presente Reglamento desarrolla las disposiciones del acervo de Schengen en las que el Reino Unido no participa, de conformidad con la Decisión 2000/365/CE del Consejo, de 29 de mayo de 2000, sobre la solicitud del Reino Unido de Gran Bretaña e Irlanda del Norte de participar en algunas de las disposiciones del acervo de Schengen. Por tanto, el Reino Unido no participa en la adopción del Reglamento y no está vinculado ni sujeto a su aplicación.

(29) El presente Reglamento desarrolla las disposiciones del acervo de Schengen relativas a la circulación de personas en las que Irlanda no participa, de conformidad con la Decisión 2002/192/CE del Consejo, de 28 de febrero de 2002, sobre la solicitud de Irlanda de participar en algunas de las disposiciones del acervo de Schengen . Por tanto, Irlanda no participa en la adopción del Reglamento, y no está vinculada ni sujeta a su aplicación.

(30) El presente Reglamento se adopta sin perjuicio de las disposiciones relativas a la participación parcial del Reino Unido y de Irlanda en el acervo de Schengen, definidas en la Decisión 2000/365/CE y en la Decisión 2002/192/CE, respectivamente.

(31) Por lo que se refiere a Islandia y Noruega, el presente Reglamento desarrolla disposiciones del acervo de Schengen, conforme a lo establecido en el Acuerdo celebrado por el Consejo de la Unión Europea con la Republica de Islandia y el Reino de Noruega sobre la asociación de estos dos Estados a la ejecución, aplicación y desarrollo del acervo de Schengen, que están incluidas en el ámbito descrito en el punto G del artículo 1 de la Decisión 1999/437/CE del Consejo, de 17 de mayo de 1999, relativa a determinadas normas de desarrollo de dicho Acuerdo.

(32) Deben establecerse disposiciones para que representantes de Islandia y Noruega se asocien al trabajo de los comités que asisten a la Comisión en el ejercicio de sus competencias de ejecución. Dichas disposiciones se han recogido en el Canje de Notas entre el Consejo de la Unión Europea y la Republica de Islandia y el Reino de Noruega sobre los comités que asisten a la Comisión Europea en el ejercicio de sus competencias de ejecución anejo al antedicho Acuerdo.

(33) Por lo que se refiere a Suiza, el presente Reglamento desarrolla disposiciones del acervo de Schengen, conforme a lo establecido en el Acuerdo firmado por la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen, que estan incluidas en el ámbito descrito en el punto G del artículo 1 de la Decisión 1999/437/CE, leído conjuntamente con el artículo 4, apartado 1, de las Decisiones 2004/849/CE y 2004/860/CE.

(34) Deben establecerse disposiciones para que representantes de Suiza se asocien al trabajo de los comités que asisten a la Comisión en el ejercicio de sus competencias de ejecución. Dichas disposiciones se han recogido en el Canje de Notas entre la Comunidad y Suiza anejo al antedicho Acuerdo.

(35) El presente Reglamento constituye un acto que desarrolla el acervo de Schengen o esta relacionado con el en el sentido del artículo 3, apartado 2, del Acta de adhesión de 2003.

(36) El presente Reglamento se aplicara al Reino Unido y a Irlanda en las fechas determinadas de conformidad con los procedimientos establecidos en los instrumentos pertinentes relativos a la aplicación del acervo de Schengen a dichos Estados.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I.- Disposiciones generales

Artículo 1.- Establecimiento y finalidad general del SIS II.–

1. Queda establecido el Sistema de Información de Schengen de segunda generación (SIS II).

2. El SIS II tiene por finalidad, con arreglo a lo dispuesto en el presente Reglamento, garantizar un alto nivel de seguridad dentro del espacio de libertad, seguridad y justicia de la Unión Europea, incluidos el mantenimiento de la seguridad y el orden públicos y la salvaguardia de la seguridad en el territorio de los Estados miembros, y aplicar las disposiciones del　título IV de la Tercera parte del Tratado relativas a la circulación de personas en dicho territorio, con la ayuda de la información transmitida por este sistema.

Artículo 2.- Ámbito de aplicación.–

1. El presente Reglamento establece las condiciones y los procedimientos de tratamiento de las descripciones de nacionales de terceros países introducidas en el SIS II, de intercambio de información complementaria y de datos adicionales a efectos de la denegación de entrada o de estancia en un Estado miembro.

2. El presente Reglamento establece también disposiciones sobre la arquitectura técnica del SIS II, las responsabilidades de los Estados miembros y de la Autoridad de Gestión a que se refiere el artículo 15, el tratamiento general de datos, los derechos de los interesados y la responsabilidad.

Artículo 3.- Definiciones.

A efectos del presente Reglamento, se entenderá por:

a) “descripción”, un conjunto de datos introducidos en el SIS II que permite a las autoridades competentes identificar a una persona con vistas a emprender una acción específica;

b) “información complementaria”, la información no almacenada en el SIS II pero relacionada con las descripciones del SIS II, que se intercambiara:

i) a fin de que los Estados miembros puedan consultarse o informarse entre sí al introducir una descripción;

ii) tras la obtención de una respuesta positiva a fin de poder emprender una acción adecuada;

iii) cuando no pueda realizarse la acción requerida;

iv) al tratar de la calidad de los datos del SIS II;

v) al tratar de la compatibilidad y prioridad de las descripciones;

vi) al tratar del ejercicio del derecho de acceso;

c) “datos adicionales”, los datos almacenados en el SIS II y relacionados con las descripciones del SIS II que deben estar inmediatamente a disposición de las autoridades competentes cuando, como resultado de la consulta de este sistema, se encuentre a personas sobre las cuales se hayan introducido datos en el SIS II (la “persona interesada”);

d) “nacional de un tercer país”, cualquier persona que no sea:

i) ciudadano de la Unión Europea en la acepción del apartado 1 del artículo 17 del Tratado, ni

ii) nacional de un tercer país que, en virtud de acuerdos celebrados entre la Comunidad y sus Estados miembros, por una parte, y estos países, por otra, goce de derechos en materia de libre circulación equivalentes a los de los ciudadanos de la Unión Europea;

e) “datos personales”: toda información sobre una persona física identificada o identificable (la “persona interesada”); se considerara “identificable” a toda persona cuya identidad pueda determinarse, directa o indirectamente;

f) “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas mediante procedimientos automatizados o no, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción.

Artículo 4.- Arquitectura técnica y funcionamiento del SIS II.–

1. El SIS II se compondrá de:

a) un sistema central (“SIS II Central”) compuesto por:

– una unidad de apoyo técnico (“CS-SIS”), que contendrá la base de datos del SIS II;

– una interfaz nacional uniforme (“NI-SIS”);

b) un sistema nacional (“N. SIS II”) en cada Estado miembro, compuesto por los sistemas de datos nacionales que se comunican con el SIS II Central. Un N. SIS II puede contener un fichero de datos (“copia nacional”) que contenga una copia total o parcial de la base de datos del SIS II;

c) una estructura de comunicación entre el CS-SIS y la NI-SIS (“infraestructura de comunicación”) que provee una red virtual codificada dedicada a los datos del SIS II y al intercambio de datos entre los servicios nacionales SIRENE a que se refiere el artículo 7, apartado 2.

2. La introducción, actualización, supresión y consulta de datos del SIS II se hará a través de los distintos sistemas N. SIS II. En el territorio de cada uno de los Estados miembros habrá una copia nacional disponible para la realización de consultas automatizadas. No se permitirá la consulta de ficheros de datos del N. SIS II de otros Estados miembros.

3. La CS-SIS, encargada de la supervisión técnica y de la administración, estará situada en Estrasburgo (Francia), y habrá una copia de seguridad de la CS-SIS, capaz de realizar todas las funciones de la CS-SIS principal en caso de fallo del sistema, en Sankt Johann im Pongau (Austria).

4. La CS-SIS prestará los servicios necesarios para la introducción y tratamiento de datos del SIS II, incluida la realización de consultas en la base de datos del SIS II. Para los Estados miembros que utilicen una copia nacional, la CS-SIS garantizará:

a) la actualización en línea de las copias nacionales;

b) la sincronización y coherencia entre las copias nacionales y la base de datos del SIS II;

c) la operación de inicialización y restauración de las copias nacionales.

Artículo 5.- Costes.

1. Los costes de creación, funcionamiento y mantenimiento del SIS II Central y de la infraestructura de comunicación correrán a cargo del presupuesto general de la Unión Europea.

2. Dichos costes incluirán los trabajos realizados en relación con la CS-SIS que garanticen la prestación de servicios a que se refiere el artículo 4, apartado 4.

3. Los costes de creación, funcionamiento y mantenimiento de cada N. SIS II correrán a cargo del Estado miembro interesado.

CAPÍTULO II.- Responsabilidades de los Estados miembros

Artículo 6.- Sistemas nacionales.–

Cada Estado miembro será responsable de la creación, la puesta en funcionamiento y el mantenimiento de su N. SIS II y de la conexión de su N. SIS II a la NI-SIS.

Artículo 7.- Oficina N. SIS II y Servicio Nacional SIRENE.–

1. Cada Estado miembro designara una autoridad (“Oficina N.–SIS II”) que asumirá la responsabilidad central respecto de su N. SIS II. Dicha autoridad será responsable del correcto funcionamiento y la seguridad del N. SIS II, garantizará el acceso de las autoridades competentes al SIS II y adoptará las medidas necesarias para garantizar el cumplimiento de lo dispuesto en el presente Reglamento. Cada Estado miembro transmitirá sus descripciones a través de la Oficina N. SIS II.

2. Cada Estado miembro designará a la autoridad encargada de garantizar el intercambio de toda la información complementaria (“Servicio Nacional SIRENE”), de conformidad con las disposiciones que figuran en el　Manual SIRENE, según se indica en el artículo 8.

Estos servicios coordinarán así mismo la verificación de la calidad de la información introducida en el SIS II. Para esos fines, tendrán acceso a los datos tratados en el SIS II.

3. Los Estados miembros comunicarán a la Autoridad de Gestión los datos relativos a su Oficina N. SIS II y a su Servicio Nacional SIRENE. La Autoridad de Gestión publicará la lista de estos organismos junto con la lista a la que se refiere el artículo 31, apartado 8.

Artículo 8.- Intercambio de información complementaria.–

1. La información complementaria se intercambiará de conformidad con las disposiciones de un manual denominado “Manual SIRENE” y a través de la infraestructura de comunicación. En caso de fallo del funcionamiento de la infraestructura de comunicación, los Estados miembros podrán emplear otros medios técnicos dotados de los medios adecuados de seguridad para intercambiar información complementaria.

2. La información complementaria se utilizará únicamente para el fin para el que haya sido transmitida.

3. Las solicitudes de información complementaria formuladas por los Estados miembros se atenderán con la mayor celeridad.

4. Las normas de desarrollo sobre intercambio de información complementaria se adoptarán, de conformidad con el procedimiento contemplado en el artículo 51, apartado 2, en forma de Manual SIRENE, sin perjuicio de lo dispuesto en el instrumento por el que se establece la Autoridad de Gestión.

Artículo 9.- Conformidad técnica.–

1. Para garantizar la transmisión rápida y eficaz de los datos, los Estados miembros deberán ajustarse, al establecer sus N. SIS II, a los protocolos y procedimientos técnicos establecidos para garantizar la compatibilidad de la CS-SIS con los N. SIS II. Estos protocolos y procedimientos técnicos deberán establecerse de conformidad con el procedimiento contemplado en el artículo 51, apartado 2, sin perjuicio de lo dispuesto en el instrumento por el que se establece la Autoridad de Gestión.

2. Cuando un Estado miembro utilice una copia nacional se asegurará, mediante los servicios prestados por la CS-SIS, de que los datos almacenados en la copia nacional sean idénticos y coherentes, mediante las actualizaciones automáticas a que se refiere el artículo 4, apartado 4, con la base de datos del SIS II y de que una consulta en su copia nacional genere un resultado equivalente al de una consulta en la base de datos del SIS II.

Artículo 10.- Seguridad – Estados miembros.–

1. Cada Estado miembro adoptará, en lo referente a su N. SIS II, las medidas adecuadas, incluido un plan de seguridad, para:

a) proteger los datos físicamente, entre otras cosas mediante la elaboración de planes de emergencia para la protección de infraestructuras críticas;

b) impedir que toda persona no autorizada acceda a las instalaciones utilizadas para el tratamiento de datos de carácter personal (control en la entrada de las instalaciones);

c) impedir que los soportes de datos puedan ser leídos, copiados, modificados o retirados por una persona no autorizada (control de los soportes de datos);

d) impedir que se introduzcan sin autorización en el fichero, o que puedan conocerse, modificarse o suprimirse sin autorización datos de carácter personal almacenados (control del almacenamiento);

e) impedir que los sistemas de tratamiento automatizado de datos puedan ser utilizados por personas no autorizadas por medio de instalaciones de transmisión de datos (control de los usuarios);

f) garantizar que, para la utilización de un sistema de tratamiento automatizado de datos, las personas autorizadas sólo puedan tener acceso a los datos que sean de su competencia y ello únicamente con identificaciones de usuario personales e intransferibles y con modos de acceso confidenciales (control del acceso);

g) garantizar que todos los organismos con derecho de acceso al SIS II o a las instalaciones utilizadas para el tratamiento de datos establezcan perfiles que describan las funciones y responsabilidades de las personas autorizadas a acceder a los datos, y a introducir, actualizar, suprimir y consultar dichos datos, y pongan a disposición de las autoridades nacionales de control a que se refiere el artículo 44, apartado 1, sin dilación al recibir la solicitud de éstas, esos perfiles (perfiles del personal);

h) garantizar la posibilidad de verificar y comprobar a que autoridades pueden ser remitidos datos de carácter personal a través de las instalaciones de transmisión de datos (control de la transmisión);

i) garantizar que pueda verificarse y comprobarse a posteriori qué datos de carácter personal se han introducido en el sistema de tratamiento automatizado de datos, en qué momento, por qué persona y para qué fines han sido introducidos (control de la introducción);

j) impedir, en particular mediante técnicas adecuadas de criptografiado, que, en el momento de la transmisión de datos de carácter personal y durante el transporte de los soportes de datos, los datos puedan ser leídos, copiados, modificados o suprimidos sin autorización (control del transporte);

k) vigilar la eficacia de las medidas de seguridad a que se refiere el presente apartado y adoptar las medidas de organización que sean necesarias en relación con la supervisión interna, a fin de garantizar el cumplimiento del presente Reglamento (control interno).

2. Los Estados miembros tomarán medidas equivalentes a las mencionadas en el apartado 1 en materia de seguridad en relación con el intercambio de información complementaria.

Artículo 11.- Confidencialidad – Estados miembros.

Cada Estado miembro aplicará sus normas sobre secreto profesional u otras obligaciones equivalentes de confidencialidad a toda persona y organismo que vaya a trabajar con datos del SIS II y con información complementaria, de conformidad con su legislación nacional. Esta obligación seguirá siendo aplicable después del cese en el cargo o el empleo de dichas personas o tras la terminación de las actividades de dichos organismos.

Artículo 12.- Conservación de registros nacionales.–

1. Los Estados miembros que no utilicen copias nacionales velarán por que todo acceso a datos personales y todo intercambio de datos personales en la CS-SIS queden registrados en su N. SIS II, con el fin de que se pueda controlar la legalidad de la consulta, supervisar la legalidad del tratamiento de datos, llevar a cabo un control interno y garantizar el correcto funcionamiento del N. SIS II y la integridad y seguridad de los datos.

2. Los Estados miembros que utilicen copias nacionales velarán por que todo acceso a los datos de SIS II y todos los intercambios de los mismos queden registrados a los efectos especificados en el apartado 1. Esto no se aplicará a los tratamientos a que se refiere el artículo 4, apartado 4.

3. Los registros contendrán, en particular, el historial de las descripciones, la fecha y hora de transmisión de los datos, los datos utilizados para realizar una consulta, la referencia de los datos transmitidos y los nombres de la autoridad competente y de la persona responsable del tratamiento de los datos.

4. Los registros sólo podrán utilizarse para los fines especificados en los apartados 1 y 2 y se suprimirán en un plazo mínimo de un año y máximo de tres años después de su creación. Los registros que incluyan el historial de las descripciones serán borrados transcurrido un plazo de uno a tres años tras la supresión de las descripciones.

5. Los registros podrán conservarse más tiempo si son necesarios para procedimientos de control ya en curso.

6. Las autoridades competentes nacionales encargadas de controlar la legalidad de la consulta, supervisar la legalidad del tratamiento de datos, llevar a cabo un control interno y garantizar el correcto funcionamiento del N. SIS II y la integridad y seguridad de los datos, tendrán acceso, dentro de los límites de su competencia y previa petición, a dichos registros, a fin de que puedan desempeñar sus funciones.

Artículo 13.- Control interno.

Los Estados miembros velarán por que toda autoridad habilitada para acceder a los datos de SIS II tome las medidas necesarias para garantizar el cumplimiento del presente Reglamento y coopere, si fuera necesario, con la autoridad nacional de control.

Artículo 14.- Formación del personal.

Antes de quedar autorizado a tratar los datos almacenados en el SIS II, el personal de las autoridades que tengan derecho de acceso al SIS II recibirá la formación adecuada sobre normas de seguridad y protección de datos y será informado de los delitos y sanciones penales pertinentes.

CAPÍTULO III.- Responsabilidades de la autoridad de gestión

Artículo 15.- Gestión operativa.–

1. Después de un período transitorio, la gestión operativa del SIS II Central será competencia de una Autoridad de Gestión, que se financiará con cargo al presupuesto general de la Unión Europea. La Autoridad de Gestión se asegurará, en cooperación con los Estados miembros, de que en el SIS II Central se utilice en todo momento la mejor tecnología disponible, sobre la base de un análisis de costes y beneficios.

2. La Autoridad de Gestión será responsable así mismo de realizar las siguientes funciones relacionadas con la infraestructura de comunicación:

a) supervisión;

b) seguridad;

c) coordinación de las relaciones entre los Estados miembros y el proveedor.

3. La Comisión será responsable de todas las demás funciones relacionadas con la infraestructura de comunicación, a saber:

a) funciones de ejecución del presupuesto;

b) adquisición y renovación;

c) cuestiones contractuales.

4. Durante un período transitorio que concluirá cuando asuma sus responsabilidades la Autoridad de Gestión, la Comisión se encargará de la gestión operativa del SIS II Central. La Comisión podrá encomendar tanto dicho cometido como cometidos de ejecución del presupuesto, de acuerdo con el Reglamento (CE, Euratom) n.º 1605/2002 del Consejo, de 25 de junio de 2002, por el que se aprueba el Reglamento financiero aplicable al presupuesto general de las Comunidades Europeas a organismos nacionales del sector público, en dos países diferentes.

5. Cada organismo nacional del sector público a que se refiere el apartado 4 deberá cumplir, en particular, los siguientes criterios de selección:

a) probar una dilatada experiencia para encargarse de un sistema de información de gran escala con las funciones contempladas en el artículo 4, apartado 4;

b) tener una dilatada experiencia en los requisitos de servicio y de seguridad de un sistema de información que sean comparables a las funciones contempladas en el artículo 4, apartado 4;

c) contar con personal suficiente y experimentado, que posea una experiencia profesional y unos conocimientos profesionales y linguisticos adecuados para trabajar en un entorno de cooperación internacional, como se requiere por el SIS II;

d) disponer de una infraestructura de instalaciones hecha a la medida y segura, que sea capaz, en particular, de respaldar y garantizar un funcionamiento ininterrumpido de sistemas informáticos de gran escala; y

e) desarrollar su actividad en un entorno administrativo que le permita desempeñar adecuadamente sus funciones y evitar conflictos de intereses.

