Habeas Data – Datos Personales – Privacidad

Ley Orgánica 5/1992 de regulación del tratamiento automatizado de los datos de carácter personal (derogada)

Posted: mayo 27th, 2006 | Author: | Filed under: General, Google, Normas | No Comments »

*LEY DE REGULACIÓN DEL TRATAMIENTO AUTOMATIZADO DE LOS DATOS DE CARíCTER PERSONAL*
LEY ORGANICA 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (B.O.E. 31-10-1992)
(Derogada por la “Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Caracter Personal”:http://www.habeasdata.org/LOPD (B.O.E. 14-12-1999 – En vigor desde el 14-01-2000).


JUAN CARLOS I
REY DE ESPAÑA

A todos los que la presente vieren y entendieren.
Sabed: Que las Cortes Generales han aprobado y Yo vengo en sancionar la siguiente Ley Orgánica

*Exposición de motivos*

*1*
La Constitución española, en su artí­culo 18.4, emplaza al legislador a limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legitimo ejercicio de sus derechos. La aún reciente aprobación de nuestra Constitución y, por tanto, su moderno carácter, le permitió expresamente la articulación de garantias contra la posible utilización torticera de ese fenómeno de la contemporaneidad que es la informática.

El progresivo desarrollo de las técnicas de recolección y almacenamiento de datos y de acceso a los mismos ha expuesto a la privacidad, en efecto, a una amenaza potencial antes desconocida. Nótese que se habla de la privacidad y no de la intimidad: Aquélla es más amplia que ésta, pues en tanto la intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona, el domicilio donde realiza su vida cotidiana, las comunicaciones en las que expresa sus sentimientos, por ejemplo, la privacidad constituye un conjunto, más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrí­nseca pero que, coherentemente enlazadas entre sí­, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado. Y si la intimidad, en sentido estricto, está suficientemente protegida por las previsiones de los tres primeros párrafos del artí­culo 18 de la Constitución y por las leyes que los desarrollan, la privacidad puede resultar menoscabada por la utilización de las tecnologí­as informáticas de tan reciente desarrollo.

Ello es así­ porque, hasta el presente, las fronteras de la privacidad estaban defendidas por el tiempo y el espacio. El primero procuraba, con su transcurso, que se evanescieran los recuerdos de las actividades ajenas, impidiendo, así­, la configuración de una historia lineal e ininterrumpida de la persona; el segundo, con la distancia que imponí­a, hasta hace poco difí­cilmente superable, impedí­a que tuviésemos conocimiento de los hechos que, protagonizados por los demás, hubieran tenido lugar lejos de donde nos hallábamos. El tiempo y el espacio operaban, así­, como salvaguarda de la privacidad de la persona.

Uno y otro limite han desaparecido hoy: Las modernas técnicas de comunicación permiten salvar sin dificultades el espacio, y la informática posibilita almacenar todos los datos que se obtienen a través de las comunicaciones y acceder a ellos en apenas segundos, por distante que fuera el lugar donde transcurrieron los hechos, o remotos que fueran éstos. Los más diversos datos, sobre la infancia, sobre la vida académica, profesional o laboral, sobre los hábitos de vida y consumo, sobre el uso del denominado * «dinero plástico* », sobre las relaciones personales o, incluso, sobre las creencias religiosas e ideologí­as, por poner sólo algunos ejemplos, relativos a las personas podrí­an ser, así­, compilados y obtenidos sin dificultar. Ello permitirí­a a quien dispusiese de ellos acceder a un conocimiento cabal de actitudes, hechos o pautas de comportamiento que, sin duda, pertenecen a la esfera privada de las personas; a aquélla a la que sólo deben tener acceso el individuo y, quizás, quienes le son más próximos, o aquellos a los que él autorice. Aún más: El conocimiento ordenado de esos datos puede dibujar un determinado perfil de la persona, o configurar una determinada reputación o fama que es, en definitiva, expresión del honor; y este perfil, sin duda, puede resultar luego valorado, favorable o desfavorablemente, para las más diversas actividades públicas o privadas, como pueden ser la obtención de un empleo, la concesión de un préstamo o la admisión en determinados colectivos.

Se hace preciso, pues, delimitar una nueva frontera de la intimidad y del honor, una frontera que, sustituyendo los lí­mites antes definidos por el tiempo y el espacio, los proteja frente a la utilización mecanizada, ordenada y discriminada de los datos a ellos referentes; una frontera, en suma, que garantice que un elemento objetivamente provechoso para la Humanidad no redunde en perjuicio para las personas. La fijación de esa nueva frontera es el objetivo de la previsión contenida en el artí­culo 18.4 de la Constitución, y al cumplimiento de ese objetivo responde la presente Ley.

*2*
Partiendo de que su finalidad es hacer frente a los riesgos que para los derechos de la personalidad puede suponer el acopio y tratamiento de datos por medios informáticos, la Ley se nuclea en torno a los que convencionalmente se denominan * «ficheros de datos* »: Es la existencia de estos ficheros y la utilización que de ellos podrí­a hacerse la que justifica la necesidad de la nueva frontera de la intimidad y del honor.

A tal efecto, la Ley introduce el concepto de tratamiento de datos, concibiendo los ficheros desde una perspectiva dinámica; dicho en otros términos, no los entiende sólo como un mero depósito de datos, sino también, y sobre todo, como una globalidad de procesos o aplicaciones informáticas que se llevan a cabo con los datos almacenados y que son susceptibles, si llegasen a conectarse entre sí­, de configurar el perfil personal al que antes se hizo referencia.

La Ley está animada por la idea de implantar mecanismos cautelares que prevengan las violaciones de la privacidad que pudieran resultar del tratamiento de la información. A tal efecto se estructura en una parte general y otra especial.

La primera atiende a recoger los principios en los que ha cristalizado una opinio iuris, generada a lo largo de dos décadas, y define derechos y garantí­as encaminados a asegurar la observancia de tales principios generales. Alimentan esta parte general, pues, preceptos delimitadores del ámbito de aplicación de la Ley, principios reguladores de la recogida, registro y uso de datos personales y, sobre todo, garantí­as de la persona.