6. Antes de proceder a la delegación a la que se refiere el apartado 4 y después de forma periódica, la Comisión informará al Parlamento Europeo y al Consejo de las condiciones de la delegación, de su alcance exacto y de los organismos en los que se han delegado funciones.

7. Si, durante el período transitorio, la Comisión delega sus responsabilidades con arreglo al apartado 4, se asegurará de que esta delegación respeta plenamente los límites impuestos por el sistema institucional establecido en el Tratado. Garantizará, en particular que dicha delegación no afecte negativamente a ningún mecanismo de control efectivo previsto en el derecho comunitario, corresponda ste al Tribunal de Justicia, al Tribunal de Cuentas o al Supervisor Europeo de Protección de Datos.

8. La gestión operativa del SIS II Central consistirá en todas las funciones necesarias para mantener el SIS II Central en funcionamiento durante las 24 horas del día, 7 días a la semana, de conformidad con el presente Reglamento y, en particular, en el trabajo de mantenimiento y de adaptación técnica necesario para el buen funcionamiento del sistema.

Artículo 16.- Seguridad.–

1. La Autoridad de Gestión, en lo referente al SIS II Central, y la Comisión, en lo referente a la infraestructura de comunicación, adoptarán las medidas adecuadas, incluido un plan de seguridad, para:

a) proteger los datos físicamente, entre otras cosas mediante la elaboración de planes de emergencia para la protección de infraestructuras críticas;

b) impedir que toda persona no autorizada acceda a las instalaciones utilizadas para el tratamiento de datos de carácter personal (control en la entrada de las instalaciones);

c) impedir que los soportes de datos puedan ser leídos, copiados, modificados o retirados por una persona no autorizada (control de los soportes de datos);

d) impedir que se introduzcan sin autorización en el fichero, o que puedan conocerse, modificarse o suprimirse sin autorización datos de carácter personal almacenados (control del almacenamiento);

e) impedir que los sistemas de tratamiento automatizado de datos puedan ser utilizados por personas no autorizadas por medio de instalaciones de transmisión de datos (control de los usuarios);

f) garantizar que, para la utilización de un sistema de tratamiento automatizado de datos, las personas autorizadas sólo puedan tener acceso a los datos que sean de su competencia y ello únicamente con identificaciones de usuario personales e intransferibles y con modos de acceso confidenciales (control del acceso);

g) establecer perfiles que describan las funciones y responsabilidades de las personas autorizadas a acceder a los datos o a las instalaciones utilizadas para el tratamiento de datos, y poner a disposición del Supervisor Europeo de Protección de Datos a que se refiere el artículo 45, sin dilación al recibir la solicitud de éste, esos perfiles (perfiles del personal);

h) garantizar la posibilidad de verificar y comprobar a que autoridades pueden ser remitidos datos de carácter personal a través de las instalaciones de transmisión de datos (control de la transmisión);

i) garantizar que pueda verificarse y comprobarse a posteriori que datos de carácter personal se han introducido en el sistema de tratamiento automatizado de datos, en que momento y por que persona han sido introducidos (control de la introducción);

j) impedir, en particular mediante técnicas adecuadas de criptografiado, que, en el momento de la transmisión de datos de carácter personal y durante el transporte de soportes de datos, los datos puedan ser leídos, copiados, modificados o suprimidos sin autorización (control del transporte);

k) vigilar la eficacia de las medidas de seguridad a que se refiere el presente apartado y adoptar las medidas de organización que sean necesarias en relación con la supervisión interna, a fin de garantizar el cumplimiento del presente Reglamento (control interno).

2. La Autoridad de Gestión adoptará, en relación con el intercambio de información complementaria mediante la infraestructura de comunicación, medidas equivalentes a las medidas de seguridad mencionadas en el apartado 1.

Artículo 17.- Confidencialidad – Autoridad de Gestión.–

1. Sin perjuicio del artículo 17 del Estatuto de los funcionarios de las Comunidades Europeas, la Autoridad de Gestión aplicará normas adecuadas sobre secreto profesional u otras obligaciones equivalentes de confidencialidad a todo miembro de su personal que vaya a trabajar con datos del SIS II, a niveles comparables a los previstos en el artículo 11 del presente Reglamento. Esta obligación seguirá siendo aplicable después del cese en el cargo o el empleo de dichas personas o tras la terminación de sus actividades.

2. La Autoridad de Gestión adoptará medidas equivalentes a las mencionadas en el apartado 1 por lo que se refiere a la confidencialidad con respecto al intercambio de información complementaria a través de la infraestructura de comunicaciones.

Artículo 18.- Conservación de registros centrales.–

1. La Autoridad de Gestión garantizará que todo acceso a datos personales y todo intercambio de datos personales en la CS-SIS queden registrados a los efectos que establece el artículo 12, apartados 1 y 2.

2. Los registros contendrán, en particular, el historial de las descripciones, la fecha y hora de transmisión de los datos, los datos utilizados para realizar una consulta, la referencia de los datos transmitidos y la identificación de la autoridad competente responsable del tratamiento de los datos.

3. Los registros sólo podrán utilizarse para los fines establecidos en el apartado 1 y se suprimirán en un plazo mínimo de un año y máximo de tres años después de su creación. Los registros que incluyan el historial de las descripciones serán borrados transcurrido un plazo de uno a tres años tras la supresión de las descripciones.

4. Los registros podrán conservarse más tiempo si son necesarios para procedimientos de control ya en curso.

5. Las autoridades competentes encargadas de controlar la legalidad de la consulta, supervisar la legalidad del tratamiento de datos, llevar a cabo un control interno y garantizar el correcto funcionamiento de la CS-SIS y la integridad y seguridad de los datos, tendrán acceso, dentro de los límites de su competencia y previa petición, a dichos registros, a fin de que puedan desempeñar sus funciones.

Artículo 19.- Campaña de información.

La Comisión, en cooperación con las autoridades nacionales de control y con el Supervisor Europeo de Protección de Datos, hará coincidir la puesta en marcha del SIS II con una campaña de información por medio de la cual dará a conocer al público los objetivos, los datos almacenados, las autoridades con acceso y los derechos de las personas. Tras su establecimiento, la Autoridad de Gestión, en cooperación con las autoridades nacionales de control y el Supervisor Europeo de Protección de Datos, repetirá estas campañas periódicamente. Los Estados miembros, en cooperación con las autoridades nacionales de control, idearán y realizarán las actuaciones necesarias para informar al conjunto de sus ciudadanos sobre el SIS II en general.

CAPÍTULO IV.- Descripciones sobre nacionales de terceros países introducidas a efectos de denegación de entrada o de estancia

Artículo 20.- Categorías de datos.

1. Sin perjuicio de lo dispuesto en el artículo 8, apartado 1, ni de las disposiciones del presente Reglamento relativas al almacenamiento de datos adicionales, el SIS II incluirá exclusivamente las categorías de datos que proporciona cada uno de los Estados miembros y que son necesarias para los fines previstos en el artículo 24.

2. La información sobre personas descritas será como máximo la siguiente:

a) los nombres y apellidos, los nombres y apellidos de nacimiento, los nombres y apellidos anteriores y los alias, en su caso registrados por separado;

b) los rasgos físicos particulares, objetivos e inalterables;

c) el lugar y la fecha de nacimiento;

d) el sexo;

e) fotografías;

f) las impresiones dactilares;

g) la nacionalidad o nacionalidades;

h) la indicación de que las personas de que se trate estan armadas, son violentas o se han escapado;

i) el motivo de la inscripción;

j) la autoridad informadora;

k) una referencia a la decisión que haya dado lugar a la descripción;

l) la conducta que debe observarse;

m) la conexión o conexiones con otras descripciones introducidas en el SIS II, con arreglo al artículo 37.

3. Las normas técnicas necesarias para la introducción, actualización, supresión y consulta de los datos enumerados en el apartado 2 y el acceso a ellos, se establecerán de conformidad con el procedimiento contemplado en el artículo 51, apartado 2, sin perjuicio de lo dispuesto en el instrumento por el que se establece la Autoridad de Gestión.

4. Las normas técnicas necesarias para la consulta de los datos a que se refiere el apartado 2 serán similares a las aplicables a las consultas en la CS-SIS, en las copias nacionales y en las copias técnicas a que se refiere el artículo 31, apartado 2.

Artículo 21.- Proporcionalidad.

El Estado miembro informador comprobará si el caso es adecuado, pertinente e importante como para justificar la introducción de la descripción en el SIS II.

Artículo 22.- Normas específicas para las fotografías y las impresiones dactilares.

Las fotografías e impresiones dactilares contempladas en las letras e) y f) del apartado 2 del artículo 20 se utilizarán respetando las siguientes disposiciones:

a) las fotografías e impresiones dactilares sólo se introducirán tras ser sometidas a un control de calidad especial para verificar que satisfacen unas normas mínimas de calidad de los datos; las especificaciones relativas al control de calidad especial se establecerán de conformidad con el procedimiento contemplado en el artículo 51, apartado 2, sin perjuicio de lo dispuesto en el instrumento por el que se establece la Autoridad de Gestión;

b) las fotografías y las impresiones digitales sólo se utilizarán para confirmar la identidad de un nacional de un país tercero que haya sido encontrado como consecuencia de una consulta alfanumérica realizada en el SIS II;

c) tan pronto como sea técnicamente posible, las impresiones digitales podrán utilizarse también para identificar a un nacional de un país tercero basándose en su identificador biométrico. Antes de que se incorpore esta función en el SIS II, la Comisión presentará un informe sobre la disponibilidad y preparación de la tecnología necesaria, para lo que se consultará al Parlamento Europeo.

Artículo 23.– Requisitos para introducir una descripción.

1. No podrá introducirse una descripción sin los datos a que se refieren el artículo 20, apartado 2, letras a), d), k) y l).

2. Además, cuando estén disponibles, se introducirán todos los demás datos a los que se refiere el artículo 20, apartado 2.

Artículo 24.- Condiciones para introducir descripciones a efectos de denegación de entrada o de estancia.

1. Los datos relativos a los nacionales de terceros países para los que se haya introducido una descripción a efectos de denegación de entrada o estancia se introducirán sobre la base de una descripción nacional resultante de una decisión adoptada, observando las normas de procedimiento previstas por la legislación nacional, por las autoridades administrativas o por los órganos jurisdiccionales competentes. Esta decisión sólo podrá tomarse sobre la base de una evaluación del caso concreto. Los recursos contra esta decisión se interpondrán con arreglo a la legislación nacional.

2. Podrá introducirse una descripción cuando la decisión a que se refiere el apartado 1 se base en la amenaza que para el orden público o la seguridad nacional pueda constituir la presencia de un nacional de un tercer país en el territorio de un Estado miembro. Este será particularmente el caso:

a) de un nacional de un tercer país que haya sido condenado en un Estado miembro por un delito sancionado con una pena privativa de libertad de un año como mínimo;

b) de un nacional de un tercer país sobre el cual existan razones serias para creer que ha cometido delitos graves, o sobre el cual existan indicios claros de que piensa cometer tales delitos en el territorio de un Estado miembro.

3. Podrá introducirse así mismo una descripción cuando la decisión a que se refiere el apartado 1 se haya basado en el hecho de que el nacional del tercer país haya sido objeto de una medida de expulsión, denegación de entrada o traslado que no haya sido revocada ni suspendida y que incluya o vaya acompañada de una prohibición de entrada o, en su caso, de residencia, basada en el incumplimiento de normas nacionales relativas a la entrada o a la residencia de nacionales de terceros países.

4. El presente artículo no se aplicará respecto de las personas a que se refiere el artículo 26.

5. La Comisión revisará, tres años después de la fecha mencionada en el artículo 55, apartado 2, la aplicación del presente artículo. Sobre la base de dicha revisión, la Comisión, en el ejercicio del derecho de iniciativa que le confiere el Tratado, formulará las propuestas necesarias para modificar las disposiciones del presente artículo para obtener un mayor nivel de armonización de los criterios para introducir descripciones.

Artículo 25. – Condiciones para la introducción de descripciones de nacionales de terceros países beneficiarios del derecho a la libre circulación en la Comunidad.

1. Toda descripción relativa a un nacional de un tercer país que sea beneficiario del derecho de libre circulación en la Comunidad en el sentido de la Directiva 2004/38/CE del Parlamento Europeo y del Consejo, de 29 de abril de 2004, relativa al derecho de los ciudadanos de la Unión y de los miembros de sus familias a circular y residir libremente en el territorio de los Estados miembros, se basará en las normas adoptadas para la aplicación de la citada Directiva.

2. Si se obtiene una respuesta positiva en relación con una descripción introducida de conformidad con el artículo 24 relativa a un nacional de un tercer país que goce del derecho de libre circulación en la Comunidad, el Estado miembro de ejecución de la descripción consultará inmediatamente al Estado miembro informador, a través de su Oficina SIRENE y de conformidad con lo dispuesto en el　Manual SIRENE, para decidir sin dilación la acción que debe emprenderse.

Artículo 26.- Condiciones para la introducción de descripciones de nacionales de terceros países sujetos a una medida restrictiva tomada en virtud del artículo 15 del Tratado de la Unión Europea.

1. En la medida en que puedan satisfacerse los requisitos de calidad de datos, y sin perjuicio del artículo 25, podrán introducirse en el SIS II, a efectos de denegación de entrada o estancia, las descripciones de los nacionales de terceros países objeto de una medida restrictiva destinada a impedir la entrada en el territorio de los Estados miembros o el transito por el, cuando dicha medida haya sido adoptada de conformidad con el artículo 15 del Tratado de la Unión Europea, incluidas las medidas de aplicación de una prohibición de viajar decidida por el Consejo de Seguridad de las Naciones Unidas.

2. El artículo 23 no se aplicará respecto de las descripciones introducidas sobre la base del apartado 1 del presente artículo.

3. El Estado miembro que deba introducir, actualizar y suprimir dichas descripciones en nombre de todos los Estados miembros será designado en el momento de adoptarse la correspondiente medida, de conformidad con el artículo 15 del Tratado de la Unión Europea.

Artículo 27.- Autoridades con derecho de acceso a las descripciones.–

1. El acceso a los datos introducidos en el SIS II y el derecho de consultarlos, directamente o en una copia de los datos del SIS II, estarán reservados exclusivamente a las autoridades competentes para la identificación de nacionales de terceros países a efectos de:

a) control de fronteras, de conformidad con el Reglamento (CE) n.º 562/2006 del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, por el que se establece un Codigo comunitario de normas para el cruce de personas por las fronteras (Codigo de fronteras Schengen);

b) las demás comprobaciones de policía y de aduanas realizadas dentro del Estado miembro de que se trate, así como su coordinación por las autoridades designadas.

2. No obstante, el acceso a los datos introducidos en el SIS II y el derecho a consultarlos directamente podrán ser ejercidos así mismo por las autoridades judiciales nacionales, entre otras por aquellas competentes para incoar el procedimiento penal y la instrucción judicial previa a una acusación, en el desempeño de sus funciones, según disponga la legislación nacional, así como por sus autoridades de coordinación.

3. Además, el acceso a los datos introducidos de conformidad con el artículo 24 y a los datos relativos a documentos referentes a personas introducidos de conformidad con las letras d) y e) del apartado 2 del artículo 38 de la Decisión 2006/000/JAI, así como el derecho a consultarlos directamente, podrán ser ejercidos por las autoridades competentes para la expedición de visados, por las autoridades centrales competentes para el examen de las solicitudes de visado y por las autoridades competentes para la expedición de permisos de residencia y para la aplicación de la legislación sobre nacionales de terceros países en el marco de la aplicación del acervo comunitario relativo a la circulación de las personas. El acceso a los datos por parte de dichas autoridades estará regulado por el Derecho nacional de cada Estado miembro.

4. Las autoridades a que se refiere el presente artículo estarán incluidas en la lista a que se refiere el artículo 31, apartado 8.

Artículo 28.- Límites del derecho de acceso.

Los usuarios podrán acceder únicamente a los datos que sean necesarios para el cumplimiento de sus funciones.

Artículo 29.- Período de conservación de las descripciones.

1. Las descripciones de personas introducidas en el SIS II con arreglo al presente Reglamento sólo se conservarán durante el tiempo necesario para alcanzar los fines para los que hayan sido introducidas.

2. En un plazo máximo de tres años tras la introducción de una descripción de este tipo en el SIS II, el Estado miembro que la haya introducido examinará la necesidad de mantenerla.

3. Cada Estado miembro fijará, cuando corresponda, unos plazos de examen más cortos con arreglo a su Derecho nacional.

4. El Estado miembro informador podrá decidir durante el plazo de examen, tras una evaluación global del caso concreto de la que deberá quedar constancia, que se prolongue la descripción, siempre que ello sea necesario para los fines que motivaron la descripción. En este caso, el apartado 2 se aplicará también a la prolongación. La prolongación de la descripción deberá ser comunicada a la CS-SIS.

5. Las descripciones se borrarán automáticamente una vez transcurrido el período de examen a que se refiere el apartado 2. Ello no se aplicará en caso de que el Estado miembro que haya introducido la descripción hubiera comunicado la prolongación de la descripción a la CS-SIS, tal como se contempla en el apartado 4. La CS-SIS informará automáticamente a los Estados miembros de la supresión programada de datos del sistema, con un preaviso de cuatro meses.

6. Los Estados miembros llevarán estadísticas del número de descripciones cuyo período de conservación se haya prolongado con arreglo al apartado 4.

Artículo 30.- Adquisición de la ciudadanía y descripciones.

Las descripciones de personas que hayan adquirido la ciudadanía de cualquiera de los Estados cuyos nacionales sean beneficiarios del derecho de libre circulación en la Comunidad serán borradas en cuanto el Estado miembro informador sea informado de ello con arreglo al artículo 34 o tenga conocimiento de que la persona en cuestión ha adquirido dicha ciudadanía.

CAPÍTULO V.- Normas generales de tratamiento de datos

Artículo 31.- Tratamiento de los datos del SIS II.

1. Los Estados miembros podrán tratar los datos contemplados en el artículo 20 a efectos de denegación de entrada o estancia en sus territorios.

2. Los datos sólo podrán copiarse con fines técnicos, siempre que sea necesario para la consulta directa por las autoridades mencionadas en el artículo 27. Las disposiciones del presente Reglamento se aplicarán a esas copias. Las descripciones de otros Estados miembros no podrán copiarse del N-SIS II a otros ficheros de datos nacionales.

3. Las copias técnicas mencionadas en el apartado 2, que den lugar a bases de datos fuera de línea, sólo podrán conservarse un período de 48 horas como máximo. Dicho período podrá prorrogarse en una emergencia hasta que concluya la misma.

No obstante lo dispuesto en el párrafo primero, las copias técnicas que den lugar a bases de datos fuera de línea para uso de las autoridades responsables de la expedición de visados, ya no estarán permitidas al año de conectarse dichas autoridades a la infraestructura de comunicación del Sistema de Información de Visados que se establecerá en un futuro reglamento sobre el Sistema de Información de Visados (VIS) y el intercambio de datos sobre visados de corta duración entre los Estados miembros. Esta disposición no se aplicará a las copias que se hagan con el unico fin de utilizarlas en situaciones de emergencia ante la imposibilidad de acceder a la red durante más de 24 horas.

Los Estados miembros mantendrán un inventario actualizado de esas copias, que será accesible a las autoridades nacionales de control, y se asegurarán de que se apliquen a dichas copias las disposiciones del presente Reglamento, en particular lo dispuesto en el artículo 10.

4. El acceso a los datos sólo se autorizará dentro de los límites de la competencia de las autoridades nacionales a que se refiere el artículo 27 y al personal debidamente autorizado.