El ámbito de aplicación se define por exclusión, quedando fuera de él, por ejemplo, los datos anónimos, que constituyen información de dominio público o recogen información, con la finalidad, precisamente, de darla a conocer al público en general, como pueden ser los registros de la propiedad o mercantiles, así­ como, por último, los de uso estrictamente personal. De otro lado, parece conveniente la permanencia de las regulaciones especiales que contienen ya suficientes normas de protección y que se refieren a ámbitos que revisten tal singularidad en cuanto a sus funciones y sus mecanismos de puesta al dí­a y rectificación que aconsejan el mantenimiento de su régimen especí­fico. Así­ ocurre, por ejemplo, con las regulaciones de los ficheros electorales, del Registro Civil o del Registro Central de Penados y Rebeldes; así­ acontece, también, con los ficheros regulados por la Ley 12/1989, de 9 de mayo, sobre función estadí­stica pública, si bien que, en este último caso, con sujeción a la Agencia de Protección de Datos. En fin, quedan también fuera del ámbito de la norma aquellos datos que, en virtud de intereses público prevalentes, no deben estar sometidos a su régimen cautelar.

Los principios generales, por su parte, definen las pautas a las que debe atenerse la recogida de datos de carácter personal, pautas encaminadas a garantizar tanto la veracidad de la información contenida en los datos almacenados cuanto la congruencia y la racionalidad de la utilización de los datos. Este principio, verdaderamente cardinal, de la congruencia y la racionalidad, garantiza que los datos no puedan ser usados sino cuando lo justifique la finalidad para la que han sido recabados; su observancia es, por ello, capital para evitar la difusión incontrolada de la información que, siguiendo el mandato constitucional, se pretende limitar.

Por su parte, el principio de consentimiento, o de autodeterminación, otorga a la persona la posibilidad de determinar el nivel de protección de los datos a ella referentes. Su base está constituida por la exigencia del consentimiento consciente e informado del afectado para que la recogida de datos sea lí­cita; sus contornos, por otro lado, se refuerzan singularmente en los denominados * «datos sensibles* », como pueden ser, de una parte, la ideologí­a o creencias religiosas, cuya privacidad está expresamente garantizada por la Constitución en su artí­culo 16.2, y, de otra parte, la raza, la salud y la vida sexual. La protección reforzada de estos datos viene determinada porque los primeros de entre los datos mencionados sólo serán disponibles con el consentimiento expreso y por escrito del afectado, y los segundos sólo serán susceptibles de recopilación mediando dicho consentimiento o una habilitación legal expresa, habilitación que, según exigencia de la propia Ley Orgánica, ha de fundarse en razones de interés general; en todo caso, se establece la prohibición de los ficheros creados con la exclusiva finalidad de almacenar datos personales que expresen las mencionadas caracterí­sticas. En este punto, y de acuerdo con lo dispuesto en el artí­culo lo de la Constitución, se atienden las exigencias y previsiones que para estos datos se contienen en el Convenio Europeo para la protección de las personas con respecto al tratamiento automatizado de datos con carácter personal, de 1981, ratificado por España

Para la adecuada configuración, que esta Ley se propone, de la nueva garantí­a de la intimidad y del honor, resulta esencial la correcta regulación de la cesión de los datos almacenados. Es, en efecto, el cruce de los datos almacenados en diversas instancias o ficheros el que puede arrojar el repetidamente aludido perfil personal, cuya obtención transgrederí­a los lí­mites de la privacidad. Para prevenir estos perturbadores efectos, la Ley completa el principio del consentimiento, exigiendo que, al procederse la recogida de los datos, el afectado sea debidamente informado del uso que se les puede dar, al objeto de que el consentimiento se preste con conocimiento cabal de su exacto alcance. Sólo las previsiones del Convenio Europeo para la protección de los Derechos Fundamentales de la Persona, artí­culo 8.2, y del Convenio 108 del Consejo de Europa, artí­culo 9.2,, que se fundamentan en exigencias lógicas en toda sociedad democrática, constituyen excepciones a esta regla.

*3*
Las garantí­as de la persona son los nutrientes nucleares de la parte general, y se configuran jurí­dicamente como derechos subjetivos encaminados a hacer operativos los principios genéricos. Son, en efecto, los derechos de autodeterminación, de amparo, de rectificación y de cancelación los que otorgan virtualidad normativa y eficacia jurí­dica a los principios consagrados en la parte general, principios que, sin los derechos subjetivos ahora aludidos, no rebasarí­an un contenido meramente programático.

En concreto, los derechos de acceso a los datos, de rectificación y de cancelación, se constituyen como piezas centrales del sistema cautelar o preventivo instaurado por la Ley. El primero de ellos ha cobrado en nuestro paí­s, incluso, plasmación constitucional en lo que se refiere a los datos que obran en poder de las Administraciones Públicas (articulo 105.b). En consonancia con ello queda recogido en la Ley en términos rotundos, no previéndose más excepciones que las derivadas de la puesta en peligro de bienes jurí­dicos en lo relativo al acceso a los datos policiales y a los precisos para asegurar el cumplimiento de las obligaciones tributarias en lo referente a los datos de este carácter, excepciones ambas que pueden entenderse expresamente recogidas en el propio precepto constitucional antes citado, así­ como en el Convenio Europeo para la protección de los Derechos Fundamentales.

*4*
Para la articulación de los extremos concretos que han de regir los ficheros de datos, la parte especial de la Ley comienza distinguiendo, en su Tí­tulo Cuarto, entre los distintos tipos de ficheros, según sea su titularidad pública o privada. Con la pretensión de evitar una perniciosa burocratización, la Ley ha desechado el establecimiento de supuestos como la autorización previa o la inscripción constitutiva en un registro. Simultáneamente, ha establecido regí­menes diferenciados para los ficheros en razón de su titularidad, toda vez que, con toda evidencia, resulta más problemático el control de los de titularidad privada que el de aquellos de titularidad pública. En efecto, en lo relativo a estos últimos, no basta la mera voluntad del responsable del fichero sino que es precisa norma habilitante, naturalmente pública y sometida al control jurisdiccional, para crearlos y explotarlos, siendo en estos supuestos el informe previo del órgano de tutela el cauce idóneo para controlar la adecuación de la explotación a las exigencias legales y recomendar, en su caso, las medidas pertinentes.

Otras disposiciones de la parte especial que procede destacar son las atinentes a la transmisión internacional de los datos. En este punto, la Ley traspone la norma del artí­culo 12 del Convenio 108 del Consejo de Europa, apuntando así­ una solución para lo que ha dado en llamarse flujo transfronterizo de datos. La protección de la integridad de la información personal se concilia, de esta suerte, con el libre flujo de los datos, que constituye una auténtica necesidad de la vida actual de la que las transferencias bancarias, las reservas de pasajes aéreos o el auxilio judicial internacional pueden ser simples botones de muestra. Se ha optado por exigir que el paí­s de destino cuente en su ordenamiento con un sistema de protección equivalente al español, si bien permitiendo la autorización de la Agencia cuando tal sistema no exista pero se ofrezcan garantí­as suficientes. Con ello no sólo se cumple con una exigencia lógica, la de evitar un fallo que pueda producirse en el sistema de protección a través del flujo a paí­ses que no cuentan con garantí­as adecuadas, sino también con las previsiones de instrumentos internacionales como los Acuerdos de Schengen o las futuras normas comunitarias.

*5*
Para asegurar la máxima eficacia de sus disposiciones, la Ley encomienda el control de su aplicación a un órgano independiente, al que atribuye el estatuto de Ente público en los términos, del articulo 6.5 de la Ley General Presupuestaria. A tal efecto la Ley configura un órgano especializado, denominado Agencia de Protección de Datos, a cuyo frente sitúa un Director.

La Agencia se caracteriza por la absoluta independencia de su Director en el ejercicio de sus funciones, independencia que trae causa, en primer lugar, de un expreso imperativo legal, pero que se garantiza, en todo caso, mediante el establecimiento de un mandato fijo que sólo puede ser acortado por un númerus clausus de causas de cese.

La Agencia dispondrá, además, de un órgano de apoyo definido por los caracteres de colegiación y representatividad, en el que obtendrán presencia las Cámaras que representan a la soberaní­a nacional, las Administraciones Públicas en cuanto titulares de ficheros objeto de la presente Ley, el sector privado, las organizaciones de usuarios y consumidores y otras personas relacionadas con las diversas funciones que cumplen los archivos informatizados.

*6*
El inevitable desfase que las normas de derecho positivo ofrecen respecto de las transformaciones sociales es, si cabe, más acusado en este terreno, cuya evolución tecnológica es especialmente, dinámica. Ello hace aconsejable, a la hora de normar estos campos, acudir a mecanismos jurí­dicos dotados de menor nivel de vinculación, susceptibles de una elaboración o modificación más rápida de lo habitual y caracterizados por que es la voluntaria aceptación de sus destinatarios la que les otorga eficacia normativa. En esta lí­nea la Ley recoge normas de autorregulación, compatibles con las recomendaciones de la Agencia, que evitan los inconvenientes derivados de la especial rigidez de la Ley Orgánica que, por su propia naturaleza, es inidónea para un acentuado casuismo. La propia experiencia de lo ocurrido con el Convenio del Consejo de Europa, que ha tenido que ser objeto de múltiples modificaciones al socaire de las distintas innovaciones tecnológicas, de las sucesivas y diferentes aplicaciones -estadí­stica, Seguridad Social, relaciones de empleo, datos policiales, publicidad directa o tarjetas de crédito, entre otras- o de la ampliación de los campos de utilización -servicio telefónico o correo electrónico- aconseja recurrir a las citadas normas de autorregulación. De ahí­ que la Ley acuda a ellas para aplicar las previsiones legales a los distintos sectores de actividad. Tales normas serán elaboradas por iniciativa de las asociaciones y organizaciones pertinentes y serán aprobadas, sin valor reglamentario, por la Agencia, siendo precisamente la iniciativa y participación de las entidades afectadas la garantí­a de la virtualidad de las normas.

*7*
La Ley no consagra nuevos tipos delictivos, ni define supuestos de responsabilidad penal para la eventualidad de su incumplimiento. Ello obedece a que se entiende que la sede lógica para tales menesteres no es esta Ley, sino sólo el Código Penal.

Sí­ se atribuye, sin embargo, a la Administración la potestad sancionadora que es lógico correlato de su función de inspección del uso de los ficheros, similar a las demás inspecciones administrativas, y que se configura de distinta forma según se proyecte sobre la utilización indebida de los ficheros públicos, en cuyo caso procederá la oportuna responsabilidad disciplinaria, o sobre los privados, para cuyo supuesto se prevén sanciones pecuniarias.

De acuerdo con la práctica usual, la Ley se limita a tipificar, de conformidad con lo requerido por la jurisprudencia constitucional y ordinaria, unos supuestos genéricos de responsabilidad administrativa, recogiendo una gradación de infracciones que sigue la habitual distinción entre leves, graves y muy graves, y que toma como criterio básico el de los bienes jurí­dicos emanados. Las sanciones, a su vez, difieren según que los ficheros indebidamente utilizados sean públicos o privados: en el primer caso, procederá la responsabilidad disciplinaria, sin perjuicio de la intervención del Defensor del Pueblo; para el segundo, se prevén sanciones pecuniarias; en todo caso, se articula la posibilidad en los supuestos, constitutivos de infracción muy grave, de cesión ilí­cita de datos o de cualquier otro atentado contra los derechos de los afectados que revista gravedad, de inmovilizar los ficheros.

*8*
Finalmente, la Ley estipula un perí­odo transitorio que se justifica por la necesidad de ajustar la utilización de los ficheros existentes a las disposiciones legales.