5. Los datos no podrán utilizarse con fines administrativos. A modo de excepción, las autoridades a las que se refiere el artículo 27, apartado 3 podrán utilizar, con arreglo a la legislación nacional de cada Estado miembro, los datos introducidos en virtud del presente Reglamento en el desempeño de sus funciones.

6. Los datos introducidos en virtud del artículo 24 del presente Reglamento y los datos relativos a documentos referentes a personas introducidos con arreglo a las letras d) y e) del apartado 2 del artículo 38 de la Decisión 2006/000/JAI podrán utilizarse para los fines previstos en el artículo 27, apartado 3, del presente Reglamento, de conformidad con la legislación nacional de cada Estado miembro.

7. Toda utilización de datos que no sea conforme con los apartados 1 a 6 se considerará como una desviación de la finalidad con arreglo al Derecho nacional de cada Estado miembro.

8. Cada Estado miembro remitirá a la Autoridad de Gestión la lista de las autoridades competentes que estén autorizadas a consultar directamente los datos del SIS II con arreglo al presente Reglamento, así como cualquier modificación introducida en ella. En la lista se indicará, para cada autoridad, los datos que puede consultar y para que fines. La Autoridad de Gestión garantizará la publicación anual de la lista en el Diario Oficial de la Unión Europea.

9. Siempre que el Derecho comunitario no establezca disposiciones particulares, se aplicará el Derecho de cada Estado miembro a los datos introducidos en su N. SIS. II.

Artículo 32.- Datos del SIS II y ficheros nacionales.

1. El artículo 31, apartado 2, se entenderá sin perjuicio del derecho de los Estados miembros a conservar en sus ficheros nacionales datos del SIS II en relación con los cuales se haya emprendido una acción en su territorio. Dichos datos se conservarán en los archivos nacionales durante un período máximo de tres años, salvo si la legislación nacional contiene disposiciones específicas que prevean un período de conservación más largo.

2. El artículo 31, apartado 2, se entenderá sin perjuicio del derecho de los Estados miembros a conservar en sus ficheros nacionales los datos contenidos en una descripción concreta que dicho Estado miembro haya introducido en el SIS II.

Artículo 33.- Información en caso de no ejecución de la descripción.

Si no fuera posible ejecutar una acción requerida, el Estado miembro requerido informará de ello inmediatamente al Estado miembro que haya introducido la descripción.

Artículo 34.- Calidad de los datos tratados en el SIS II.

1. El Estado miembro informador será responsable de la exactitud y actualidad de los datos y de la licitud de su introducción en el SIS II.

2. El Estado miembro informador será el único autorizado para modificar, completar, rectificar, actualizar o suprimir los datos que haya introducido.

3. Si un Estado miembro distinto del Estado informador dispusiera de indicios que hagan presumir que un dato contiene errores de hecho o de derecho, informará de ello, mediante el intercambio de información complementaria, al Estado miembro informador en cuanto sea posible y, en cualquier caso, antes de que transcurran diez días desde el momento en que tuvo conocimiento de los mencionados indicios. El Estado miembro informador comprobará la comunicación y, en caso necesario, corregirá o suprimirá sin demora el dato.

4. Si los Estados miembros no pudieran llegar a un acuerdo en el plazo de dos meses, el Estado miembro que no hubiere introducido la descripción someterá el caso al Supervisor Europeo de Protección de Datos que actuará como mediador junto con las autoridades nacionales de control implicadas.

5. Los Estados miembros intercambiarán información complementaria siempre que una persona alegue no ser la persona buscada mediante la descripción. Si, como resultado de las verificaciones realizadas, se comprobará que se trata en efecto de dos personas diferentes, se informará al interesado de las disposiciones mencionadas en el artículo 36.

6. En caso de que una persona ya haya sido objeto de una descripción en el SIS II, el Estado miembro que introduzca una nueva descripción se pondrá de acuerdo sobre la introducción de la descripción con el Estado miembro que hubiere introducido la primera descripción. Este acuerdo deberá basarse en el intercambio de información complementaria.

Artículo 35.- Distinción entre personas con características similares.

Cuando, al introducirse una nueva descripción, resulte que ya hay una persona en el SIS II con el mismo elemento descriptivo de identidad, deberá seguirse el siguiente procedimiento:

a) el Servicio Nacional SIRENE entablará contacto con la autoridad solicitante para comprobar si se trata de la misma persona o no;

b) si de la comprobación entre la nueva descripción y la persona que ya esta en el SIS II resulta que se trata efectivamente de la misma persona, el Servicio Nacional SIRENE aplicará el procedimiento de integración de descripciones múltiples previsto en el artículo 34, apartado 6. Si el resultado de la comprobación indicare que se trata en efecto de dos personas diferentes, el Servicio Nacional SIRENE aprobará la solicitud de introducción de la segunda descripción añadiendo los elementos necesarios para evitar cualquier error de identificación.

Artículo 36.- Datos adicionales en caso de usurpación de identidad.

1. En caso de que pueda surgir confusión entre la persona a la que realmente se refiere una descripción y otra persona cuya identidad haya sido usurpada, el Estado miembro que introdujo la descripción añadirá a la descripción datos sobre la segunda persona, con el consentimiento explicito de esta, a fin de evitar las consecuencias negativas de los errores de identificación.

2. Los datos relacionados con una persona cuya identidad ha sido usurpada sólo se utilizarán para los siguientes fines:

a) permitir a la autoridad competente diferenciar a la persona cuya identidad ha sido usurpada de la persona a la que realmente se refiere la descripción;

b) permitir a la persona cuya identidad ha sido usurpada demostrar su identidad y establecer que su identidad ha sido usurpada.

3. A efectos del presente artículo, sólo podrán introducirse y tratarse en el SIS II los datos personales siguientes:

a) los nombres y apellidos, los nombres y apellidos de nacimiento, los nombres y apellidos anteriores y los alias, en su caso registrados por separado;

b) los rasgos físicos particulares, objetivos e inalterables;

c) el lugar y la fecha de nacimiento;

d) el sexo;

e) fotografías;

f) las impresiones dactilares;

g) la nacionalidad o nacionalidades;

h) el número del documento o documentos de identidad y la fecha de expedición.

4. Las normas técnicas necesarias para la introducción, actualización y supresión de los datos enumerados en el apartado 3 se establecerán de conformidad con el procedimiento contemplado en el artículo 51, apartado 2, sin perjuicio de lo dispuesto en el instrumento por el que se establece la Autoridad de Gestión.

5. Los datos a que se refiere el apartado 3 serán borrados al mismo tiempo que la descripción correspondiente, o antes si la persona lo solicita.

6. sólo las autoridades que tienen derecho de acceso a la descripción correspondiente podrán acceder a los datos a que se refiere el apartado 3. Podrán acceder a ellos únicamente para evitar errores de identificación.

Artículo 37.- Conexiones entre descripciones.

1. Todo Estado miembro podrá crear conexiones entre las descripciones que introduzca en el SIS II. El efecto de estas conexiones será establecer una relación entre dos o más descripciones.

2. La creación de una conexión no afectará a la acción específica que deba emprenderse a partir de cada descripción conectada, ni al período de conservación de cada una de las descripciones conectadas.

3. La creación de una conexión no afectará a los derechos de acceso regulados en el presente Reglamento. Las autoridades que no tengan derecho de acceso a determinadas categorías de descripciones no podrán ver las conexiones con una descripción a la que no tengan acceso.

4. Los Estados miembros crearán una conexión entre descripciones únicamente cuando sea claramente necesario desde un punto de vista operativo.

5. Los Estados miembros podrán crear conexiones de acuerdo con su legislación nacional, siempre y cuando cumplan con los principios expuestos en el presente artículo.

6. Cuando un Estado miembro considere que la creación de una conexión entre descripciones por otro Estado miembro es incompatible con su legislación nacional o sus obligaciones internacionales, podrá adoptar las medidas necesarias para garantizar que no pueda accederse a la conexión desde su territorio nacional o para impedir que las autoridades nacionales situadas fuera de su territorio puedan acceder a ella.

7. Las normas técnicas sobre conexión entre descripciones se adoptarán de conformidad con el procedimiento contemplado en el artículo 51, apartado 2, sin perjuicio de lo dispuesto en el instrumento por el que se establece la Autoridad de Gestión.

Artículo 38.- Finalidad y período de conservación de la información complementaria.

1. Los Estados miembros conservarán una referencia de las decisiones que han dado lugar a una descripción en el Servicio Nacional SIRENE, para apoyar el intercambio de información complementaria.

2. Los datos de carácter personal conservados en ficheros por el Servicio Nacional SIRENE como resultado de un intercambio de información sólo se conservarán el tiempo que sea necesario para lograr los fines para los que hayan sido facilitados. En cualquier caso, se suprimirán a más tardar un año después de que la descripción relacionada con la persona de que se trate se haya suprimido del SIS II.

3. El apartado 2 se entenderá sin perjuicio del derecho de un Estado miembro a conservar en los ficheros nacionales datos relativos a una descripción particular que dicho Estado miembro haya introducido o a una descripción en relación con la cual se haya emprendido una acción en su territorio. El período durante el que podrán conservarse dichos datos en esos ficheros se regirá por la legislación nacional.

Artículo 39.- Transferencia de datos personales a terceras partes.

Los datos tratados en el SIS II en virtud del presente Reglamento no se transferirán a terceros países ni a organizaciones internacionales, ni se pondrán a su disposición.

CAPÍTULO VI.- Protección de los datos

Artículo 40.- Tratamiento de las categorías sensibles de datos

Estará prohibido el tratamiento de las categorías de datos enumeradas en el artículo 8, apartado 1, de la Directiva 95/46/CE.

Artículo 41. – Derecho de acceso, rectificación de datos que contengan errores y supresión de datos que se hayan almacenado de manera ilegal.

1. El derecho de toda persona a acceder a los datos que se refieran a ella y estén introducidos en el SIS II de conformidad con el presente Reglamento se ejercerá respetando el derecho del Estado miembro ante el que se hubiere invocado tal derecho.

2. Si el Derecho nacional así lo dispone, la autoridad nacional de control decidirá si se facilita información y con arreglo a que modalidades.

3. Un Estado miembro que no sea el Estado informador no podrá facilitar información relativa a dichos datos, a no ser que previamente hubiere dado al Estado miembro informador la ocasión de pronunciarse al respecto. Esto se llevará a cabo a través del intercambio de información complementaria.

4. Cuando sea indispensable para la ejecución de una medida legal consignada en la descripción o para la protección de los derechos y libertades de terceros, no se comunicará la información a la persona interesada.

5. Toda persona tiene derecho a hacer rectificar datos sobre su persona que contengan errores de hecho o a hacer suprimir datos sobre su persona que contengan errores de derecho.

6. Se informará a la persona interesada lo antes posible y en cualquier caso en el plazo máximo de sesenta días desde la fecha en que solicito el acceso o antes, si la legislación nacional así lo dispone.

7. Se informará a la persona interesada lo antes posible del resultado del ejercicio de sus derechos de rectificación y supresión y, en todo caso, en el plazo máximo de tres meses desde la fecha en que solicito la rectificación o la supresión o antes, si la legislación nacional así lo dispone.

Artículo 42.- Derecho de información.

1. Los nacionales de terceros países objeto de una descripción introducida con arreglo al presente Reglamento serán informados de ello en virtud de los artículos 10 y 11 de la Directiva 95/46/CE. Esta información se facilitará por escrito, junto con una copia de la decisión nacional que causo la introducción de la descripción, mencionada en el artículo 24, apartado 1, o una referencia a dicha decisión.

2. En ningún caso se proporcionará esta información:

a) cuando

i) los datos personales no se hayan obtenido del nacional del tercer país en cuestión, y

ii) proporcionar esta información resulte imposible o requiera un esfuerzo desproporcionado;

b) cuando el nacional del país tercero en cuestión ya tenga la información;

c) cuando el Derecho nacional permita la restricción del derecho de información, en particular para salvaguardar la seguridad nacional, la defensa, la seguridad publica y la prevención, investigación, detección y persecución de delitos.

Artículo 43.- Recursos.

1. Toda persona podrá emprender acciones ante el órgano jurisdiccional o la autoridad competente en virtud del Derecho nacional de cualquier Estado miembro, para acceder, rectificar, suprimir u obtener información o para obtener una indemnización en relación con una descripción que se refiera a ella.

2. Los Estados miembros se comprometen mutuamente a ejecutar las resoluciones definitivas dictadas por los órganos jurisdiccionales o las autoridades mencionadas en el apartado 1, sin perjuicio de lo dispuesto en el　artículo 48.

3. La Comisión evaluará las normas sobre recursos establecidas en el presente artículo antes del 17 de enero de 2009.

Artículo 44.- Supervisión de las N. SIS II.

1. La autoridad o autoridades designadas en cada Estado miembro e investidas de los poderes a que se refiere el artículo 28 de la Directiva 95/46/CE (autoridades nacionales de control) supervisarán con toda independencia la legalidad del tratamiento de los datos personales del SIS II dentro de su territorio y a partir de él, incluido el intercambio y posterior tratamiento de la información complementaria.

2. La autoridad nacional de control velará por que, al menos cada cuatro años, se lleve a cabo una auditoría de las operaciones de tratamiento de datos en los N. SIS II siguiendo normas de auditoría internacionales.

3. Los Estados miembros velarán por que la autoridad nacional de control disponga de medios suficientes para desempeñar las funciones que se le encomiende en virtud del presente Reglamento.

Artículo 45.- Supervisión de la Autoridad de Gestión.

1. El Supervisor Europeo de Protección de Datos controlará que las actividades de tratamiento de datos personales de la Autoridad de Gestión sean conformes al presente Reglamento. En consecuencia, serán de aplicación las disposiciones sobre funciones y competencias del Supervisor Europeo de Datos previstas en los artículos 46 y 47 del Reglamento (CE) n.º 45/2001.

2. El Supervisor Europeo de Protección de Datos velará por que, al menos cada cuatro años, se lleve a cabo una auditoría de las actividades de tratamiento de datos personales de la Autoridad de Gestión siguiendo normas de auditoría internacionales. El informe de la auditoría se enviará al Parlamento Europeo, al Consejo, a la Autoridad de Gestión, a la Comisión y a las autoridades nacionales de control. Deberá darse a la Autoridad de Gestión la oportunidad de formular comentarios antes de que el informe sea adoptado.

Artículo 46. – Cooperación entre las autoridades nacionales de control y el Supervisor Europeo de Protección de Datos.

1. Las autoridades nacionales de control y el Supervisor Europeo de Protección de Datos, cada uno dentro del ámbito de sus competencias respectivas, cooperarán activamente en el marco de sus responsabilidades y garantizarán una supervisión coordinada del SIS II.

2. A dicho efecto, cada uno dentro del ámbito de sus competencias respectivas, intercambiarán la información pertinente, se asistirán mutuamente en la realización de inspecciones y auditorías, estudiarán las dificultades de interpretación y aplicación del presente Reglamento, examinarán los problemas que se planteen en el ejercicio del control independiente o al ejercer sus derechos el interesado, elaborarán propuestas armonizadas para hallar soluciones comunes a los problemas y fomentarán el conocimiento de los derechos en materia de protección de datos, en la medida necesaria.

3. Las autoridades nacionales de control y el Supervisor Europeo de Protección de Datos se reunirán con este objeto al menos dos veces al año. Los gastos y la organización de las reuniones correrán a cargo del Supervisor Europeo de Protección de Datos. El reglamento interno se adoptará en la primera reunión. Los métodos de trabajo se irán desarrollando conjuntamente y en función de las necesidades. Cada dos años se remitirá al Parlamento Europeo, al Consejo, a la Comisión y a la Autoridad de Gestión un informe conjunto sobre las actividades realizadas.

Artículo 47.- Protección de datos durante el período transitorio.

En caso de que, durante el período transitorio, la Comisión delegue sus responsabilidades en otro organismo, con arreglo al artículo 15, apartado 4, se asegurará de que el Supervisor Europeo de Protección de Datos tenga el derecho y la posibilidad de desempeñar plenamente sus funciones, incluida la posibilidad de realizar comprobaciones in situ, o de ejercer cualesquiera otras competencias que le hayan sido conferidas en virtud del artículo 47 del Reglamento (CE) n.º 45/2001.

CAPÍTULO VII.- Responsabilidad y sanciones

Artículo 48.- Responsabilidad.

1. Cada Estado miembro será responsable, con arreglo a su Derecho nacional, de cualquier daño ocasionado a una persona como consecuencia de la utilización del N. SIS II. Lo mismo ocurrirá cuando los daños hayan sido causados por el Estado miembro informador, si éste hubiere introducido datos que contengan errores de hecho o de forma ilegal.

2. Si el Estado miembro contra el que se entable una acción no fuera el Estado miembro informador, este último estará obligado a reembolsar, previa petición, las cantidades pagadas en concepto de indemnización, a no ser que los datos hubieren sido utilizados por el Estado miembro que requiera el reembolso incumpliendo el presente Reglamento.

3. Si el incumplimiento por un Estado miembro de las obligaciones que le impone el presente Reglamento causa daños al SIS II, dicho Estado será considerado responsable de los daños, salvo en caso de que la Autoridad de Gestión u otro Estado miembro que participe en el SIS II no haya adoptado medidas razonables para prevenir los daños o para reducir al mínimo sus efectos.

Artículo 49.- Sanciones.

Los Estados miembros garantizarán que toda utilización incorrecta de los datos del SIS II y todo intercambio de información complementaria contrario a lo dispuesto en el presente Reglamento estén sujetos a sanciones eficaces, proporcionadas y disuasorias, con arreglo a la legislación nacional.

CAPÍTULO VIII.- Disposiciones finales

Artículo 50.- Seguimiento y estadísticas.

1. La Autoridad de Gestión garantizará el establecimiento de procedimientos para el control del funcionamiento del SIS II en relación con los objetivos, los resultados, la rentabilidad, la seguridad y la calidad del servicio.

2. A efectos de mantenimiento técnico, elaboración de informes y estadísticas, la Autoridad de Gestión tendrá acceso a la información necesaria relacionada con las operaciones de tratamiento que se realizan en el SIS II Central.

3. Cada año, la Autoridad de Gestión publicará estadísticas que muestren el número de registros por categoría de descripción, el número de respuestas positivas por categoría de descripción y el número de ocasiones en que se ha accedido al SIS II, indicando en cada caso el número total y el número correspondiente a cada Estado miembro.

4. Transcurridos dos años desde la entrada en funcionamiento del SIS II y, a continuación, cada dos años, la Autoridad de Gestión presentará al Parlamento Europeo y al Consejo un informe sobre el funcionamiento técnico del SIS II Central y la infraestructura de comunicación, incluida su seguridad, el intercambio bilateral y multilateral de información complementaria entre los Estados miembros.

5. Transcurridos tres años desde la entrada en funcionamiento del SIS II y, a continuación, cada cuatro años, la Comisión elaborará una evaluación global del SIS II Central y del intercambio bilateral y multilateral de información complementaria entre los Estados miembros. Esta evaluación global incluirá un examen de los resultados obtenidos en relación con los objetivos, evaluará si los principios básicos siguen siendo válidos, la aplicación del presente Reglamento con respecto al SIS II Central, la seguridad del SIS II Central, así como cualquier consecuencia de las futuras operaciones. La Comisión remitirá los informes de evaluación al Parlamento Europeo y al Consejo.

6. Los Estados miembros facilitarán a la Autoridad de Gestión y a la Comisión la información necesaria para elaborar los informes a que se refieren los apartados 3, 4 y 5.

7. La Autoridad de Gestión facilitará a la Comisión la información necesaria para elaborar las evaluaciones globales a que se refiere el apartado 5.