Pasado este perí­odo transitorio, y una vez en vigor la Ley, podrá muy bien decirse, una vez más, que el desarrollo legislativo de un precepto constitucional se traduce en una protección reforzada de los derechos fundamentales del ciudadano. En este caso, al desarrollar legislativamente el mandato constitucional de limitar el uso de la informática, se está estableciendo un nuevo y más consistente derecho a la privacidad de las personas.

*TíTULO I*

Disposiciones generales
Artí­culo 1. Objeto.
La presente Ley Orgánica, en desarrollo de lo previsto en el apartado 4 del articulo 18 de la Constitución, tiene por objeto limitar el uso de la informática y otras técnicas y medios de tratamiento automatizado de los datos de carácter personal para garantizar el honor, la intimidad personal y familiar de las personas fí­sicas y el pleno ejercicio de sus derechos.

Artí­culo 2. Ambito de aplicación.
1. La presente Ley será de aplicación a los datos de carácter personal que figuren en ficheros automatizados de los sectores público y privado y a toda modalidad de uso posterior, incluso no automatizado, de datos de carácter personal registrados en soporte fí­sico susceptible de tratamiento automatizado.

2. El régimen de protección de los datos de carácter personal que se establece en la presente Ley no será de aplicación:

a. A los ficheros automatizados de titularidad pública cuyo objeto, legalmente establecido, sea el almacenamiento de datos para su publicidad con carácter general.

b. A los ficheros mantenidos por personas fí­sicas con fines exclusivamente personales.

c. A los ficheros de información tecnológica o comercial que reproduzcan datos ya publicados en boletines, diarios o repertorios oficiales.

d. A los ficheros de informática jurí­dica accesibles al público en la medida en que se limiten a reproducir disposiciones o resoluciones judiciales publicadas en periódicos o repertorios oficiales.

e. A los ficheros mantenidos por los partidos polí­ticos, sindicatos e iglesias, confesiones y comunidades religiosas en cuanto los datos se refieran a sus asociados o miembros y ex miembros, sin perjuicio de la cesión de los datos que queda sometida o lo dispuesto en el artí­culo 11 de esta Ley, salvo que resultara de aplicación el artí­culo 7 por tratarse de los datos personales en él contenidos.

3. Se regirán por sus disposiciones especí­ficas:

a. Los ficheros regulados por la legislación de régimen electoral.

b. Los sometidos a la normativa sobre protección de materias clasificadas.

c. Los derivados del Registro Civil y del Registro Central de Penados y Rebeldes.

d. Los que sirvan a fines exclusivamente estadí­sticos y estén amparados por la Ley 12/1989, de 9 de mayo, de la función estadí­stica pública, sin perjuicio de lo dispuesto en el artí­culo 36.

e. Los ficheros automatizados cuyo objeto sea el almacenamiento de los datos contenidos en los informes personales regulados en el artí­culo 68 de la Ley 17/1989, de 19 de julio, Reguladora del Régimen del Personal Militar Profesional.

Artí­culo 3. Definiciones.
A los efectos de la presente Ley se entenderá por:

a. Datos de carácter personal: Cualquier información concerniente a personas fí­sicas identificadas o identificables.

b. Fichero automatizado: Todo conjunto organizado de datos de carácter personal que sean objeto de un tratamiento automatizado, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

c. Tratamiento de datos: Operaciones y procedimientos técnicos, de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así­ como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

d. Responsable del fichero: Persona fí­sica, jurí­dica de naturaleza pública o privada y órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento.

e. Afectado: Persona fí­sica titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente articulo.

f. Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona determinada o determinable.

TITULO II
Principios de la protección de datos

Artí­culo 4. Calidad de los datos.
1. Só1o se podrán recoger datos de carácter personal para su tratamiento automatizado, así­ como someterlos a dicho tratamiento, cuando tales datos sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades legí­timas para las que se hayan obtenido.

En su clasificación sólo podrán utilizarse criterios que no se presten a prácticas ilí­citas.

2. Los datos de carácter personal objeto de tratamiento automatizado no podrán usarse para finalidades distintas de aquellas para las que los datos hubieran sido recogidos.

3. Dichos datos serán exactos y puestos al dí­a de forma que respondan con veracidad a la situación real del afectado

4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el articulo 15.

5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados y registrados.

No serán conservados en forma que permita la identificación del interesado durante un periodo superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos sus valores históricos de acuerdo con la legislación especifica, se decida el mantenimiento í­ntegro de determinados datos.

6. Serán almacenados de forma que permitan el ejercicio del derecho de acceso por parte del afectado.

7. Se prohibe la recogida de datos por medios fraudulentos, desleales o ilí­citos.

Artí­culo 5. Derecho de información en la recogida de datos.
1. Los afectados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequí­voco:

a. De la existencia de un fichero automatizado de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d. De la posibilidad de ejercitar los derechos de acceso, rectificación y cancelación.

e. De la identidad y dirección del responsable del fichero.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

3. No será necesaria la información a que se refiere el apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

Artí­culo 6. Consentimiento del afectado.
1. El tratamiento automatizado de los datos de carácter personal requerirá el consentimiento del afectado, salvo que la Ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal se recojan de fuentes accesibles al público, cuando se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias, ni cuando se refieran a personas vinculadas por una relación negocial, una relación laboral, una relación administrativa o un contrato y sean necesarios para el mantenimiento de las relaciones o para el cumplimiento del contrato.

3. El consentimiento a que se refiere el articulo podrá ser revocado cuando exista causa justificada para ello y no se le atribuya efectos retroactivos.

Articulo 7. Datos especialmente protegidos.
1.

De acuerdo con lo establecido en el apartado 2 del artí­culo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideologí­a, religión o creencias.

Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.

2. Sólo con consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento automatizado los datos de carácter personal que revelen la ideologí­a, religión y creencias.

3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados automatizadamente y cedidos cuando por razones de interés general así­ lo disponga una Ley o el afectado consienta expresamente.

4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideologí­a, religión, creencias, origen racial o vida sexual.

5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros automatizados de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras.

Artí­culo 8. Datos relativos a la salud.
Sin perjuicio de lo que se dispone en el artí­culo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento automatizado de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en los artí­culos 8, 10, 23 y 61 de la Ley 14/1986, de 25 de abril, General de Sanidad; 85. 5, 96 y 98 de la Ley 25/1990, de 20 de diciembre, del medicamento; 2, 3 y 4 de la Ley Orgánica 3/1986, de 14 de abril, de medidas especiales en materia de Salud Pública, y demás Leyes sanitarias.

Artí­culo 9. Seguridad de los datos.
1. El responsable del fichero deberá adoptar las medidas de í­ndole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnologí­a, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio fí­sico o natural.

2. No se registrarán datos de carácter personal en ficheros automatizados que no reúnan las condiciones que se determinen por ví­a reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros automatizados y las personas que intervengan en el tratamiento automatizado de los datos a que se refiere el articulo 7 de esta Ley.

Artí­culo 10. Deber de secreto.
El responsable del fichero automatizado y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo.

Artí­culo 11. Cesión de datos.
1. Los datos de carácter personal objeto del tratamiento automatizado sólo podrán ser cedidos para el cumplimiento de fines directamente relacionados con las funciones legí­timas del cedente y del cesionario con el previo consentimiento del afectado.

2. El consentimiento exigido en el apartado anterior no será preciso:

a. Cuando una Ley prevea otra cosa.

b. Cuando se trate de datos recogidos de fuentes accesibles al público.

c. Cuando el establecimiento del fichero automatizado responda a la libre y legí­tima aceptación de una relación jurí­dica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho fichero con ficheros de terceros. En este caso la cesión sólo será legí­tima en cuanto se limite a la finalidad que la justifique.

d. Cuando la cesión que deba efectuarse tenga por destinatario el Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales, en el ejercicio de las funciones que tiene atribuidas.

e. Cuando la cesión se produzca entre las Administraciones Públicas en los supuestos previstos en el artí­culo 19.

f. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero automatizado o para realizar los estudios epidemiológicos en los términos establecidos en el articulo 8 de la Ley 14/1986, de 25 de abril, General de Sanidad.

3. Será nulo el consentimiento cuando no recaiga sobre un cesionario determinado o determinable, o si no constase con claridad la finalidad de la cesión que se consiente.

4. El consentimiento para la cesión de datos de carácter personal tiene también un carácter de revocable.

5. El cesionario de los datos de carácter personal se obliga, por el solo hecho de la cesión, a la observancia de las disposiciones de la presente Ley.

6. Si la cesión se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.

TíTULO III
Derechos de las personas

Artí­culo 12. Impugnación de valoraciones basadas exclusivamente en datos automatizados.
El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento cuyo único fundamento sea un tratamiento automatizado de datos de carácter personal que ofrezca una definición de sus caracterí­sticas o personalidad.

Artí­culo 13. Derecho de información.
Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de ficheros automatizados de datos de carácter personal, sus finalidades y la identidad del responsable del fichero. El Registro General será de consulta pública y gratuita.

Artí­culo 14. Derecho de acceso.
1. El afectado tendrá derecho a solicitar y obtener información de sus datos de carácter personal incluidos en los ficheros automatizados.

2. La información podrá consistir en la mera consulta de los ficheros por medio de su visualización, o en la comunicación de los datos pertinentes mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos convencionales que requieran el uso de dispositivos mecánicos especí­ficos.

3. El derecho de acceso a que se refiere este articulo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el afectado acredite un interés legí­timo al efecto, en cuyo caso podrá ejercitarlo antes.

Artí­culo 15. Derecho de rectificación y cancelación.
1. Por ví­a reglamentaria se establecerá el plazo en que el responsable del fichero tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del afectado.

2. Los datos de carácter personal que resulten inexactos o incompletos serán rectificados y cancelados en su caso.

3. Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá notificar la rectificación o cancelación efectuada al cesionario.

4. La cancelación no procederá cuando pudiese causar un perjuicio a intereses legí­timos del afectado o de terceros o cuando existiese una obligación de conservar los datos.

5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del fichero y el afectado.

Artí­culo 16. Procedimiento de acceso.
1. El procedimiento para ejercitar el derecho de acceso, así­ como el de rectificación y cancelación será establecido reglamentariamente.

2. No se exigirá contraprestación alguna por la rectificación o cancelación de los datos de carácter personal inexactos.

Artí­culo 17. Tutela de los derechos y derecho de indemnización.
1. Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los afectados ante la Agencia de Protección de Datos, en la forma que reglamentariamente se determine.

2. Contra las resoluciones de la Agencia de Protección de Datos procederá recurso contencioso-administrativo.

3. Los afectados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable del fichero, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.

4. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones Públicas.

5. En el caso de los ficheros de titularidad privada la acción se ejercitará ante los órganos de la jurisdicción ordinaria.

TITULO IV
Disposiciones sectoriales

CAPITULO I
Ficheros de titularidad pública
Articulo 18. Creación, modificación o supresión.
1. La creación, modificación o supresión de los ficheros automatizados de las Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada en el * «Boletí­n Oficial del Estado* » o diario oficial correspondiente.

2. Las disposiciones de creación o de modificación de los ficheros deberán indicar:

a. La finalidad del fichero y los usos previstos para el mismo.

b. Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos.

c. El procedimiento de recogida de los datos de carácter personal.

d. La estructura básica del fichero automatizado y la descripción de los tipos de datos de carácter personal incluidos en el mismo.

e. Las cesiones de datos de carácter personal que, en su caso, se prevean.

f. Los órganos de la Administración responsables del fichero automatizado.

g. Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación y cancelación.

3. En las disposiciones que se dicten para la supresión de los ficheros automatizados se establecerá el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción.

Artí­culo 19. Cesión de datos entre Administraciones Públicas.
1. Los datos de carácter personal recogidos o elaborados por las Administraciones Públicas para el desempeño de sus atribuciones no serán cedidos a otras Administraciones Públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la cesión hubiese sido prevista por las disposiciones de creación del fichero o por disposición posterior de igual o superior rango que regule su uso.