8. Durante un período transitorio antes de que la Autoridad de Gestión asuma sus funciones, la Comisión será responsable de la elaboración y de la presentación de los informes a que se refieren los apartados 3 y 4.

Artículo 51.- Comité.

1. La Comisión estará asistida por un comité.

2. En los casos en que se haga referencia al presente apartado, serán de aplicación los artículos 5 y 7 de la Decisión 1999/468/CE, observando lo dispuesto en su artículo 8.

El plazo contemplado en el apartado 6 del artículo 5 de la Decisión 1999/468/CE queda fijado en tres meses.

3. El Comité ejercerá sus funciones a partir del día de la entrada en vigor del presente Reglamento.

Artículo 52.- Modificación de las disposiciones del acervo de Schengen.

1. Con respecto a las materias que entran en el ámbito de aplicación del Tratado CE, el presente Reglamento sustituye, a partir de la fecha mencionada en el artículo 55, apartado 2, a lo dispuesto en los artículos 92 a 119 del Convenio de Schengen, con excepción de su artículo 102 bis.

2. También sustituye, a partir de la fecha mencionada en el artículo 55, apartado 2, a las siguientes disposiciones de desarrollo del acervo de Schengen referentes a dichos artículos:

a) Decisión del Comité ejecutivo de 14 de diciembre de 1993 sobre el Reglamento financiero relativo a los gastos de instalación y de funcionamiento del Sistema de Información de Schengen (C. SIS) (SCH/Com-ex (93) 16);

b) Decisión del Comité ejecutivo de 7 de octubre de 1997 sobre el desarrollo del SIS (SCH/Com-ex (97) 24);

c) Decisión del Comité ejecutivo de 15 de diciembre de 1997 sobre la modificación del Reglamento financiero relativo al C. SIS (SCH/Com-ex (97) 35);

d) Decisión del Comité ejecutivo de 21 de abril de 1998 relativa al C. SIS con 15/18 conexiones (SCH/Com-ex (98) 11);

e) Decisión del Comité ejecutivo de 28 de abril de 1999 relativa al gasto de instalación del C. SIS (SCH/Com-ex (99) 4);

f) Decisión del Comité ejecutivo de 28 de abril de 1999 relativa a la actualización del Manual SIRENE (SCH/Com-ex (99) 5);

g) Declaración del Comité ejecutivo de 18 de abril de 1996 sobre la definición del concepto de extranjero (SCH/Com-ex (96) decl. 5);

h) Declaración del Comité ejecutivo de 28 de abril de 1999 relativa a la estructura del SIS (SCH/Com-ex (99) decl. 2 rev.);

i) Decisión del Comité ejecutivo de 7 de octubre de 1997 sobre las contribuciones de Noruega e Islandia a los costes de instalación y funcionamiento del C. SIS (SCH/Com-ex (97) 18).

3. Con respecto a las materias que entran en el ámbito de aplicación del Tratado CE, las referencias a los artículos sustituidos del Convenio de Schengen y a las disposiciones pertinentes del acervo de Schengen por las que se aplican dichos artículos, se considerarán como referencias al presente Reglamento.

Artículo 53.- Derogación.

Quedan derogados, a partir de la fecha mencionada en el artículo 55, apartado 2, el Reglamento (CE) n.° 378/2004 y el Reglamento (CE) n.° 871/2004, la Decisión 2005/451/JAI, la Decisión 2005/728/JAI y la Decisión 2006/628/CE.

Artículo 54.- Período transitorio y presupuesto.

1. Se transferirán las descripciones del SIS 1+ al SIS II. Los Estados miembros velarán por que el contenido de las descripciones transferidas desde el SIS 1+ al SIS II cumplan lo dispuesto en el presente Reglamento cuanto antes y a más tardar en el plazo de tres años a partir de la fecha mencionada en el artículo 55, apartado 2. Durante este período transitorio, los Estados miembros podrán seguir aplicando las disposiciones de los　artículos 94 y 96 del Convenio de Schengen al contenido de las descripciones transferidas del SIS 1+ al SIS II, a condición de que cumplan las siguientes normas:

a) Caso de efectuarse una modificación, adición, rectificación o actualización del contenido de una descripción transferida del SIS 1+ al SIS II, los Estados miembros garantizarán que la descripción cumpla las disposiciones del presente Reglamento desde el momento mismo de la modificación, adición, rectificación o actualización.

b) Caso de obtenerse una respuesta positiva respecto de una descripción transferida del SIS 1+ al SIS II, los Estados miembros examinarán la compatibilidad de dicha descripción con las disposiciones del presente Reglamento inmediatamente pero sin entorpecer la actuación consiguiente a la descripción.

2. En la fecha fijada con arreglo al artículo 55, apartado 2, el resto del presupuesto aprobado de conformidad con lo dispuesto en el artículo 119 del Convenio de Schengen se reembolsará a los Estados miembros. Las cantidades que deberán reembolsarse se calcularán tomando como base las contribuciones de los Estados miembros establecidas en la Decisión del Comité ejecutivo, de 14 de diciembre de 1993, sobre el Reglamento financiero relativo a los gastos de instalación y de funcionamiento del Sistema de Información de Schengen.

3. Durante el período transitorio a que se refiere el artículo 15, apartado 4, las referencias en el presente Reglamento a la Autoridad de Gestión se entenderán como referencias a la Comisión.

Artículo 55.- Entrada en vigor, aplicabilidad y migración.

1. El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

2. Se aplicará a los Estados miembros que participan en el SIS 1+ a partir de la fecha que determine el Consejo por unanimidad de los miembros que representen a los gobiernos de los Estados miembros participantes en el SIS 1+.

3. La fecha a que se refiere el apartado 2 se fijará una vez que:

a) se hayan adoptado las medidas de aplicación necesarias;

b) todos los Estados miembros que participen plenamente en el SIS 1+ hayan notificado a la Comisión que han adoptado todas las medidas técnicas y legales necesarias para tratar los datos del SIS II e intercambiar la información complementaria;

c) la Comisión haya declarado la finalización con éxito de una prueba exhaustiva del SIS II, que deberá realizar la Comisión junto con los Estados miembros, y que los órganos preparatorios del Consejo hayan validado la propuesta de resultados de la prueba y confirmado que los resultados del SIS II son al menos de un nivel equivalente al del SIS 1+;

d) la Comisión haya adoptado las medidas técnicas necesarias para permitir que el SIS II Central esté conectado a los N. SIS II de los Estados miembros de que se trate.

4. La Comisión informará al Parlamento Europeo de los resultados de las pruebas realizadas de conformidad con el apartado 3, letra c).

5. Cualquier Decisión del Consejo adoptada de conformidad con el apartado 2 se publicará en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en los Estados miembros de conformidad con el Tratado constitutivo de la Comunidad Europea.

El artículo 13 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, se refiere a las formas de identificación y autenticación y establece, en su apartado 2, los sistemas de firma electrónica que los ciudadanos podrán utilizar para relacionarse con las Administraciones Públicas, de acuerdo con lo que cada Administración determine.

El citado precepto se refiere expresamente a los sistemas de firma electrónica incorporados al Documento Nacional de Identidad para personas físicas, a los sistemas de firma electrónica avanzada incluyendo los basados en certificado electrónico reconocido, admitidos por las Administraciones Públicas, y a otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen.

La Ley 59/2003, de 19 de diciembre, define la firma electrónica como “conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante”. En esta definición tienen cabida los sistemas de firma aprobados en la presente Resolución.

Por otra parte, es importante destacar que en la citada Ley 11/2007 se establece como principio general de aplicación a las relaciones electrónicas con los ciudadanos el de proporcionalidad, en cuya virtud sólo se exigirán las garantías y medidas de seguridad adecuadas a la naturaleza y circunstancias de los distintos trámites y actuaciones. De conformidad con el citado principio, se considera procedente la no exigencia de certificados electrónicos o el uso del Documento Nacional de Identidad electrónico para el caso de determinados trámites o actuaciones en los que concurran circunstancias que hagan aconsejable la admisión de otros sistemas de identificación electrónica, tales como los descritos en la presente Resolución.

El Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, contiene algunos preceptos relativos a los mencionados sistemas de firma electrónica. Concretamente, en su artículo 11 se refiere a “otros sistemas de firma electrónica” diferentes de los incorporados al Documento Nacional de Identidad y de los sistemas de firma electrónica avanzada, indicando que su admisión deberá aprobarse, en el caso de los organismos públicos, mediante resolución del titular en el caso de los organismos públicos, previo informe del Consejo Superior de Administración Electrónica.

La Disposición transitoria primera del Real Decreto 1671/2009 ha permitido la utilización de los medios de identificación y autenticación que vinieran admitiéndose hasta la aprobación de los Esquemas Nacionales de Interoperabilidad y Seguridad, lo que ha tenido lugar, respectivamente, mediante los Reales Decretos 4/2010 y 3/2010, ambos de 8 de enero, los cuales, a su vez, han previsto un amplio plazo de adecuación para los sistemas existentes. Los sistemas mencionados en la presente Resolución ya venían admitiéndose por la Agencia Tributaria en sus relaciones con los ciudadanos.

El objeto de la presente Resolución es la aprobación de determinados sistemas de identificación y autenticación electrónica distintos de la firma electrónica avanzada en el ámbito de la Agencia Estatal de Administración Tributaria, conteniendo la denominación y descripción general de dichos sistemas de identificación, órgano u organismo público responsable de su aplicación y garantías de su funcionamiento, tal como exige el artículo 11.3 del Real Decreto 1671/2009.

La resolución del titular del organismo a la que alude el artículo 11.1 del Real Decreto 1671/2009 en el ámbito de la Agencia Estatal de Administración Tributaria corresponde al Presidente de la misma, al ejercer la superior dirección del Organismo, conforme a lo dispuesto en el artículo 103 Tres.2 de la Ley 31/1990, de 27 de diciembre, de Presupuestos Generales del Estado para 1991, por el que se creó la Agencia Estatal de Administración Tributaria.

Por otro lado, se establece que los citados sistemas permitirán la identificación y autenticación de la actuación de los ciudadanos no sólo en la realización de acciones a través de la Sede Electrónica, sino también cuando aquéllas se produzcan por vía telefónica o, en su caso, a través de otros canales electrónicos que puedan encontrarse disponibles.

La aplicación de las nuevas tecnologías desarrolladas en el marco de la sociedad de la información ha supuesto la superación de las formas tradicionales de comunicación, mediante una expansión de los contenidos transmitidos, que abarcan no sólo la voz, sino también datos en soportes y formatos diversos. Como dice la Exposición de Motivos de la Ley 11/2007, las plataformas que pueden utilizar los ciudadanos o las propias Administraciones para establecer las comunicaciones electrónicas no siempre serán el ordenador o internet, en este caso la sede electrónica, sino otras vías, SMS, televisión digital terrestre y también comunicaciones por voz o telefonía tradicional.

En su virtud, previo informe del Consejo Superior de Administración Electrónica, dispongo:

Primero.– Aprobación de sistemas de identificación y autenticación distintos de la firma electrónica avanzada para relacionarse electrónicamente con la Agencia Tributaria.

1. Los ciudadanos podrán utilizar para relacionarse electrónicamente con la Agencia Tributaria a través de los canales que se encuentren disponibles en cada momento sistemas de identificación y autenticación electrónica distintos de la firma electrónica avanzada de los mencionados en el artículo 13.2.c) de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, y normativa de desarrollo, tales como la utilización de claves concertadas en un registro previo como usuario, aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos establecidos en la presente Resolución.

En particular, los ciudadanos podrán utilizar los sistemas mencionados en la presente Resolución para aportar, consultar, confirmar o modificar información, propuestas o borradores remitidos o puestos a disposición por la Agencia Tributaria, en los términos y condiciones que, en su caso, se puedan establecer en la normativa específicamente aplicable al trámite concreto o procedimiento.

2. En virtud del principio de proporcionalidad recogido en el artículo 4 de la Ley 11/2007, los sistemas de identificación y autenticación descritos en la presente Resolución ofrecerán las garantías y medidas de seguridad adecuadas a la naturaleza y circunstancias de los trámites y actuaciones para los que se autorice la utilización de aquellos.

3. Se aprueba la utilización por los ciudadanos de los siguientes sistemas de identificación y autenticación electrónica distintos de la firma electrónica avanzada, cuya descripción y garantías específicas de funcionamiento se contienen en los anexos I, II y III de la presente Resolución:

a) Sistema de firma con clave o número de referencia.

b) Sistema de firma con información conocida por ambas partes.

c) Sistema de firma con clave de acceso en un registro previo como usuario.

4. La Agencia Tributaria podrá habilitar la utilización de sistemas combinados a partir de los mencionados en el apartado anterior, manteniendo las mismas garantías de funcionamiento establecidas para dichos sistemas.

5. La Agencia garantizará el funcionamiento de los sistemas de firma regulados en la presente Resolución conforme a los criterios de seguridad, integridad, confidencialidad, autenticidad y no repudio previstos en la Ley 11/2007 y su normativa de desarrollo.

6. No se admitirán los sistemas de identificación y autenticación descritos en la presente Resolución para acceder a una consulta general del estado de tramitación de todos sus procedimientos por parte de los interesados.

Segundo.– Órgano responsable de la aplicación de los sistemas de identificación y autenticación electrónica distintos de la firma electrónica avanzada.

De acuerdo con la normativa vigente, corresponde al Departamento de Informática de la Agencia la gestión y las garantías del funcionamiento y de seguridad de los sistemas de firma electrónica distintos de la firma electrónica avanzada de los que la Agencia Tributaria es órgano responsable.

Disposición adicional primera.- Comunicación telefónica.

Los sistemas de firma descritos en la presente Resolución y sus garantías podrán ser utilizados en las relaciones de la Agencia Tributaria con los ciudadanos utilizando la vía telefónica tradicional o de voz.

Disposición adicional segunda.- Tratamiento de datos personales.

Los datos personales cuyo tratamiento resulte de la utilización de los sistemas de identificación y autenticación electrónica distintos de la firma electrónica avanzada cumplirán y se ajustarán a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal.

El uso por los ciudadanos de los sistemas de firma electrónica regulados en la presente norma implicará que la Agencia Tributaria pueda tratar los datos personales consignados a los efectos de la verificación de la firma.

Disposición adicional tercera.- Interoperabilidad.

La Agencia Tributaria garantizará la interoperabilidad con las Administraciones Públicas, de conformidad con el Esquema Nacional de Interoperabilidad, en la remisión de documentos electrónicos presentados por los ciudadanos utilizando alguno de los sistemas de firma contemplados en la presente Resolución.

Disposición final única.- Entrada en vigor y publicación en sede electrónica.

Esta Resolución entrará en vigor el día siguiente al de su publicación en el “Boletín Oficial del Estado”. Asimismo, será objeto de publicación en la sede electrónica de la Agencia Estatal de Administración Tributaria, donde se detallarán las actuaciones en las que son admisibles estos medios de identificación y autenticación y las garantías asociadas a los mismos.

Madrid, 17 de noviembre de 2011.–El Presidente de la Agencia Estatal de Administración Tributaria, Juan Manuel López Carbajo.

ANEXO I.- SISTEMA DE FIRMA CON CLAVE O NÚMERO DE REFERENCIA

I.- Descripción del sistema

El ciudadano recibe, previa solicitud a la Agencia Tributaria, o de oficio, una clave o número de referencia, que permitirá la realización por vía electrónica de los trámites o actuaciones que se determinen. Las solicitudes recibidas serán objeto de verificación en cuanto a la identidad del solicitante y la posibilidad de uso de este sistema.

La clave o número de referencia se genera de forma automática en un entorno seguro, asociado de manera exclusiva a los trámites o actuaciones para los que se habilita y a los ciudadanos afectados en cada caso. Para su creación se utilizará un algoritmo que relacione una serie de datos conocidos y únicos para un ciudadano determinado y un concreto trámite o actuación, pudiendo ser almacenado en el sistema de información de la Agencia Tributaria.

Dicha clave o número de referencia constará de un número fijo y determinado de caracteres numéricos y/o alfanuméricos, función del algoritmo y datos seleccionados para la formación del mismo.

La comunicación al interesado de la clave o número de referencia se realizará a través de un canal seguro, ya sea por vía electrónica, postal, presencial o telefónica. En dicha comunicación se informará asimismo al ciudadano de sus posibilidades y/o límites de utilización, en relación con los trámites o actuaciones para los que ha sido habilitado dicho número o clave.

Mediante la utilización de la clave o número indicado, el ciudadano podrá acceder electrónicamente, a través de los canales que se encuentren disponibles en cada momento, a los trámites y actuaciones determinados para los que se haya habilitado este sistema.

Adicionalmente, la Agencia Tributaria podrá solicitar al ciudadano la aportación de otros datos referidos al mismo, distintos del número o clave antes indicados, y conocidos por él y la Agencia Tributaria.

El ciudadano podrá solicitar en las oficinas de la Agencia o en su caso a través de la sede electrónica, debidamente identificado, la inhabilitación de la clave o número de referencia remitido, lo que supondrá, a partir del momento en que dicha inhabilitación tenga lugar, la imposibilidad de realizar con dicha clave o número los trámites o actuaciones antes mencionados.

La validez del sistema podrá estar limitada temporalmente en función de los plazos asociados a los trámites o actuaciones para los que se haya determinado su utilización.

La utilización del sistema descrito por parte del ciudadano implicará el consentimiento para su uso como sistema de firma electrónica.

Cuando la actuación realizada por el ciudadano implique la presentación de documentos electrónicos utilizando alguno de los sistemas de firma contemplados en la presente Resolución, la Agencia Tributaria generará automáticamente un acuse de recibo o recibo de presentación, en los términos señalados en la Resolución de 28 de diciembre de 2009, de la Presidencia de la Agencia Estatal de Administración Tributaria, por la que se crea la sede electrónica y se regulan los registros electrónicos de la Agencia Estatal de Administración Tributaria.

II.- Garantías de funcionamiento

Conforme a los principios de seguridad y proporcionalidad, el sistema descrito en el apartado anterior garantiza adecuadamente su funcionamiento con arreglo a criterios de integridad, confidencialidad, autenticidad y no repudio previstos en la Ley 11/2007 y normativa de desarrollo.

La clave o número de referencia se genera en un entorno seguro, de forma automática y sin intervenciones manuales.

La confidencialidad, autenticidad y no repudio se garantizan mediante el conocimiento exclusivo por parte del ciudadano y de la Agencia Tributaria, de la clave o número de referencia y, en su caso, del resto de información requerida. El conocimiento exclusivo de la clave o número de referencia por parte del ciudadano se garantiza mediante la comunicación del mismo a través de un canal seguro, ya sea por vía electrónica, postal, presencial o telefónica.

Cuando la actuación realizada por el ciudadano implique la presentación de documentos electrónicos utilizando alguno de los sistemas de firma contemplados en la presente Resolución, se garantizará la integridad de la información presentada mediante su incorporación inmediata al sistema de información de la Agencia Tributaria, y en particular, al Catálogo de documentos electrónicos, de conformidad con lo dispuesto en la Resolución de 4 de febrero de 2011, de la Presidencia de la Agencia Tributaria, sobre uso de código seguro de verificación. La integridad y conservación de los documentos electrónicos almacenados en el Catálogo y de sus metadatos asociados obligatorios quedará garantizada a través de las medidas técnicas que aseguren su inalterabilidad. El acuse de recibo emitido por la Agencia Tributaria y firmado con su propio código seguro de verificación o CSV será el documento con valor probatorio de la presentación realizada. La integridad de los documentos electrónicos autenticados mediante CSV podrá comprobarse mediante el acceso directo y gratuito a la sede electrónica de la Agencia Tributaria, en tanto no se acuerde la destrucción de dichos documentos con arreglo a la normativa que resulte de aplicación o por decisión judicial.

La seguridad del sistema se ve reforzada por la limitación en cuanto a los trámites o actuaciones para las que puede ser utilizado, no siendo posible su uso fuera de dicho ámbito.

El sistema no permitirá el acceso o la firma electrónica mediante claves o números de referencia o datos incorrectos, no válidos o que no estén vigentes en el momento de su uso.

ANEXO II.- SISTEMA DE FIRMA CON INFORMACIÓN CONOCIDA POR AMBAS PARTES

I.- Descripción del sistema

El sistema consiste en la aportación por el ciudadano de determinados datos, conocidos solamente por él y la Agencia Tributaria, distintos de la clave o número de referencia mencionado en el Anexo I, que sean requeridos para la realización, por vía electrónica, de determinados trámites o actuaciones que no impliquen acceso o consulta de datos personales más allá de los propios del procedimiento e identificación del interesado al que va referido dicho trámite o actuación.

Mediante la aportación de los datos indicados, el ciudadano podrá acceder electrónicamente, a través de los canales que se encuentren disponibles en cada momento, a los trámites y actuaciones determinados para los que se haya habilitado este sistema.

La validez del sistema podrá estar limitada temporalmente en función de los plazos asociados a los trámites o actuaciones para los que se haya determinado su utilización.

La utilización del sistema descrito por parte del ciudadano implicará el consentimiento para su uso como sistema de firma electrónica.

Cuando la actuación realizada por el ciudadano implique la presentación de documentos electrónicos utilizando alguno de los sistemas de firma contemplados en la presente Resolución, la Agencia Tributaria generará automáticamente un acuse de recibo o recibo de presentación, en los términos señalados en la Resolución de 28 de diciembre de 2009, de la Presidencia de la Agencia Estatal de Administración Tributaria, por la que se crea la sede electrónica y se regulan los registros electrónicos de la Agencia Estatal de Administración Tributaria.

II.- Garantías de funcionamiento

Conforme a los principios de seguridad y proporcionalidad, el sistema descrito en el apartado anterior garantiza adecuadamente su funcionamiento con arreglo a criterios de integridad, confidencialidad, autenticidad y no repudio previstos en la Ley 11/2007 y normativa de desarrollo.

La confidencialidad, autenticidad y no repudio se garantizan mediante el conocimiento exclusivo por parte del ciudadano, así como de la Agencia Tributaria, de los datos requeridos.

Cuando la actuación realizada por el ciudadano implique la presentación de documentos electrónicos utilizando alguno de los sistemas de firma contemplados en la presente Resolución, se garantizará la integridad de la información presentada mediante su incorporación inmediata al sistema de información de la Agencia Tributaria, y en particular, al Catálogo de documentos electrónicos, de conformidad con lo dispuesto en la Resolución de 4 de febrero de 2011, de la Presidencia de la Agencia Tributaria, sobre uso de código seguro de verificación. La integridad y conservación de los documentos electrónicos almacenados en el Catálogo y de sus metadatos asociados obligatorios quedará garantizada a través de las medidas técnicas que aseguren su inalterabilidad. El acuse de recibo emitido por la Agencia Tributaria y firmado con su propio código seguro de verificación o CSV será el documento con valor probatorio de la presentación realizada. La integridad de los documentos electrónicos autenticados mediante CSV podrá comprobarse mediante el acceso directo y gratuito a la sede electrónica de la Agencia Tributaria, en tanto no se acuerde la destrucción de dichos documentos con arreglo a la normativa que resulte de aplicación o por decisión judicial.

La seguridad del sistema se ve reforzada por la limitación en cuanto a los trámites o actuaciones para las que puede ser utilizado, no siendo posible su uso fuera de dicho ámbito, ni permitiéndose el acceso o consulta de datos personales más allá de los propios del procedimiento e identificación del interesado al que va referido dicho trámite o actuación.

El sistema no permitirá el acceso o la firma electrónica mediante datos incorrectos, no válidos o que no estén vigentes en el momento de su uso.

ANEXO III.- SISTEMA DE FIRMA CON CLAVE DE ACCESO EN UN REGISTRO PREVIO COMO USUARIO

I.- Descripción del sistema

El sistema se basa en la inscripción por el ciudadano en un registro de usuarios, para lo cual cumplimentará un formulario facilitado al efecto por la Agencia Tributaria. Una vez inscrito, la Agencia proporcionará al ciudadano un código y una clave de acceso. El usuario podrá en todo momento gestionar dicha clave.

A través del código y la clave de acceso, el ciudadano podrá acceder electrónicamente, a través de los canales que se encuentren disponibles en cada momento, a los trámites y actuaciones determinados para los que se haya habilitado este sistema, que no podrá implicar acceso o consulta de datos personales más allá de los propios del procedimiento e identificación del interesado al que va referido dicho trámite o actuación.

La validez del sistema podrá estar limitada temporalmente en función de los plazos asociados a los trámites o actuaciones para los que se haya determinado su utilización.

La utilización del sistema descrito por parte del ciudadano implicará el consentimiento para su uso como sistema de firma electrónica.

Cuando la actuación realizada por el ciudadano implique la presentación de documentos electrónicos utilizando alguno de los sistemas de firma contemplados en la presente Resolución, la Agencia Tributaria generará automáticamente un acuse de recibo o recibo de presentación, en los términos señalados en la Resolución de 28 de diciembre de 2009, de la Presidencia de la Agencia Estatal de Administración Tributaria, por la que se crea la sede electrónica y se regulan los registros electrónicos de la Agencia Estatal de Administración Tributaria.

II.- Garantías de funcionamiento

Conforme a los principios de seguridad y proporcionalidad, el sistema descrito en el apartado anterior garantiza adecuadamente su funcionamiento con arreglo a criterios de integridad, confidencialidad, autenticidad y no repudio previstos en la Ley 11/2007 y normativa de desarrollo.

La confidencialidad, autenticidad y no repudio se garantizan mediante el conocimiento exclusivo por parte del ciudadano y la Agencia Tributaria del código y la clave de acceso a dicho registro, y en su caso, de los datos proporcionados por el ciudadano en el formulario de inscripción en el registro.

Cuando la actuación realizada por el ciudadano implique la presentación de documentos electrónicos utilizando alguno de los sistemas de firma contemplados en la presente Resolución, se garantizará la integridad de la información presentada mediante su incorporación inmediata al sistema de información de la Agencia Tributaria, y en particular, al Catálogo de documentos electrónicos, de conformidad con lo dispuesto en la Resolución de 4 de febrero de 2011, de la Presidencia de la Agencia Tributaria, sobre uso de código seguro de verificación. La integridad y conservación de los documentos electrónicos almacenados en el Catálogo y de sus metadatos asociados obligatorios quedará garantizada a través de las medidas técnicas que aseguren su inalterabilidad. El acuse de recibo emitido por la Agencia Tributaria y firmado con su propio código seguro de verificación o CSV será el documento con valor probatorio de la presentación realizada. La integridad de los documentos electrónicos autenticados mediante CSV podrá comprobarse mediante el acceso directo y gratuito a la sede electrónica de la Agencia Tributaria, en tanto no se acuerde la destrucción de dichos documentos con arreglo a la normativa que resulte de aplicación o por decisión judicial.

La seguridad del sistema se ve reforzada por la limitación en cuanto a los trámites o actuaciones para las que puede ser utilizado, no siendo posible su uso fuera de dicho ámbito, ni permitiéndose el acceso o consulta de datos personales más allá de los propios del procedimiento e identificación del interesado al que va referido dicho trámite o actuación.

El sistema no permitirá el acceso o la firma electrónica mediante datos, códigos o claves de acceso incorrectas, no válidas o que no estén vigentes en el momento de su uso. 

COM/2007/0228 final. Comunicación de la Comisión al Parlamento Europeo y al Consejo de 2 de mayo de 2007, sobre el fomento de la protección de datos mediante las tecnologías de protección del derecho a la intimidad (PET).

1. Introducción

El intenso y continuo desarrollo de las tecnologías de la información y la comunicación (TIC) ofrece constantemente servicios nuevos que facilitan la vida de los ciudadanos. En gran medida, la materia prima de las interacciones en el ciberespacio son los datos de carácter personal de quienes circulan en él para comprar bienes o servicios, establecer o mantener contactos con otras personas, o difundir sus ideas en la World Wide Web. Sin embargo, paralelamente a las ventajas que suponen estos progresos, también surgen riesgos nuevos para los usuarios, como la usurpación de identidad, la elaboración de perfiles discriminatorios, la vigilancia permanente o el fraude.

En el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea se reconoce el derecho a la protección de los datos de carácter personal. Ese derecho fundamental está contemplado en un marco jurídico europeo en materia de protección de los datos personales, en concreto, la Directiva 95/46/CE relativa a la protección de datos (1), la Directiva 2002/58/CE sobre la privacidad (2) y el Reglamento (CE) nº 45/2001 relativo a la protección de datos en el tratamiento por las instituciones y los organismos comunitarios (3). Esta normativa impone obligaciones a los responsables del tratamiento de datos y reconoce determinados derechos de las personas a quienes se refieren los datos. Asimismo, establece sanciones y medidas correctivas adecuadas en caso de infracción y contempla mecanismos de aplicación para garantizar su cumplimiento.

Sin embargo, este régimen puede resultar insuficiente cuando los datos personales se difunden por todo el mundo a través de las redes de TIC y en su tratamiento intervienen varias jurisdicciones, a menudo fuera de la UE. En esas situaciones, cabe considerar que las normas actuales son de aplicación y proporcionan una respuesta jurídica clara. Además, es posible identificar una autoridad competente que vele por su cumplimiento. No obstante, pueden presentarse obstáculos prácticos importantes derivados de la tecnología empleada, en la cual son varias las entidades que tratan los datos personales en distintos lugares, y de la aplicación de las resoluciones administrativas y judiciales nacionales en otras jurisdicciones, especialmente en países que no pertenecen a la UE.

Si bien, en sentido estricto, la responsabilidad jurídica del cumplimiento de las normas de protección de datos personales recae en los responsables de su tratamiento, desde el punto de vista social y ético también recae en parte, por ejemplo, en quienes elaboran las especificaciones técnicas y quienes realmente desarrollan o ejecutan programas o sistemas operativos.

El artículo 17 de la Directiva relativa a la protección de datos personales establece la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas y de garantizar un nivel de seguridad apropiado según el carácter de los datos y los riesgos que presente su tratamiento. La Directiva 2002/58/EC sobre la privacidad y las comunicaciones electrónicas ya contempla en cierta medida (4) la utilización de tecnología para favorecer el cumplimiento de la legislación, en particular las normas de protección de datos.

Las denominadas tecnologías de protección de la intimidad (PET) también podrían contribuir al objetivo del marco jurídico, que consiste en minimizar el tratamiento de datos personales y emplear datos anónimos o seudónimos cuando sea posible. En efecto, gracias a dichas tecnologías, las infracciones de las normas de protección de datos y la vulneración de los derechos del ciudadano, además de estar prohibidas y sujetas a sanciones, resultarían más difíciles desde el punto de vista técnico.

La presente Comunicación, que obedece al Primer informe sobre la aplicación de la Directiva sobre protección de datos (5), tiene por objeto exponer las ventajas de las PET, establecer los objetivos de la Comisión en ese ámbito para fomentar dichas tecnologías y definir medidas claras para conseguirlo favoreciendo el desarrollo de las PET y su utilización por parte de los responsables del tratamiento de datos y los consumidores.

2. Qué son las PET

En la comunidad académica y en los proyectos piloto en este ámbito se manejan varias definiciones. Por ejemplo, en el proyecto PISA, que financia la UE, se entiende por PET un sistema coherente de medidas de TIC que protege el derecho a la intimidad suprimiendo o reduciendo los datos personales o evitando el tratamiento innecesario o indeseado de datos personales, sin menoscabo de la funcionalidad del sistema de información. La aplicación de PET puede ayudar a diseñar sistemas y servicios de información y comunicación que reduzcan al mínimo la recogida y el empleo de datos personales y faciliten el cumplimiento de la normativa sobre protección de datos. En su Primer informe sobre la aplicación de la Directiva sobre protección de datos, la Comisión considera que “la aplicación de medidas tecnológicas adecuadas constituye un complemento fundamental de los medios jurídicos y debe constituir una parte de cualquier esfuerzo destinado a obtener un grado suficiente de protección de la intimidad”. La utilización de PET debería dificultar o ayudar a detectar el incumplimiento de determinadas normas de protección de datos.

En el dinámico contexto de las TIC, la eficacia en términos de protección de la intimidad, incluido el cumplimiento de la legislación sobre protección de datos, varía de una PET a otra y cambia con el tiempo. También la tipología de las PET es variada. Puede tratarse de una herramienta independiente, que el consumidor ha de comprar e instalar en su ordenador, o incorporada en la propia arquitectura de los sistemas de información. A continuación se mencionan varios ejemplos de PET:

· La anonimización automática de los datos tras un lapso de tiempo determinado obedece al principio de que los datos tratados deben guardarse en una forma que permita identificar al interesado únicamente durante el tiempo necesario para los fines iniciales para los cuales se facilitan los datos.

· Los instrumentos de cifrado que impiden el pirateo de la información transmitida por Internet responden a la obligación del responsable del tratamiento de datos de adoptar medidas adecuadas para proteger los datos personales frente al tratamiento ilícito.

· Los anuladores de cookies, que bloquean las cookies introducidas en un ordenador para que lleve a cabo determinadas instrucciones sin que el usuario tenga conocimiento de ello, responden al principio de que los datos deben tratarse de forma lícita y transparente y que ha de informarse al interesado del tratamiento que se realice.

· La Plataforma de Preferencias de Privacidad (P3P), que permite a los usuarios de Internet analizar la política de los sitios web por lo que se refiere a la intimidad y compararla con las preferencias del usuario en relación con la información que desee facilitar, contribuye a garantizar que el interesado autoriza el tratamiento de sus datos con conocimiento de causa.

3. La Comisión apoya las PET

La Comisión aboga por el desarrollo y mayor utilización de las PET, en particular cuando se traten datos personales en las redes de TIC. La Comisión considera que la difusión del uso de las PET incrementará la protección de la intimidad y ayudará a cumplir las normas de protección de datos. Dicho uso complementaría el marco jurídico y los mecanismos de aplicación vigentes.

En su Comunicación “Una estrategia para una sociedad de la información segura” (COM (2006) 251, de 31 de mayo de 2006), la Comisión invitaba sobre todo al sector privado a “estimular el despliegue de productos, procesos y servicios que favorezcan la seguridad a fin de evitar y combatir la sustracción de la identidad y otros ataques contra la privacidad”. Además, en el Plan de Trabajo de la Comisión relativo al marco paneuropeo de eIDM para 2010 (6), uno de los principios esenciales que rigen la gestión de la identidad electrónica es “que el sistema sea seguro, conste de las salvaguardias necesarias para proteger la intimidad del usuario y pueda adaptarse en función del interés y las sensibilidades locales”.

La intervención de varios actores y varias jurisdicciones nacionales en el tratamiento de los datos podrían dificultar la aplicación del marco jurídico. Por otra parte, las PET permitirían evitar determinadas infracciones a las normas de protección de datos personales ?que se traducen en vulneraciones de derechos fundamentales como el derecho a la intimidad?, pues dificultarían la realización técnica de tales operaciones. La Comisión es consciente de que la tecnología, pese a desempeñar un papel crucial en la protección de la intimidad, no basta por sí sola para garantizar la intimidad. Las PET han de aplicarse con arreglo a un marco regulador de normas ejecutivas de protección de datos que proporcionen grados variables de protección de la intimidad de las personas. La utilización de PET no exime a los operadores del cumplimiento de algunas de sus obligaciones legales (por ejemplo, permitir que los usuarios tengan acceso a sus datos).

Las PET también podrían favorecer la protección de intereses públicos importantes. Con arreglo al marco jurídico de la protección de datos personales, la aplicación de los principios generales y el respeto de los derechos de los ciudadanos pueden limitarse para preservar intereses públicos importantes, como la seguridad pública, la lucha contra la delincuencia o la salud pública. Las condiciones de tales restricciones están recogidas en el artículo 13 de la Directiva relativa a la protección de datos personales y en el artículo 15 de la Directiva sobre privacidad en las comunicaciones electrónicas. Estas condiciones son, en esencia, análogas a las contempladas en el artículo 8 del Convenio Europeo de Derechos Humanos (CEDH), es decir, que una injerencia de ese tipo ha de estar prevista por la ley, ser proporcionada y constituir una medida que, en una sociedad democrática, sea necesaria para un fin público legítimo (7). El uso de PET no debe impedir que los organismos responsables del cumplimiento de la ley y otras autoridades competentes ejerzan sus funciones de forma legítima en defensa de un interés público importante, como la lucha contra la ciberdelincuencia o el terrorismo o la prevención de la propagación de enfermedades contagiosas. Las autoridades responsables han de poder acceder a los datos personales cuando sea necesario para esos fines, respetando los procedimientos, condiciones y salvaguardias contemplados en la ley.

El mayor cumplimiento de las normas de protección de datos también aumentaría la confianza de los consumidores, en particular en el ciberespacio. Son muchos los servicios prometedores que presentan un valor añadido y se basan en la transferencia de datos personales en las redes de TI (como los empleados en el aprendizaje electrónico, la administración electrónica, los servicios bancarios electrónicos y el comercio electrónicos, la salud en línea o los “vehículos inteligentes”) que indudablemente se verían favorecidos. Los usuarios tendrían la certeza de que los datos que facilitan para identificarse, recibir servicios o efectuar pagos sólo se emplean para fines legítimos, y de que pueden utilizar los medios informáticos sin tener que sacrificar sus derechos.

4. Labor anterior y futura

La Comisión se propone llevar a cabo las siguientes actividades con la participación de muy diversos actores, entre los que figuran sus propios servicios, las autoridades nacionales, el sector empresarial y los consumidores, con objeto de aumentar la defensa de la intimidad e intensificar la protección de datos en la Comunidad, entre otras cosas fomentando el desarrollo y el uso de PET.

En estos foros se prestará atención a la situación particular de las pequeñas y medianas empresas (PYMEs) y a las posibilidades o incentivos para que empleen PET. Entre otros problemas, la Comisión debería abordar la confianza y la sensibilización, aspectos especialmente importantes en el caso de las PYMEs.

4.1. Primer objetivo: respaldar el desarrollo de las PET

Antes de generalizar el uso de PET es necesario perfeccionar su diseño, desarrollo y elaboración. Si bien es cierto que los sectores público y privado ya llevan a cabo esta labor en cierta medida, la Comisión considera que debe incidirse en este sentido, para lo cual es preciso determinar la necesidad de PET y sus requisitos tecnológicos, y desarrollar las herramientas pertinentes mediante actividades de IDT.

4.1.1. Acción 1.1: Determinación de la necesidad de PET y de los requisitos tecnológicos

Las PET dependen en gran medida de la evolución de las TIC. Una vez detectados los peligros que plantean los progresos tecnológicos, procede identificar los requisitos que ha de cumplir una solución técnica.

La Comisión alentará los encuentros y el debate acerca de las PET entre diversos grupos de actores interesados, en particular, representantes del sector de las TIC, diseñadores de PET, autoridades de protección de datos, órganos responsables de la aplicación de la legislación, entidades especializadas en tecnología, incluidos los especialistas en ámbitos pertinentes como la salud en línea o la seguridad de la información, y asociaciones defensoras de los consumidores y de los derechos civiles. Dichos grupos se encargarían de seguir la evolución de la tecnología, detectar los peligros que plantea en relación con los derechos fundamentales y la protección de datos personales, y definir los requisitos técnicos para hacerles frente mediante las PET (afinar las medidas tecnológicas conforme a los distintos riesgos y datos de que se trate, tener presente la necesidad de salvaguardar intereses públicos como la seguridad pública, etc.).