2.

Podrán, en todo caso, ser objeto de cesión los datos de carácter personal que una Administración Pública obtenga o elabore con destino a otra.

3. No obstante lo establecido en el artí­culo 11.2.b) la cesión de datos recogidos de fuentes accesibles al público no podrá efectuarse a ficheros de titularidad privada, sino con el consentimiento del interesado o cuando una Ley prevea otra cosa.

Articulo 20. Ficheros de las Fuerzas y Cuerpos de Seguridad.
1. Los ficheros automatizados creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarán sujetos al régimen general de la presente Ley.

2. La recogida y tratamiento automatizado para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas, están limitados a aquellos supuestos y categorí­as de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros especí­ficos establecidos al efecto, que deberán clasificarse por categorí­as, en función de su grado de fiabilidad.

3. La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos a que hacen referencia los apartados 2 y 3 del artí­culo 7, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta.

4. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.

A estos efectos se considerará especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad.

Artí­culo 21. Excepciones a los derechos de acceso, rectificación y cancelación.
1. Los responsables de los ficheros que contengan los datos a que se refieren los apartados 2, 3 y 4 del articulo anterior podrán denegar el acceso, la rectificación o la cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.

2. Los responsables de los ficheros de la Hacienda Pública podrán, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras.

3. El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos mencionados en los apartados anteriores, podrá ponerlo en conocimiento del Director de la Agencia de Protección de Datos o del Organismo competente de cada Comunidad Autónoma en el caso de ficheros automatizados mantenidos por Cuerpos de Policí­a propios de éstas, o por las Administraciones Tributarias Autonómicas, quien deberá asegurarse de la procedencia o improcedencia de la denegación.

Articulo 22. Otras excepciones a los derechos de los afectados.
1. Lo dispuesto en los apartados 1 y 2 del articulo 5 no será aplicable a la recogida de datos cuando la información al afectado impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones Públicas o cuando afecte a la Defensa Nacional, a la Seguridad pública o a la persecución de infracciones penales o administrativas.

2. Lo dispuesto en el artí­culo 14 y en el apartado 1 del articulo 15 no será de aplicación si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección. Si el órgano administrativo responsable del fichero automatizado invocase lo dispuesto en este apartado, dictará resolución motivada e instruirá al afectado del derecho que le asiste a poner la negativa en conocimiento del Director de la Agencia de Protección de Datos o, en su caso, del órgano equivalente de las Comunidades Autónomas.

CAPITULO II
Ficheros de titularidad privada

Artí­culo 23. Creación.
Podrán crearse ficheros automatizados de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legí­timos de la persona, empresa o entidad titular y se respeten las garantí­as que esta Ley establece para la protección de las personas.

Artí­culo 24. Notificación e inscripción registral.
1. Toda persona o entidad que proceda a la creación de ficheros automatizados de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.

2. Por ví­a reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad y las cesiones de datos de carácter personal que se prevean realizar.

3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.

4.

El Registro General de Protección de Datos inscribirá el fichero automatizado si la notificación se ajusta a los requisitos exigibles.

En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.

5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.

Articulo 25. Comunicación de la cesión de datos.
1. El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar de ello a los afectados, indicando asimismo la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario.

2. La obligación establecida en el apartado anterior no existirá en el supuesto previsto en los apartados 2, letras c), d) y e), y 6 del artí­culo 11 ni cuando la cesión venga impuesta por Ley.

Articulo 26. Datos sobre abonados a servicios de telecomunicación.
Los números de los teléfonos y demás servicios de telecomunicación, junto con otros datos complementarios, podrán figurar en los repertorios de abonados de acceso al público, pero el afectado podrá exigir su exclusión.

Artí­culo 27. Prestación de servicios de tratamiento automatizado de datos de carácter personal.
1. Quienes, por cuenta de terceros, presten servicios de tratamiento automatizado de datos de carácter personal no podrán aplicar o utilizar los obtenidos con fin distinto al que figure en el contrato de servicios, ni cederlos, ni siquiera para su conservación, a otras personas.

2. Una vez cumplida la prestación contractual, los datos de carácter personal tratados deberán ser destruidos, salvo que medie autorización expresa de aquél por cuenta de quien se prestan tales servicios, porque razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrán almacenar con las debidas condiciones de seguridad por un perí­odo de cinco años.

Artí­culo 28. Prestación de servicios de información sobre solvencia patrimonial y crédito.

1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito sólo podrán tratar automatizadamente datos de carácter personal obtenidos de fuentes accesibles al público o procedentes de informaciones facilitadas por el afectado o con su consentimiento. Podrán tratarse, igualmente, datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los afectados respecto de los que hayan registrado datos de carácter personal en ficheros automatizados, en el plazo de treinta dí­as desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley.

2. Cuando el afectado lo solicite, el responsable del fichero le comunicará los datos, así­ como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección del cesionario.

3. Só1o se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los afectados y que no se refieran, cuando sean adversos, a más de seis años.

Artí­culo 29. Ficheros con fines de publicidad.
1. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad o venta directa y otras actividades análogas, utilizarán listas tratadas automáticamente de nombres y direcciones u otros datos personales, cuando los mismos figuren en documentos accesibles al público o cuando hayan sido facilitados por los propios afectados u obtenidos con su consentimiento.

2. Los afectados tendrán derecho a conocer el origen de sus datos de carácter personal, así­ como a ser dados de baja de forma inmediata del fichero automatizado, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud.

Artí­culo 30. Ficheros relativos a encuestas o investigaciones.
1. Sólo se utilizarán de forma automatizada datos de carácter personal en las encuestas de opinión, trabajos de prospección de mercados, investigación cientí­fica o médica y actividades análogas, si el afectado hubiera prestado libremente su consentimiento a tal efecto.

2. Los datos de carácter personal tratados automáticamente con ocasión de tales actividades no podrán ser utilizados con finalidad distinta ni cedidos de forma que puedan ser puestos en relación con una persona concreta.