4.1.2. Acción 1.2: Desarrollo de las PET

Una vez determinados la necesidad de PET y los requisitos técnicos correspondientes, es preciso adoptar medidas concretas para obtener un producto final listo para el uso.

La Comisión ya lo está haciendo: dentro del Sexto Programa Marco, patrocina el proyecto PRIME (8), que hace frente a los problemas relacionados con la gestión de la identidad electrónica y la protección de la intimidad en la sociedad de la información. El proyecto OPEN-TC (9) permitirá proteger la intimidad mediante sistemas informáticos abiertos fiables y el proyecto DISCREET (10) desarrolla middleware para proteger la intimidad en los servicios de red avanzados. En el futuro, dentro del Séptimo Programa Marco, la Comisión tiene previsto financiar otros proyectos de IDT y demostraciones piloto a gran escala para desarrollar y favorecer la incorporación de las PET. El objetivo consiste en sentar las bases de unos sistemas de protección de la intimidad que responsabilicen al usuario y superen las disparidades jurídicas y técnicas observadas en Europa mediante asociaciones entre el sector público y el privado.

La Comisión invita asimismo a las autoridades nacionales y el sector privado a invertir en el desarrollo de PET. Esas inversiones resultan fundamentales para situar a la industria europea a la cabeza de un sector destinado a crecer, pues tanto las normas tecnológicas como los consumidores más conscientes de la necesidad de proteger sus derechos en el ciberespacio exigen cada vez más dichas tecnologías.

4.2. Segundo objetivo: alentar a los responsables del tratamiento de datos a emplear las PET disponibles

Las PET no serán realmente provechosas hasta que no se incorporen efectivamente y se utilicen en los equipos técnicos y lógicos que realizan el tratamiento de los datos personales. De ahí que resulte fundamental la participación del sector industrial que fabrica dichos equipos y la de los responsables del tratamiento de datos que los emplean en el ejercicio de sus funciones.

4.2.1. Acción 2.1: Fomento del uso de PET en la industria

La Comisión considera que el mayor recurso a las PET redundaría en beneficio de todos aquéllos que intervienen en el tratamiento de datos personales. La industria de las TIC, como primera diseñadora y proveedora de PET, desempeña un papel especialmente importante en el fomento de dichas tecnologías. La Comisión invita a todos los responsables del tratamiento de datos a incorporar y emplear las PET de forma más amplia e intensa en el desarrollo de su actividad. A tal fin, la Comisión organizará seminarios con actores clave de la industria de las TIC, y en particular los diseñadores de PET, con objeto de analizar su posible contribución para fomentar el uso de PET por parte de los responsables del tratamiento de datos.

La Comisión realizará asimismo un estudio de las ventajas económicas de las PET y difundirá sus resultados para alentar a las empresas, en especial las PYME, a utilizarlas.

4.2.2. Acción 2.2: Respeto de unas normas pertinentes de protección de datos personales mediante PET

Si bien una labor de fomento a gran escala requiere la participación activa de la industria de las TIC en calidad de productora de PET, el respeto de unas normas pertinentes requiere una intervención que vaya más allá de la autorregulación o la buena voluntad de los actores implicados. La Comisión valorará mediante evaluaciones de impacto adecuadas la necesidad de desarrollar unas normas de tratamiento lícito de datos personales con PET. A la luz del resultado de dichas evaluaciones, cabrá considerar dos tipos de instrumentos:

· Acción 2.2. a) Normalización

La Comisión estudiará la necesidad de que las actividades de normalización contemplen el respeto de las normas de protección de datos personales. A la hora de preparar sus iniciativas y la labor de los organismos europeos de normalización, la Comisión se esforzará por tener en cuenta el fruto del debate sobre las PET celebrado entre las distintas partes interesadas. Ello será fundamental sobre todo si en dicho debate se definen unas normas pertinentes de protección de datos que requieran la incorporación y utilización de determinadas PET.

La Comisión podrá solicitar a los organismos europeos de normalización (CEN, CENELEC, ETSI, etc.) que evalúen las necesidades europeas específicas y las hagan llegar posteriormente al ámbito internacional aplicando los acuerdos vigentes entre organismos de normalización europeos e internacionales. En su caso, los organismos europeos de normalización deberían establecer un programa de trabajo de normalización específico que aborde las necesidades europeas y, de ese modo, complemente la labor actual a nivel internacional.

· Acción 2.2. b) Coordinación de las normas técnicas nacionales sobre medidas de seguridad en el tratamiento de datos

Las legislaciones nacionales adoptadas de conformidad con la Directiva relativa a la protección de datos personales (11) otorgan a las autoridades nacionales de protección de datos personales una cierta influencia en la determinación de requisitos técnicos precisos, como la prestación de orientación a los responsables del tratamiento de datos, el examen de los sistemas implantados o la formulación de instrucciones técnicas. Las autoridades nacionales de protección de datos personales también podrían exigir la incorporación y utilización de determinadas PET cuando el tratamiento de datos personales en cuestión lo requiera. En opinión de la Comisión, se trata de un ámbito en el cual la coordinación de las prácticas nacionales podría fomentar el uso de PET. En particular, el Grupo de Trabajo del artículo 29 (12), que persigue la aplicación uniforme de las medidas nacionales adoptadas conforme a la Directiva, podría contribuir a ello. Así pues, la Comisión invita a dicho Grupo de Trabajo a que prosiga su labor en ese ámbito incluyendo en su programa una actividad permanente de análisis de las necesidades relativas a la incorporación de PET en las operaciones de tratamiento de datos como medio eficaz para garantizar el respeto de las normas de protección de datos. Esa labor debería plasmarse en unas directrices que las autoridades de protección de datos personales aplicarían a nivel nacional gracias a la adopción coordinada de los instrumentos pertinentes.

4.2.3. Acción 2.3: Fomento del uso de PET por parte de las administraciones públicas

En el ejercicio de sus competencias nacionales y comunitarias, las administraciones públicas llevan a cabo un importante número de operaciones en las que se tratan datos personales. Dado que los organismos públicos están obligados tanto a respetar los derechos fundamentales, que incluyen la protección de los datos personales, como a velar por que otras partes los respeten, deberían dar un claro ejemplo.

Por lo que se refiere a las autoridades nacionales, la Comisión observa la proliferación de programas de administración electrónica como medio para incrementar la eficacia de la administración pública. Tal como se menciona en la Comunicación de la Comisión sobre el papel de la administración electrónica en el futuro de Europa (13), la administración electrónica debe emplear PET con objeto de generar la confianza necesaria para funcionar de forma satisfactoria. La Comisión invita a los Gobiernos a que garanticen la protección de datos en los programas de administración electrónica, entre otras cosas recurriendo en la mayor medida posible a las PET en el diseño y aplicación de los mismos.

En cuanto a las instituciones y organismos comunitarios, la propia Comisión velará por que cumplan los requisitos establecidos en el Reglamento (CE) nº 45/2001, en particular incrementando el recurso a las PET en los programas que emplean TIC e implican un tratamiento de datos personales. La Comisión invita asimismo a las demás instituciones de la UE a hacer lo propio. El Supervisor Europeo de Protección de Datos podría contribuir asesorando a las instituciones y organismos comunitarios en la elaboración de normas internas relativas al tratamiento de datos personales. A la hora de implantar nuevos programas de TIC para su propio uso o de desarrollar los que ya emplee, la Comisión considerará la posibilidad de introducir tecnologías de protección de la intimidad. La importancia de las PET quedará reflejada en la estrategia global de gobernanza de las TI de la Comisión. La Institución seguirá concienciando a su propio personal. Sin embargo, la utilización de PET en los programas de la Comisión que emplean TIC depende de la disponibilidad de tales productos y habrá de valorarse caso por caso, conforme al ciclo de desarrollo de los programas.

4.3. Tercer objetivo: alentar a los consumidores para que utilicen PET

Los consumidores seguirán siendo los más interesados en tener la seguridad de que la información personal se emplea debidamente, en que las normas de protección de datos personales se apliquen correctamente y en que las PET constituyan un medio eficaz para ello.

Así pues, los consumidores deberían tener pleno conocimiento de las ventajas que puede suponer el uso de PET a la hora de reducir los riesgos que entrañan las operaciones en las que se tratan sus datos personales. Deberían asimismo estar en condiciones de elegir con conocimiento de causa en el momento de adquirir equipos y programas de TI o de utilizar servicios electrónicos. Quedaría así patente su concienciación acerca de los riesgos en juego, en particular por saber si las PET ofrecen una protección apropiada. Por consiguiente, debe proporcionarse al usuario información sencilla y comprensible sobre las posibles herramientas tecnológicas para proteger su derecho a la intimidad. La utilización creciente de PET y el mayor uso de servicios electrónicos que incorporen PET generarán una compensación económica para las empresas que las empleen y podrán dar lugar a un efecto de bola de nieve que alentará a otras empresas a prestar mayor atención al cumplimiento de las normas de protección de datos personales. Para ello, deberían llevarse a cabo diversas iniciativas.

4.3.1. Acción 3.1: Sensibilización de los consumidores

Debería adoptarse una estrategia coherente de sensibilización de los consumidores acerca de los riesgos que entraña el tratamiento de sus datos y de las soluciones que las PET pueden aportar como complemento de los sistemas actuales contemplados en la legislación sobre protección de datos personales. La Comisión tiene previsto llevar a cabo una serie de actividades de sensibilización a escala comunitaria sobre las PET.

La responsabilidad principal de la realización de esta labor compete a las autoridades nacionales de protección de datos personales, que ya disponen de la experiencia oportuna en este ámbito. La Comisión invita a dichas autoridades a intensificar las actividades de sensibilización e incluir información sobre las PET por todos los medios a su alcance. Por otra parte, la Comisión insta al Grupo de Trabajo del artículo 29 a coordinar las prácticas nacionales en un plan de trabajo coherente de sensibilización acerca de las PET y a servir de foro para el intercambio de las buenas prácticas en uso a escala nacional. En particular, cabría asociar a esta labor educativa a las asociaciones de consumidores y otras entidades, como la Red de Centros Europeos del Consumidor (Red CEC) por el papel que desempeña a escala comunitaria en el asesoramiento de los ciudadanos sobre sus derechos como consumidores.

4.3.2. Acción 3.2: Facilitación de la elección de los consumidores con conocimiento de causa (distintivos de protección de la intimidad)

Podría favorecerse la integración y utilización de PET si la presencia de dichas tecnologías en un determinado producto y sus características esenciales fueran fácilmente reconocibles. A tal efecto, la Comisión tiene previsto estudiar la viabilidad de un sistema europeo de distintivos de protección de la intimidad, que incluiría asimismo un análisis de las repercusiones económicas y sociales. Gracias a dichos distintivos, los consumidores podrían reconocer fácilmente los productos que cumplen o favorecen el cumplimiento de las normas de protección de datos en el tratamiento de éstos, en concreto mediante la aplicación de PET apropiadas.

La Comisión considera que, para que los distintivos cumplieran su objetivo, habrían de respetarse los principios siguientes:

– El número de sistemas de distintivos debería reducirse al mínimo, pues la proliferación de distintivos podría crear mayor confusión al consumidor y mermar su confianza en todos los distintivos; de ahí la pertinencia de valorar si sería preciso integrar ?y en qué medida? un distintivo europeo de protección de la intimidad en un sistema más general de certificación de seguridad (14).

– Los distintivos deberían concederse únicamente a los productos que cumplan una serie de reglas que corresponden a las normas de protección de datos. Las reglas deberían ser tan uniformes como fuera posible en toda la UE.

– Las autoridades públicas, en particular las autoridades nacionales responsables de la protección de datos personales, deberían desempeñar un papel importante en el sistema participando en la definición de reglas y procedimientos pertinentes, y en la supervisión del funcionamiento del mismo.

Teniendo presente lo anterior y a la luz de la experiencia previa en programas de distintivos en otros ámbitos (medio ambiente, agricultura, certificación de seguridad para productos y servicios, etc.), la Comisión mantendrá un diálogo con todas las partes afectadas, incluidas las autoridades nacionales responsables de la protección de datos personales, las asociaciones empresariales y de consumidores y los organismos de normalización.

—————————————————————————————————

(1) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).

(2) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(3) Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, págs. 1 a 22).

(4) Considerando 46 y artículo 14, apartado 3, de la Directiva 2002/58/CE.

(5) COM (2003) 265 final, de 15.5.2003 (véase el sitio: http://eur-lex.europa.eu/LexUriServ/site/es/com/2003/com2003_0265es01.pdf).

(6) http://ec.europa.eu/information_society/activities/egovernment_research/doc/eidm_roadmap_paper.pdf

(7) Sentencia del Tribunal de Justicia de las Comunidades Europeas de 20 de mayo de 2003 en los asuntos acumulados C-465/00, C-138/01 y C-139/01, “Österreichischer Rundfunk y otros” (Rechnungshof), Rec. (2003) I-04989, apartados 71 y 72.

(8) https://www.prime-project.eu/

(9) http://www.opentc.net/

(10) http://www.ist-discreet.org/

(11) Por ejemplo, con el artículo 17.

(12) Grupo de Trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, creado en virtud del artículo 29 de la Directiva 95/46/CE.

(13) COM (2003) 567 final, de 26.9.2003.

(14) En su Comunicación de 31 de mayo de 2006, titulada Una estrategia para una sociedad de la información segura – “Diálogo, asociación y potenciación” (COM (251) final), la Comisión invita al sector privado a “Trabajar en favor de unos regímenes de certificación de la seguridad aplicables a productos, procesos y servicios que sean asequibles y respondan a las necesidades específicas de la UE (en particular, en relación con la privacidad)”.

Personal Data Act 1998:204, 29 april 1998

Personal Data Act (1998:204); issued 29 April 1998.

Be it enacted as follows.

General provisions

Purpose of this Act

Section 1

The purpose of this Act is to protect people against the violation of their personal integrity by processing of personal data.

Deviating provisions in another enactment

Section 2

If another statute or other enactment contains provisions that deviate from this Act, those provisions shall apply.

Definitions

Section 3

In this Act the following terms are used with the meaning stated below.

Term———————————————————– Meaning

Processing (of personal data) –———-Any operation or set of operations which is taken ————————————————-as regards personal data, whether or not it occurs ————————————————-by automatic means, for example collection, ——————————————————-recording, organisation, storage, adaptation or —————————————————–alteration, retrieval, gathering, use, disclosure by —————————————————transmission, dissemination or otherwise making —————————————————information available, alignment or combination, —————————————————blocking, erasure or destruction.

Blocking (of personal data)–———– An operation that is taken in order that personal —————————————————data shall be linked with information that they ——————————————————are restricted and about the reasons for the ——————————————————–restriction and in order that personal data should ————————————————–not be provided to a third party except under the ————————————————–provisions of Chapter 2 of the Freedom of the —————————————————–Press Act.

Recipient-—————————— A person to whom personal data is provided.
——————————————However, when personal data is provided in order
——————————————that an authority should be able to perform such
——————————————supervision, control or audit that it is under a duty ————————————————-to attend to, the authority shall not be regarded as a
——————————————recipient.

Personal data————————– All kinds of information that directly or indirectly
——————————————may be referable to a natural person who is alive.

Controller of personal—————– A person who alone or together with others decides
—————————————–data the purpose and means of processing personal ———————————————–data.

Personal data assistant————— A person who processes personal data on behalf of ———————————————–the controller of personal data.

Personal data representative——– A natural person, appointed by the controller of
—————————————-personal data, who shall independently assure that
—————————————-the personal data is processed in a correct and —————————————————–lawful manner.

The registered person-————— A person to whom the personal data relates.

Consent—–————————–Every kind of voluntary, specific and unambiguous
—————————————expression of will by which the registered person,
—————————————after having received information, accepts ———————————————————-processing of personal data concerning him or her.

Supervisory authority-————– The authority appointed by the Government to
—————————————perform supervision.

Third country–———————- A state that is not included in the European Union or
—————————————part of the European Economic Area.

Third party—-———————- A person other than the registered person, the
————————————–controller of personal data, the personal data
————————————–representative, the personal data assistant and such
————————————–persons who under the direct responsibility of the
————————————–controller of personal data or the personal data
————————————–assistant is authorised to process personal data.

Scope

The territorial scope

Section 4

This Act applies to those controllers of personal data who are established in Sweden.
The Act is also applicable when the controller of personal data is established in a third country but for the processing of the personal data uses equipment that is situated in Sweden.

However, this does not apply if the equipment is only used to transfer information between a third country and another such country.

In the case referred to in the second paragraph, first sentence, the controller of personal data shall appoint a representative for himself who is established in Sweden. The provisions of this Act concerning the controller of personal data shall also apply to the representative.

Processing of personal data subject to the Act

Section 5

This Act applies to such processing of personal data as is wholly or partly automated.
The Act also applies to other processing of personal data, if the data is included in or is
intended to form part of a structured collection of personal data that is available for searching or compilation according to specific criteria.

Exemption of private processing of personal data

Section 6

This Act does not apply to such processing of personal data that a natural person performs in the course of activities of a purely private nature.

Relationship to freedom of the press and freedom of expression

Section 7

The provisions of this Act are not applied to the extent that they would contravene the
provisions concerning the freedom of the press and freedom of expression contained in the Freedom of the Press Act or the Fundamental Law on Freedom of Expression.

The provisions of Sections 9-29 and 33-44 and also Section 45, first paragraph, and Sections 47-49 shall not be applied to such processing of personal data as occurs exclusively for journalistic purposes or artistic or literary expression.

Relationship to the principle of public access to official documents

Section 8

The provisions of this Act are not applied to the extent that they would limit an authority's obligation under Chapter 2 of the Freedom of the Press Act to provide personal data.

Nor do the provisions prevent an authority from archiving or saving official documents or that archive material is taken care of by an archive authority. The provisions of Section 9, fourth paragraph, do not apply to the use by an authority of personal data in official documents.

Fundamental requirements for processing of personal data

Section 9

The controller of personal data shall ensure that

a) personal data is processed only if it is lawful,

b) personal data is always processed in a correct manner and in accordance with good
practice,

c) personal data is only collected for specific, explicitly stated and justified purposes,

d) personal data is not processed for any purpose that is incompatible with that for which the information is collected,

e) the personal data that is processed is adequate and relevant in relation to the purposes of the processing,

f) no more personal data is processed than is necessary having regard to the purposes of the processing,

g) the personal data that is processed is correct and, if it is necessary, up to date,

h) all reasonable measures are taken to correct, block or erase such personal data as is
incorrect or incomplete having regard to the purposes of the processing, and

i) personal data is not kept for a longer period than that as is necessary having regard to the purpose of the processing.

However, as regards the first paragraph, d), the processing of personal data for historical, statistic or scientific purposes shall not be regarded as incompatible with the purposes for which the information was collected.

Personal data may be kept for historical, statistic or scientific purposes for a longer time than that stated in the first paragraph i). However, personal data may not in such cases be kept for a longer period than is necessary for these purposes.

Personal data that is processed for historical, statistical or scientific purposes may be used in order to take measures as regards the person registered only if the person registered has given his/her consent or there is extraordinary reason having regard to the vital interests of the registered person.

When processing of personal data is permitted

Section 10

Personal data may be processed only if the registered person has given his/her consent to the processing or if the processing is necessary in order

a) to enable the performance of a contract with the registered person or to enable measures that the registered person has requested to be taken before a contract is entered into,

b) that the controller of personal data should be able to comply with a legal obligation,

c) that the vital interests of the registered person should be protected,

d) that a work task of public interest should be performed,

e) that the controller of personal data or a third party to whom the personal data is provided should be able to perform a work task in conjunction with the exercise of official authority, or

f) that a purpose that concerns a legitimate interest of the controller of personal data or of such a third party to whom personal data is provided should be able to be satisfied, if this interest is of greater weight than the interest of the registered person in protection against violation of personal integrity.

Direct marketing

Section 11

Personal data may not be processed for purposes concerning direct marketing, if the registered person gives notice in writing to the controller of personal data that he/she opposes such processing.

Revocation of consent

Section 12

In those cases where processing of personal data is only permitted when the registered person has provided his/her consent under Section 10, 15 or 34, the registered person is entitled to revoke at any time consent that has been given. Further personal data about the registered person may not subsequently be processed.

A registered person is not entitled, beyond that provided by the first paragraph and Section 11, to oppose such processing of personal data as is permitted under this Act.

Prohibition against processing of sensitive personal data

Section 13

It is prohibited to process personal data that reveals

a) race or ethnic origin,

b) political opinions,

c) religious or philosophical beliefs, or

d) membership of a trade union.

It is also prohibited to process such personal data as concerns health or sex life.

Information of the kind referred to in the first and second paragraphs is designated as sensitive personal data in this Act.

Exemptions from the prohibition of processing sensitive personal data

Section 14

Despite the prohibition of Section 13 it is permitted to process sensitive personal data in those cases stated in Sections 15-19.

In Section 10 there are provisions concerning the cases in which processing of personal data is not permitted in any case whatsoever.

Consent or publicising

Section 15

Sensitive personal data may be processed if the registered person has given his/her explicit consent to processing or in a clear manner publicised the information.

Necessary processing

Section 16

Sensitive personal data may be processed if the processing is necessary in order that

a) the controller of personal data should be able to comply with his/her duties or exercise his/her rights within employment law,

b) the vital interests of the registered person or some other person should be able to be
protected and the registered person cannot provide his/her consent, or

c) legal claims should be able to be established, exercised or defended.
Information that is processed on the basis of the first paragraph a) may be disclosed to a third party only if there is within employment law an obligation for the controller of personal data to do so or the registered person has explicitly consented to the provision.

Non-profit organisations

Section 17

Non-profit organisations with political, philosophical, religious or trade union objects may within the framework of their operations process sensitive personal data concerning the members of the organisation and such other persons who by reason of the objects of the organisation have regular contact with it. However, sensitive personal data may be provided to a third party only if the registered person explicitly consents to it.

Health and hospital care

Section 18

Sensitive personal data may be processed for health and hospital care purposes, provided the processing is necessary for

a) preventive medicine and health care,

b) medical diagnosis,

c) health care or treatment, or

d) management of health and hospital care services.

A person who is professionally operational within the health care sector and is subject to a duty of confidentiality may also process sensitive personal data that is subject to the duty of confidentiality. This also applies to the person who is subject to a similar duty of
confidentiality and who has received sensitive personal data from the operation within the health care sector.

Research and statistics

Section 19

Sensitive personal data may be processed for research and statistics purposes, provided the processing is necessary in the manner stated in Section 10 and provided the interest of society in the research or statistics project within which the processing is included is manifestly greater than the risk of improper violation of the personal integrity of the individual that the processing may involve.

If the processing has been approved by a research ethics committee, the prerequisites under the first paragraph shall be deemed satisfied. Research ethics committee means such special body for consideration of research ethics issues that has representatives for both the public and the research and that is linked to a university or a university college or to some other instance that to a very substantial extent funds research.

Personal data may be provided to be used in such projects referred to in the first paragraph, unless otherwise provided by the rules on secrecy and confidentiality.

Authorisation to prescribe further exemptions

Section 20

The Government or the authority appointed by the Government may issue regulations on further exemptions from the prohibition in Section 13 if it is necessary having regard to an important public interest.

Information concerning legal offences, etc.

Section 21

It is prohibited for other parties than public authorities to process personal data concerning legal offences involving crime, judgments in criminal cases, coercive penal procedural measures or administrative deprivation of liberty.

The Government or the authority appointed by the Government may issue regulations on exemptions from the prohibition in the first paragraph.

The Government may in an individual case decide on an exemption from the prohibition in the first paragraph. The Government may delegate power to the supervisory authority to make such decisions.

Processing of personal identity numbers

Section 22

Information about personal identity numbers or classification numbers may, in the absence of consent, only be dealt with when it is clearly justified having regard to

a) the purpose of the processing,

b) the importance of a secure identification, or

c) some other noteworthy reason.

Information to the registered person

Information should be provided voluntarily

Section 23

If data about a person is collected from the person him/herself, the controller of personal data shall in conjunction therewith voluntarily provide the registered person with information about the processing of the data.

Section 24

If personal data has been collected from another source than the registered person, the
controller of personal data shall voluntarily provide the registered person with information about the processing of the data when it is registered. However, if the data is intended to be disclosed to a third party, the information need not be given before the data has been disclosed for the first time.

Information under the first paragraph need not be provided if there are provisions concerning the registration or disclosure of personal data in an act or some other enactment.

Nor need information be provided in accordance with the first paragraph, if it proves to be impossible or would involve a disproportionate effort. However, if the data is used to take measures concerning the registered person, the information shall be provided at the latest in conjunction with that happening.

The information that must be provided voluntarily

Section 25

Information under Section 23 or 24 shall comprise

a) information concerning the identity of the controller of personal data,

b) information concerning the purpose of the processing, and

c) all other information necessary in order for the registered person to be able to exercise his/her rights in connection with the processing, such as information about the recipients of the information, the obligation to provide information and the right to apply for information and obtain rectification.

However, information need not be provided regarding such matters as the registered person already knows of.

Information shall be provided upon application

Section 26

The controller of personal data is liable to provide, to every natural person who requests it, free of charge notification once per annum of whether personal data concerning the applicant is processed or not. If such data is processed, written information shall also be provided about

a) which information about the applicant that is processed,

b) where this information has been collected,

c) the purpose of the processing, and

d) to which recipients or categories of recipients the information is disclosed.

An application under the first paragraph shall be made in writing to the controller of personal data and be signed by the applicant him/herself. Information under the first paragraph shall be provided within one month from when the application was made. However, if there are special reasons for so doing, the information may be provided not later than four months after when the application was made.

Information under the first paragraph does not need to be provided about personal data in running text that has not been given its final wording when the application was made or which comprises an aide memoire or the like. However, that stated here does not apply if the data has only been disclosed to a third party or if the data was only processed for historical, statistical or scientific purposes or, as regards running text that has not been given its final wording, if the data has been processed for a longer period than one year.

Exemptions from the obligation to provide information in the case of secrecy and duty of confidentiality

Section 27

To the extent that it is specifically prescribed by a statute or other enactment or by a decision that has been issued under an enactment that information may not be provided to the registered person, the provisions of Sections 23-26 do not apply. A controller of personal data who is not an authority may in that connection in a corresponding case as referred to in the Secrecy Act (1980:100) refuse to provide information to the registered person.

Rectification

Section 28

The controller of personal data is liable at the request of the registered person to immediately rectify, block or erase such personal data that has not been processed in accordance with this Act or regulations that have been made under the Act. The controller of personal data shall also notify a third party to whom the data has been disclosed about the measure, if the registered person requests it or if more substantial damage or inconvenience for the registered person could be avoided by a notification. However, no such notification need be provided if it is shown to be impossible or would involve a disproportionate effort.

Automated decisions

Section 29

If a decision that has legal effects for a natural person or otherwise has manifest effects for the natural person, is based solely on automated processing of such personal data as is intended to assess the qualities of the person, the person who is affected by the decision shall have an opportunity to have the decision reconsidered by a person upon request.

Anybody who has been the subject of such a decision as is referred to in the first paragraph is entitled to on application obtain information from the controller of personal data about what has controlled the automated processing that resulted in the decision. As regards applications and provision of information, the applicable parts of the rules under Section 26 apply.

Security in processing

Persons who process personal data

Section 30

A personal data assistant and a person or those persons who work under the assistant's or the controller of personal data's direction may only process personal data in accordance with instructions from the controller of personal data.

There shall be a written contract on the processing by the personal data assistant of personal data on behalf of the controller of personal data. It shall be specifically stipulated in the contract that the personal data assistant may only process personal data in accordance with instructions from the controller of personal data and that the personal data assistant is liable to take those measures referred to in Section 31, first paragraph.

If there are special provisions in a statute or other enactment concerning processing of personal data in public operations as regards matters referred to in the first paragraph, these shall apply instead of that stated in the first paragraph.

Security measures

Section 31

The controller of personal data shall implement appropriate technical and organisational
measures to protect the personal data that is processed. The measures shall provide a level of security that is appropriate having regard to

a) the technical possibilities available,

b) what it would cost to implement the measures,

c) the special risks that exist with processing of personal data, and

d) how sensitive the personal data processed really is.

If the controller of personal data engages a personal data assistant, the controller of personal data shall ensure for him/herself that the personal data assistant can implement the security measures that must be taken and ensure that the personal data assistant actually takes the measures.

The supervisory authority may decide on security measures

Section 32

The supervisory authority may in an individual case decide on which security measures the controller of personal data shall implement in accordance with Section 31.

Section 45 contains rules about the powers of the supervisory authority to make the decision subject to a default fine.

Transfer of personal data to a third country

Prohibition of transfer of personal data to a third country

Section 33

It is prohibited to transfer to a third country personal data that is undergoing processing unless the third country has an adequate level of protection for personal data. The provision also applies to transfer of personal data for processing in a third country.

The adequacy of the level of protection afforded by a third country shall be assessed in the light of all the circumstances surrounding the transfer. Particular consideration shall be given to the nature of the data, the purpose of the processing, the duration of the processing, the country of origin, the country of final destination and the rules that exist for the processing in the third country.

Exemptions from the prohibition of transfer of personal data to a third country

Section 34

Notwithstanding the prohibition in Section 33, it is permitted to transfer personal data to a third country if the registered person has given his/her consent to the transfer or if the transfer is necessary for

a) the performance of a contract between the registered person and the controller of personal data or the implementation of precontractual measures taken in response to the request of the registered,

b) the conclusion or performance of a contract between the controller of personal data and a third party which is in the interest of the registered person,

c) the establishment, exercise or defence of legal claims, or

d) the protection of vital interests of the registered person.

It is also permitted to transfer personal data for use only in a state that has acceded to the Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data.

Section 35

The Government may issue regulations about exemptions from the prohibition in Section 33 of the transfer of personal data to certain states. The Government may also as regards automated processing of personal data issue regulations about transfer of personal data to a third country being permitted, provided the transfer is regulated by a contract that provides adequate safeguards to protect the rights of the registered person.

Furthermore, the Government or the authority appointed by the Government issue regulations about exemptions from the prohibition in Section 33, if this is necessary having regard to an important public interest or if there are adequate safeguards to protect the rights of the registered person.

The Government may, subject to the preconditions mentioned in the second paragraph, decide in individual cases on an exemption from the prohibition in Section 33. The Government may delegate power to the supervisory authority to make such decisions.

Notification to the supervisory authority

Notification duty

Section 36

Processing of personal data that is completely or partially automated is subject to a notification duty. The controller of personal data shall provide a written notification to the supervisory authority before such processing or a set of such processing with the same or similar purpose is conducted.

If the controller of personal data appoints a personal data representative, this shall be notified to the supervisory authority. Removal from office of a personal data representative shall also be notified to the supervisory authority.

The Government or the authority appointed by the Government may issue regulations
concerning exemptions to the notification duty under the first paragraph for such kinds of processing as would probably not result in an improper intrusion of personal integrity.

Notification need not be made if there is a personal data representative

Section 37

Notification under Section 36, first paragraph, need not be made if the controller of personal data has given notice to the supervisory authority that a personal data representative has been appointed and who he/she is.

The functions of personal data representatives

Section 38

The personal data representative shall have the function of independently ensuring that the controller of personal data processes personal data in a lawful and correct manner and in accordance with good practice and also points out any inadequacies to him or her.

If the personal data representative has reason to suspect that the controller of personal data contravenes the provisions applicable for processing personal data and if rectification is not implemented as soon as is practicable after being pointing out, the personal data representative shall notify this situation to the supervisory authority.

The personal data representative shall also otherwise consult with the supervisory authority in the event of doubt about how the rules applicable to processing of personal data shall be applied.

Section 39

The personal data representative shall maintain a register of the processing that the controller of personal data implements and which would have been subject to the duty of notification if the representative had not existed. The register shall comprise at least the information that a notification under Section 36 would have contained.

Section 40

The personal data representative shall assist registered persons to obtain rectification when there is reason to suspect that the personal data processed is incorrect or incomplete.

Mandatory notification of processing that is particularly sensitive as regards integrity

Section 41

The Government may issue regulations providing that such processing of personal data as involves particular risks for improper intrusion of personal integrity shall be notified for preliminary examination, three weeks in advance, to the supervisory authority in accordance with Section 36. If the Government has issued such regulations, the exemption from the obligation to give notification under Section 37 does not apply.

Information to the public about processing that has not been notified

Section 42

The controller of personal data shall, to everybody who requests it, expeditiously and in an appropriate manner provide information about such automated or other processing of personal data that have not been notified to the supervisory authority. The information shall comprise that which a notification under Section 36, first paragraph, would have comprised. However, the controller of personal data is not responsible to provide information subject to secrecy or information about which security measures have been taken. In that connection, a controller of personal data who is not an authority may, in a case corresponding to those referred to in the Secrecy Act (1980:100), refuse to provide information.

The powers of the supervisory authority

Section 43

The supervisory authority is entitled for its supervision to obtain on request

a) access to the personal data that is processed,

b) information about and documentation of the processing of personal data and security of this processing, and

c) access to those premises linked to the processing of personal data.

Section 44

If the supervisory authority cannot, pursuant to a request under Section 43, obtain sufficient information in order to conclude that the processing of personal data is lawful, the authority may prohibit, subject to a default fine, the controller of personal data to process personal data in any other manner than by storing them.

Section 45

If the supervisory authority concludes that personal data is processed or may be processed in an unlawful manner, the authority shall by a reminder or similar procedure endeavour to attain rectification. If it is not possible to obtain rectification in any other manner or if the matter is urgent, the authority may prohibit, subject to a default fine, the controller of personal data to continue processing the personal data in any other manner than by storing them.

If the controller of personal data does not voluntary comply with the decision concerning security measures under Section 32 that has entered into final legal force, the supervisory authority may prescribe a default fine.

Section 46

Before the supervisory authority decides a default fine in accordance with Section 44 or 45, the controller of personal data shall have been given an opportunity to express him/herself.

However, if the matter is urgent the authority, pending the expression of views, may issue a temporary decision on a default fine. The temporary decision shall be reconsidered when the period for expressing views has expired.

An order for a default fine shall be served on the controller of personal data. Service under Section 12 of the Service Act (1970:428) may only be used if there is reason to assume that the controller of personal data has absconded or concealing him/herself in some other way.

Section 47

The supervisory authority may at the County Administrative Court in the county where the authority is situated apply for the erasure of such personal data as has been processed in an unlawful manner.

Decision on erasure may not be issued if it is unreasonable.

Damages

Section 48

The controller of personal data shall compensate the registered person for damages and the violation of personal integrity that the processing of personal data in contravention of this Act has caused.

The liability to pay compensation may, to the extent that it is reasonable, be adjusted if the person providing personal data proves that the error was not caused by him or her.

Penalties

Section 49

A person who intentionally or by carelessness

a) provides untrue information in such information to registered persons as is prescribed by this Act, or in the notification to the supervisory authority under Section 36 or to the
supervisory authority when the authority requests information in accordance with Section 43,

b) processes personal data in contravention of Sections 13-21,

c) transfers personal data to a third country in contravention of Sections 33-35, or

d) omits to give notification under Section 36, first paragraph, or in accordance with
regulations issued under Section 41, shall be sentenced to a fine or imprisonment of at most six months or, if the offence is grave, to imprisonment of at most two years.

A sentence shall not be imposed in petty cases.

A person who has contravened an order subject to a default fine in accordance with Section 44 or 45, first paragraph, shall not be sentenced for liability for an act that is subject to the default fine order.

Detailed regulations

Section 50

The Government or the authority appointed by the Government may issue more detailed
regulations concerning

a) the cases in which processing of personal data is permitted,

b) the requirements which are imposed on the controller of personal data when processing personal data,

c) the cases in which use of personal identity number is permitted,

d) what a notification or application to a controller of personal data should contain,

e) which information shall be provided to the registered person and how information shall be provided, and

f) notification to the supervisory authority and procedure when information notified has been altered.

Appeals

Section 51

The supervisory authority's decision in accordance with this Act, except as regards
regulations, may be appealed against to a general administrative court.

Leave to appeal is required to appeal to the Administrative Court of Appeal.
The supervisory authority may decide that its decision should apply even if it has been
appealed against.
—————————————————————————————————

Entry into force and transitional provisions

1. This Act enters into force on 24 October 1998, upon which the Data Act (1973:289) shall cease to apply. However, the old act still applies to issues concerning appeals of decisions that have been issued before 24 October 1998.

2. As regards processing of personal data that commenced before the entry into force, or
processing conducted for a particular decided purpose if processing for the purpose was
commenced before the entry into force, the old act shall apply instead of the new act up to and including 30 September 2001. This also applies to the rules in the old act on appeals.

3. The rules of Sections 9, 10, 13 and 21 in the new act shall not start to be applied before 1 October 2007 as regards such manual processing of personal data as was commenced before the entry into force, or as regards manual processing that is conducted for a 16 particular decided purpose if manual processing for the purpose was commenced before the entry into force.

4. As regards personal data that at entry into force are stored for historical research, the
provisions of Sections 9, 10, 13 and 21 of the new act shall first begin to be applied when the information is processed in some other way. The corresponding rules in the old act shall be applied until then. However, the said rules in the new act shall not be applied before the time prescribed by 2 or 3 by reason of that stated here.

5. Notification under Section 36 of the new act may be made before the new act has entered into force for the processing in question.

6. Consent that has been provided before the new act has entered into force for the processing in question shall also apply after the entry into force provided the consent fulfils the requirements in the new act.

7. If a request for registration under Section 10 of the old act was received before the new act entered into force for the processing in question but has drawn out or not been carried out before entry into force, the request shall be considered to be an application under Section 26 of the new act.
8. The rules of the new act on damages shall only be applied if the circumstances to which the application relates have occurred before the new act has entered into force for the processing in question. In other cases the old rules apply.

Acuerdo del Consejo de Ministros por el que se establecen los lineamientos para el perfeccionamiento de la Seguridad de las Tecnologías de la Información, de 9 de julio de 2007

CONSEJO DE MINISTROS

El Secretario del Consejo de Ministros y de su Comité Ejecutivo

CERTIFICA

Que el Comité Ejecutivo del Consejo de Ministros haciendo uso de las facultades que le otorga la Ley, adoptó con fecha 9 de julio de 2007, el siguiente

ACUERDO

PRIMERO: Aprobar los Lineamientos para el Perfeccionamiento de la Seguridad de las Tecnologías de la Información en el país.

SEGUNDO: El Ministerio de la Informática y las Comunicaciones implementará en el término de seis meses un Reglamento de Seguridad para las Tecnologías de la Información que responda a las necesidades actuales en esta materia, para su aplicación en todo el territorio nacional, así como las normas, regulaciones y procedimientos que se requieran para el cumplimiento de los presentes lineamientos.

TERCERO: Los organismos de la Administración Central del Estado adoptarán las medidas necesarias para el fortalecimiento de la seguridad de las tecnologías de la información en sus respectivos sistemas en correspondencia con el esfuerzo que viene realizando el país en el desarrollo acelerado de la Informática, para lo cual asegurarán, controlarán y exigirán en el ámbito de su competencia:

1. El establecimiento de niveles de Seguridad Informática apropiados.

2. La elaboración, aprobación, puesta en vigor y cumplimiento de los planes de Seguridad Informática y su permanente actualización.

3. La designación, preparación y control del personal responsabilizado por los sistemas informáticos y su seguridad.

4. Las acciones que se realicen mediante el empleo de las tecnologías de la información, particularmente aquellas que impliquen afectaciones a terceras partes.

5. Que las tecnologías y sistemas que se adquieran o se implementen garanticen el grado de seguridad requerido.

6. La implementación y ejecución de los procedimientos establecidos ante la ocurrencia de incidentes y violaciones de seguridad.

CUARTO: Los consejos de dirección de los órganos, organismos y entidades promoverán la observancia de la seguridad de las tecnologías de la información dentro de cada organización, para lo cual cumplirán lo siguiente:

1. La revisión y aprobación de las políticas de seguridad informática y las responsabilidades generales.

2. El monitoreo de cambios significativos en la exposición de los bienes informáticos a amenazas.

3. La revisión y el esclarecimiento de los incidentes de seguridad informática.

4. La aprobación de las iniciativas principales para incrementar la seguridad informática.

5. La evaluación de la idoneidad de los controles específicos de seguridad informática y la coordinación de su implementación para nuevos sistemas y servicios.

QUINTO: Facultar al Ministerio de la Informática y las Comunicaciones para ejercer la Inspección Estatal a la seguridad de las tecnologías de la información y establecer las regulaciones correspondientes, así como las normas para la prestación de servicios de seguridad informática a terceros.

SEXTO: El Ministro de la Informática y las Comunicaciones queda encargado de la ejecución de lo dispuesto en este Acuerdo; así como, de mantener informada a la Secretaría del Comité Ejecutivo del Consejo de Ministros a los efectos del control correspondiente.
SÉPTIMO: Los ministerios de las Fuerzas Armadas Revolucionarias y del Interior, adecuarán y regularán para sus sistemas lo dispuesto en este Acuerdo, de conformidad con sus estructuras y particularidades.

Y PARA PUBLICAR en la Gaceta Oficial de la República, remitir copias a los miembros del Comité Ejecutivo del Consejo de Ministros y a cuantos otros sean pertinentes, se expide la presente Certificación, en el Palacio de la Revolución, a los 9 días del mes de julio de 2007.

Carlos Lage Dávila

Resolución Administrativa nº 2781/2005 de 26 de octubre de 2005. Relevamiento de estadísticas.

Rawson (Chubut) , 26 de Octubre de 2005.

VISTO

Las facultades establecidas por el art. 178º inc. 1) de la Constitución de la Provincia del Chubut y art. 33º inc. 13 y 15 de la ley 37, y

CONSIDERANDO

La necesidad de disponer de datos estadísticos e indicadores judiciales que representen de forma uniforme idénticos indicadores basados en parámetros interpretados de manera similar en todos los organismos del mismo tipo.

La puesta en funcionamiento del área de estadísticas e indicadores judiciales dependiente de la Secretaría de Informática Jurídica (SIJ).

La detección de discordancias en similares datos provenientes de diferentes fuentes y la necesidad de proporcionar fidelidad e integridad a la información que analizan este Superior Tribunal de Justicia y la Comisión de Reforma Procesal con el objeto de realizar un adecuado diagnóstico, planificación e implementación de la referida reforma.

La necesidad de coordinar y convenir los criterios que se utilizan para los relevamientos de datos y para el volcado de los mismos con el objeto de evitar interpretaciones que produzcan desviación de los fines de cada indicador.

La posibilidad de tratar la incorporación de reformas y modificaciones en los informes actuales con el objeto de receptar también, en ellos, los intereses de los propios organismos para su autoevaluación o evaluaciones comparativas.

Por ello, el Superior Tribunal de Justicia,

RESUELVE

1°) Encomendar al Señor Secretario de Informática Jurídica, Dr. Guillermo R. Cosentino y a la Responsable del área de Estadística Lic. Gabriela Benedicto, la concurrencia a las Cámaras y Juzgados de la provincia con el objeto de llevar a cabo las acciones necesarias para el logro de los objetivos que el relevamiento estadístico persigue.

2°) Encomendar a los organismos mencionados en el punto 1°, que presten la colaboración necesaria para lograr la mas rápida y fiel obtención de datos y mejor coordinación en los procesos que permiten la llegada de estos a este Superior Tribunal de Justicia y la Comisión de Reforma Procesal.

3°) Comuníquese a todos los Magistrados y Funcionarios del Poder Judicial.

Fdo. Dr. Daniel Luis CANEO

Dr. Fernando Salvador Luis ROYER

Dr. José Luis PASUTTI

Constitución Política de la República del Ecuador (Aprobada el 5 de junio de 1998, por la Asamblea Nacional Constituyente).

LA ASAMBLEA NACIONAL CONSTITUYENTE

EXPIDE LA PRESENTE CONSTITUCIÓN POLÍTICA DE LA REPÚBLICA DEL ECUADOR

EL PUEBLO DEL ECUADOR

inspirado en su historia milenaria, en el recuerdo de sus héroes y en el trabajo de hombres y mujeres que, con su sacrificio, forjaron la patria;

fiel a los ideales de libertad, igualdad, justicia, progreso, solidaridad, equidad y paz que han guiado sus pasos desde los albores de la vida republicana,

proclama su voluntad de consolidar la unidad de la nación ecuatoriana en el reconocimiento de la diversidad de sus regiones, pueblos, etnias y culturas,

invoca la protección de Dios, y

en ejercicio de su soberanía,

establece en esta Constitución las normas fundamentales que amparan los derechos y libertades, organizan el Estado y las instituciones democráticas e impulsan el desarrollo económico y social.

TÍTULO I. DE LOS PRINCIPIOS FUNDAMENTALES

TÍTULO II. DE LOS HABITANTES

Capítulo 1. De los ecuatorianos
Capítulo 2. De los extranjeros

TÍTULO III. DE LOS DERECHOS, GARANTÍAS Y DEBERES

Capítulo 1. Principios generales

Capítulo 2. De los derechos civiles

Capitulo 3. De los derechos políticos

Capítulo 4. De los derechos económicos, sociales y culturales
Sección primera. De la propiedad
Sección segunda. Del trabajo
Sección tercera. De la familia
Sección cuarta. De la salud
Sección quinta. De los grupos vulnerables
Sección sexta. De la seguridad social
Sección séptima. De la cultura
Sección octava. De la educación
Sección novena. De la ciencia y tecnología
Sección décima. De la comunicación
Sección undécima. De los deportes

Capítulo 5. De los derechos colectivos
Sección primera. De los pueblos indígenas y negros o afroecuatorianos
Sección segunda. Del medio ambiente
Sección tercera. De los consumidores

Capítulo 6. De las garantías de los derechos
Sección primera. Del hábeas corpus
Sección segunda. Del hábeas data
Sección tercera. Del amparo
Sección cuarta. De la defensoría del pueblo

Capítulo 7. De los deberes y responsabilidades

TÍTULO IV. DE LA PARTICIPACIÓN DEMOCRÁTICA

Capítulo 1. De las elecciones

Capítulo 2. De otras formas de participación democrática
Sección primera. De la consulta popular
Sección segunda. De la revocatoria del mandato

Capítulo 3. De los partidos y movimientos políticos
Capítulo 4. Del estatuto de la oposición

TÍTULO V. DE LAS INSTITUCIONES DEL ESTADO Y LA FUNCIÓN PÚBLICA

Capítulo 1. De las instituciones del Estado

Capítulo 2. De la función pública

TÍTULO VI. DE LA FUNCIÓN LEGISLATIVA

Capítulo 1. Del Congreso Nacional

Capítulo 2. De la organización y funcionamiento

Capítulo 3. De los diputados

Capítulo 4. De la Comisión de Legislación y Codificación

Capítulo 5. De las leyes
Sección primera. De las clases de leyes
Sección segunda. De la iniciativa
Sección tercera. Del trámite ordinario
Sección cuarta. De los proyectos de urgencia económica
Sección quinta. Del trámite en la Comisión

Capítulo 6. De los tratados y convenios internacionales

TÍTULO VII. DE LA FUNCIÓN EJECUTIVA

Capítulo 1. Del Presidente de la República

Capítulo 2. Del Vicepresidente de la República
Capítulo 3. De los ministros de Estado
Capítulo 4. Del estado de emergencia
Capítulo 5. De la fuerza pública

TÍTULO VIII. DE LA FUNCIÓN JUDICIAL

Capítulo 1. De los principios generales

Capítulo 2. De la organización y funcionamiento

Capítulo 3. Del Consejo Nacional de la Judicatura

Capítulo 4. Del régimen penitenciario

TÍTULO IX. DE LA ORGANIZACIÓN ELECTORAL

TÍTULO X. DE LOS ORGANISMOS DE CONTROL

Capítulo 1. De la Contraloría General del Estado

Capítulo 2. De la Procuraduría General del Estado

Capítulo 3. Del Ministerio Público

Capítulo 4. De la Comisión de Control Cívico de la Corrupción

Capítulo 5. De las superintendencias

TÍTULO XI. DE LA ORGANIZACIÓN TERRITORIAL Y DESCENTRALIZACIÓN

Capítulo 1. Del régimen administrativo y seccional

Capítulo 2. Del régimen seccional dependiente

Capítulo 3. De los gobiernos seccionales autónomos

Capítulo 4. De los regímenes especiales

TÍTULO XII. DEL SISTEMA ECONÓMICO

Capítulo 1. Principios generales

Capítulo 2. De la planificación económica y social

Capítulo 3. Del régimen tributario

Capítulo 4. Del presupuesto

Capítulo 5. Del Banco Central

Capítulo 6. Del régimen agropecuario

Capítulo 7. De la inversión

TÍTULO XIII. DE LA SUPREMACÍA, DEL CONTROL Y DE LA REFORMA DE LA CONSTITUCIÓN

Capítulo 1. De la supremacía de la Constitución

Capítulo 2. Del Tribunal Constitucional

Capítulo 3. De la reforma e interpretación de la Constitución

DISPOSICIONES TRANSITORIAS

De los habitantes
De la seguridad social
De la educación
De las elecciones
Del sector público
Del Congreso Nacional
De la Función Judicial
Del régimen penitenciario y de rehabilitación social
Del Ministerio Público
De la Comisión de Control Cívico de la Corrupción
De las superintendencias
De la descentralización
De la economía
De la planificación económica
Del Banco Central
Registro Oficial
Generales

DISPOSICIÓN FINAL

————————————————————————————————-

TÍTULO III. DE LOS DERECHOS, GARANTÍAS Y DEBERES

Capítulo 6. De las garantías de los derechos

Sección primera. Del hábeas corpus

Sección segunda. Del hábeas data

Art. 94.- Toda persona tendrá derecho a acceder a los documentos, bancos de datos e informes que sobre sí misma, o sobre sus bienes, consten en entidades públicas o privadas, así como a conocer el uso que se haga de ellos y su propósito.

Podrá solicitar ante el funcionario respectivo, la actualización de los datos o su rectificación, eliminación o anulación, si fueren erróneos o afectaren ilegítimamente sus derechos.

Si la falta de atención causare perjuicio, el afectado podrá demandar indemnización.

La ley establecerá un procedimiento especial para acceder a los datos personales que consten en los archivos relacionados con la defensa nacional.

TÍTULO XIII. DE LA SUPREMACÍA, DEL CONTROL Y DE LA REFORMA DE LA CONSTITUCIÓN

Capítulo 1. De la supremacía de la Constitución

Capítulo 2. Del Tribunal Constitucional

Artículo 275.-

Artículo 276.- Competerá al Tribunal Constitucional:

1. Conocer y resolver las demandas de inconstitucionalidad, de fondo o de forma, que se presenten sobre leyes orgánicas y ordinarias, decretos-leyes, decretos, ordenanzas; estatutos, reglamentos y resoluciones, emitidos por órganos de las instituciones del Estado, y suspender total o parcialmente sus efectos.

2. Conocer y resolver sobre la inconstitucionalidad de los actos administrativos de toda autoridad pública. La declaratoria de inconstitucionalidad conlleva la revocatoria del acto, sin perjuicio de que el órgano administrativo adopte las medidas necesarias para preservar el respeto a las normas constitucionales.

3. Conocer las resoluciones que denieguen el hábeas corpus, el hábeas data y el amparo, y los casos de apelación previstos en la acción de amparo.

4. Dictaminar sobre las objeciones de inconstitucionalidad que haya hecho el Presidente de la República, en el proceso de formación de las leyes.

5. Dictaminar de conformidad con la Constitución, tratados o convenios internacionales previo a su aprobación por el Congreso Nacional.

6. Dirimir conflictos de competencia o de atribuciones asignadas por la Constitución.

7. Ejercer las demás atribuciones que le confieran la Constitución y las leyes.

Las providencias de la Función Judicial no serán susceptibles de control por parte del Tribunal Constitucional

Ley 3.246 de 16 de noviembre de 1998, sobre interposición de la acción de Habeas Data para la protección de datos personales. (B.O.P. de 7 de diciembre de 1998).

Promulgada el 1 de diciembre de 1998 mediante Decreto número 1.608. Publicada en el Boletín Oficial nº 3.631 de 7 de diciembre de 1998.

La Legislatura de la Provincia de Rio Negro

Sanciona con fuerza de LEY:

Artículo 1º

Procederá la acción de “habeas data” toda vez que a una persona física o jurídica se le niegue
el derecho a conocer gratuita e inmediatamente todo dato que de ella o sobre sus bienes conste en registros o bancos de datos públicos pertenecientes al Estado provincial y los municipios y en similares privados destinados a proveer información a terceros y, en caso de falsedad o discriminación, para exigir su supresión, rectificación, confidencialidad o actualización.

Artículo 2º

En ningún caso podrá afectarse el secreto de las fuentes de información periodística.

Artículo 3º

Toda persona física o jurídica se encuentra legitimada para interponer la acción de “habeas data” o amparo especial de protección de los datos personales en la medida que se considere afectada por la información a ella referida obrante en registros o bancos de datos públicos o privados.

Artículo 4º

Cuando una persona física o jurídica tenga razones para presumir que en un registro o banco de datos, público o privado, obra información acerca de ella, tendrá derecho a requerir a su titular o responsable se le haga conocer dicha información y finalidad. Del mismo modo cuando en forma directa o en razón del requerimiento del párrafo anterior, tome conocimiento de que la información es errónea, con omisiones falsas, utilizada con fines discriminatorios o difundida a terceros cuando por su naturaleza o forma de obtención deba ser confidencial, la persona afectada tendrá derecho a exigir del responsable del registro de datos su supresión, rectificación, confidencialidad o actualización.

Artículo 5º

El requerimiento formulado en virtud del artículo 4º de esta ley deberá ser respondido por escrito dentro de los quince (15) días corridos de haber sido intimado en forma fehaciente, por el titular del registro o banco de datos.

Artículo 6º

La acción procederá contra los titulares, responsables o usuarios del registro o banco de datos públicos o privados, pudiendo interponerse ante el Juez con competencia en el lugar donde la información se encuentre registrada o se exteriorice o el del domicilio del afectado.

Artículo 7º

La demanda deberá alegar las razones por las cuales entiende que en el registro o banco de datos obra información referente a su persona, con relación detallada de la lesión producida o en peligro de producirse, con expresión concreta del o los motivos que dieron origen a la acción, ya sea para solicitar su conocimiento, determinar la finalidad a que se destina esa información o para exigir su
supresión, rectificación, confidencialidad o actualización.

El Juez habrá de evaluar la razonabilidad de la petición con criterio amplio, expidiéndose en caso de duda por la admisibilidad de la acción al solo efecto de requerir la información al registro o banco de datos.

Artículo 8º

En su caso el actor deberá indicar, además, las razones por las cuales aun siendo exacta la
información, entiende que debe ser de tratamiento confidencial e impedirse su divulgación y/o transmisión a terceros.

Artículo 9º

El accionante deberá acompañar con la demanda la prueba instrumental de que disponga o la
individualizará si el actor no la tuviera en su poder, con indicación precisa del lugar donde se encuentra. En el mismo acto se ofrecerá toda la prueba de que intente valerse.

Artículo 10º

El Juez deberá pronunciarse sobre su procedencia formal en el término de dos (2) días, admitida
la acción, el Juez requerirá al registro o banco de datos la remisión de la información concerniente al accionante acompañando copia de la presentación efectuada. Podrá también solicitar informes sobre el soporte técnico de los datos, documentación relativa a la recolección y cualquier otro
aspecto conducente a la resolución de la causa. El plazo para contestar el informe será establecido por el Juez, no pudiendo superar los cinco (5) días.

Artículo 11º

Los registros o bancos de datos privados no podrán alegar la confidencialidad de la información requerida, a excepción de aquello que pudiera afectar el secreto de las fuentes de información periodística, la que queda a salvo de las disposiciones de esta ley, conforme el artículo 2º.

Artículo 12º

Los registros o bancos de datos públicos sólo estarán exceptuados de remitir la información
requerida, cuando medien razones vinculadas a la preservación del orden o la seguridad pública, en tales casos deberá acreditarse fehacientemente la relación entre la información y la preservación de dichos valores.

El Juez de la causa evaluará con criterio restrictivo toda oposición al envío de la información
sustentada en las causales mencionadas.

La resolución judicial que insista en la remisión de los datos será apelable dentro del segundo día de
notificada. El recurso se interpondrá fundado.

La apelación será denegada o concedida en ambos casos dentro del segundo día. En caso de ser concedida será elevada dentro del día de ser concedida.

Artículo 13º

Al contestar el informe el requerido deberá indicar las razones por las cuales incluyó la información cuestionada y en su caso, por qué entiende que la misma no puede ser considerada de tratamiento confidencial.

Deberá también acompañar la documentación que entienda corresponder y el resto de la prueba.

Artículo 14º

De haberse ofrecido prueba se fijará audiencia para su producción dentro del tercer día.

Artículo 15º

En caso de que el requerido manifestara que no existe en el registro o banco de datos información sobre el accionante y éste acreditara por algún medio de prueba que tomó conocimiento de ello, podrá solicitar las medidas cautelares que estime corresponder, de conformidad con las prescripciones del Código Procesal Civil de la provincia.

Artículo 16º

Vencido el plazo para la contestación del informe o contestado el mismo y, en su caso, habiendo sido producida la prueba, el Juez dictará sentencia dentro del tercer día. En caso de estimarse procedente la acción, la sentencia ordenará que la información sea suprimida, rectificada, actualizada o declarada confidencial, según corresponda, estableciendo asimismo el plazo para su
cumplimiento.

Artículo 17º

En caso de incumplirse con la sentencia y sin perjuicio de la ejecución forzosa, el Juez podrá
disponer, a pedido de parte:

a) La aplicación de astreintes cuando el condenado fuere un registro o banco de datos privado.

b) La aplicación de multas de tipo personal cuando el condenado fuere un registro o banco de datos público. La multa será aplicada sobre la remuneración del titular o responsable del organismo del cual dependa el registro o banco de datos.

Artículo 18º

La apelación contra la sentencia deberá interponerse dentro de las cuarenta y ocho (48) horas de notificada la misma. En caso de que proceda se concederá al solo efecto devolutivo, dándosele traslado a la otra parte por el mismo plazo. Contestada la vista o vencido el término otorgado el Juez deberá elevar las actuaciones al Tribunal de Alzada dentro de las cuarenta y ocho (48) horas.