Artí­culo 31. Códigos tipo.
1. Mediante acuerdos sectoriales o decisiones de empresa, los responsables de ficheros de titularidad privada podrán formular códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así­ como las garantí­as, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto de los principios y disposiciones de la presente Ley y sus normas de desarrollo.

Los citados códigos podrán contener o no reglas operacionales detalladas de cada sistema particular y estándares técnicos de aplicación.

En el supuesto de que tales reglas o estándares no se incorporaran directamente al código, las instrucciones u órdenes que los establecieran deberán respetar los principios fijados en aquél.

2. Los códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica profesional, debiendo ser depositados o inscritos en el Registro General de Protección de Datos, que podrá denegar la inscripción cuando considere que no se ajustan a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el Director de la Agencia de Protección de Datos requerir a los solicitantes para que efectúen las correcciones oportunas.

TITULO V
Movimiento internacional de datos
Articulo 32. Norma general.
No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento automatizado o hayan sido recogidos para someterlos a dicho tratamiento con destino a paí­ses que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantí­as adecuadas.

Articulo 33. Excepciones.
Lo dispuesto en el artí­culo anterior no será de aplicación:

a. Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.

b. Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

c. Cuando la misma tenga por objeto el intercambio de datos de carácter médico entre facultativos o instituciones sanitarias y así­ lo exija el tratamiento del afectado, o la investigación epidemiológica de enfermedades o brotes epidémicos.

d. Cuando se refiera a transferencias dinerarias conforme a su legislación especí­fica.

TITULO VI
Agencia de Protección de Datos

Articulo 34. Naturaleza y régimen jurí­dico.
1. Se crea la Agencia de Protección de Datos.
2. La Agencia de Protección de Datos es un Ente de Derecho Público, con personalidad jurí­dica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones. Se regirá por lo dispuesto en la presente Ley y en un Estatuto propio que será aprobado por el Gobierno, así­ como por aquellas disposiciones que le sean aplicables en virtud del artí­culo 6.5 de la Ley General Presupuestaria.

3. En el ejercicio de sus funciones públicas, y en defecto de lo que dispongan la presente Ley y sus disposiciones de desarrollo, la Agencia de Protección de Datos actuará de conformidad con la Ley de Procedimiento Administrativo. En sus adquisiciones patrimoniales y contratación estará sujeta al Derecho privado.

4. Los puestos de trabajo de los órganos y servicios que integren la Agencia de Protección de Datos serán desempeñados por funcionarios de las Administraciones Públicas y por personal contratado al efecto, según la naturaleza de las funciones asignadas a cada puesto de trabajo. Este personal está obligado a guardar secreto de los datos de carácter personal de que conozca en el desarrollo de su función.

5. La Agencia de Protección de Datos contará, para el cumplimiento de sus fines, con los siguientes bienes y medios económicos:

a. Las asignaciones que se establezcan anualmente con cargo a los Presupuestos Generales del Estado.

b. Los bienes y valores que constituyan su patrimonio, así­ como los productos y rentas del mismo.

c. Cualesquiera otros que legalmente puedan serle atribuidos.

6. La Agencia de Protección de Datos elaborará y aprobará con carácter anual el correspondiente anteproyecto de presupuesto y lo remitirá al Gobierno para que sea integrado, con la debida independencia, en los Presupuestos Generales del Estado.

Articulo 35. El Director.
1. El Director de la Agencia de Protección de Datos dirige la Agencia y ostenta su representación. Será nombrado, de entre quienes componen el Consejo Consultivo, mediante Real Decreto, por un periodo de cuatro años.

2. Ejercerá sus funciones con plena independencia y objetividad y no estará sujeto a instrucción alguna en el desempeño de aquéllas.

3. El Director de la Agencia de Protección de Datos sólo cesará antes de la expiración del periodo a que se refiere el apartado 1 a petición propia o por separación acordada por el Gobierno, previa instrucción de expediente, en el que necesariamente serán oí­dos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por delito doloso.

4. El Director de la Agencia de Protección de Datos tendrá la consideración de alto cargo.

Artí­culo 36. Funciones.
Son funciones de la Agencia de Protección de Datos:

a. Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación y cancelación de datos.

b. Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.

c. Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos automatizados a los principios de la presente Ley.

d. Atender las peticiones y reclamaciones formuladas por las personas afectadas.

e. Proporcionar información a las personas acerca de sus derechos en materia de tratamiento automatizado de los datos de carácter personal.

f. Ordenar la cesación de los tratamientos de datos de carácter personal y la cancelación de los ficheros, cuando no se ajusten a las disposiciones de la presente Ley.

g. Ejercer la potestad sancionadora en los términos previstos por el titulo VII de la presente Ley.

h. Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.

i. Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones.

j. Velar por la publicidad de la existencia de los ficheros automatizados de datos con carácter personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la información adicional que el Director de la Agencia determine.

k. Redactar una memoria anual y remitirla al Ministerio de Justicia.

l. Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así­ como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.

m. Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadistica Pública establece respecto a la recogida de datos estadí­sticos y al secreto estadí­stico, así­ como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadí­sticos y ejercer la potestad a la que se refiere el artí­culo 45.

n. Cuantas otras le sean atribuidas por normas legales o reglamentarias.

Artí­culo 37. Consejo consultivo.

El Director de la Agencia de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros:

* Un Diputado, propuesto por el Congreso de los Diputados.
* Un Senador, propuesto por la correspondiente Cámara.
* Un representante de la Administración Central, designado por el Gobierno.
* Un representante de la Administración Local, propuesto por la Federación Española de Municipios y Provincias.
* Un miembro de la Real Academia de la Historia, propuesto por la misma.
* Un experto en la materia, propuesto por el Consejo Superior de Universidades.
* Un representante de los usuarios y consumidores, seleccionado del modo que se prevea reglamentariamente.
* Un representante de las Comunidades Autónomas, cuya propuesta se realizará a través del procedimiento que se establezca en las disposiciones de desarrollo de esta Ley.
* Un representante del sector de ficheros privados, para cuya propuesta se seguirá el procedimiento que se regule reglamentariamente.

El funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias que al efecto se establezcan.

Articulo 38. El Registro General de Protección de Datos.
1. Se crea el Registro General de Protección de Datos como órgano integrado en la Agencia de Protección de Datos.

2. Serán objeto de inscripción en el Registro General de Protección de Datos:

a. Los ficheros automatizados de que sean titulares las Administraciones Públicas.

b. Los ficheros automatizados de titularidad privada.

c. Las autorizaciones a que se refiere la presente Ley.

d. Los códigos tipo a que se refiere el artí­culo 31 de la presente Ley.

e. Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación y cancelación.

3. Por ví­a reglamentaria se regulará el procedimiento de inscripción de los ficheros, tanto de titularidad pública como de titularidad privada, en el Registro General de Protección de Datos, el contenido de la inscripción, su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás extremos pertinentes.

Artí­culo 39. Potestad de inspección.
1.

La Agencia de Protección de Datos podrá inspeccionar los ficheros a que hace referencia la presente Ley recabando cuantas informaciones precise para el cumplimiento de sus cometidos.

A tal efecto, podrá solicitar la exhibición o el enví­o de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así­ como inspeccionar los equipos fí­sicos y lógicos utilizados para el tratamiento de los datos accediendo a los locales donde se hallen instalados.

2.

Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior, tendrán la consideración de autoridad pública en el desempeño de sus cometidos.

Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.

Artí­culo 40. Organos correspondientes de las Comunidades Autónomas.
1. Las funciones de la Agencia de Protección de Datos reguladas en el artí­culo 36, a excepción de las mencionadas en los apartados j) , k) y 1) y en los apartados f) y g) en lo que se refiere a las transferencias internacionales de datos, así­ como en los artí­culos 45 y 48, en relación con sus especí­ficas competencias, serán ejercidas, cuando afecten a ficheros automatizados de datos de carácter personal creados o gestionados por las Comunidades Autónomas, por los órganos correspondientes de cada Comunidad, a los que se garantizará plena independencia y objetividad en el ejercicio de su cometido.

2. Las Comunidades Autónomas podrán crear y mantener sus propios registros de ficheros públicos para el ejercicio de las competencias que se les reconoce sobre los mismos, respecto de los archivos informatizados de datos personales cuyos titulares sean los órganos de las respectivas Comunidades Autónomas o de sus Territorios Históricos.

3. El Director de la Agencia de Protección de Datos podrá convocar regularmente a los órganos correspondientes de las Comunidades Autónomas a efectos de cooperación institucional y coordinación de criterios o procedimientos de actuación. El Director de la Agencia de Protección de Datos y los órganos correspondientes de las Comunidades Autónomas podrán solicitarse mutuamente la información necesaria para el cumplimiento de sus funciones.

Artí­culo 41. Ficheros de las Comunidades Autónomas en materias de su exclusiva competencia.
1. Cuando el Director de la Agencia de Protección de Datos constate que el mantenimiento o uso de un determinado fichero automatizado de las Comunidades Autónomas contraviene algún precepto de esta Ley en materia de su exclusiva competencia, podrá requerir a la Administración correspondiente para que adopte las medidas correctoras que determine en el plazo que expresamente se fije en el requerimiento.

2. Si la Administración Pública correspondiente no cumpliera el requerimiento formulado, el Director de la Agencia de Protección de Datos podrá impugnar la resolución adoptada por aquella Administración.

TITULO VII
Infracciones y sanciones
Artí­culo 42. Responsables.
1. Los responsables de los ficheros estarán sujetos al régimen sancionador establecido en la presente Ley.

2. Cuando se trate de ficheros de los que sean responsables las Administraciones Públicas se estará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en el artí­culo 45, apartado 2.

Articulo 43. Tipos de infracciones.
1. Las infracciones se calificarán como leves, graves o muy graves.

2. Son infracciones leves:

a. No proceder, de oficio o a solicitud de las personas o instituciones legalmente habilitadas para ello, a la rectificación o cancelación de los errores, lagunas o inexactitudes de carácter formal de los ficheros.

b. No cumplir las instrucciones dictadas por el Director de la Agencia de Protección de Datos, o no proporcionar la información que éste solicite en relación a aspectos no sustantivos de la protección de datos.

c. No conservar actualizados los datos de carácter personal que se mantengan en ficheros automatizados.

d. Cualquiera otra que afecte a cuestiones meramente formales o documentales y que no constituya infracción grave o muy grave.

3. Son infracciones graves:
a. Proceder a la creación de ficheros automatizados de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el * «Boletí­n Oficial del Estado* » o diario oficial correspondiente.

b. Proceder a la creación de ficheros automatizados de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legí­timo de la empresa o entidad.

c. Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible, o sin proporcionarles la información que señala el artí­culo 5 de la presente Ley.

d. Tratar de forma automatizada los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantí­as establecidas en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

e. El impedimento o la obstaculización del ejercicio del derecho de acceso y la negativa a facilitar la información que sea solicitada.

f. Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.

g. La vulneración del deber de guardar secreto, cuando no constituya infracción muy grave.

h. Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por ví­a reglamentaria, se determinen.

i. No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así­ como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.

j. La obstrucción al ejercicio de la función inspectora.

4. Son infracciones muy graves:

a. La recogida de datos en forma engañosa y fraudulenta.

b. La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.

c. Recabar y tratar de forma automatizada los datos de carácter personal a los que se refiere el apartado 2 del artí­culo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar de forma automatizada los datos referidos en el apartado 3 del artí­culo 7 cuando no lo disponga una Ley o el afectado no haya consentido expresamente o violentar la prohibición contenida en el apartado 4 del artí­culo 7.

d. No cesar en el uso ilegí­timo de los tratamientos automatizados de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso.

e. La transferencia, temporal o definitiva, de datos de carácter personal que hayan sido objeto de tratamiento automatizado o hayan sido recogidos para someterlos a dicho tratamiento, con destino a paí­ses que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de Datos.

f. Tratar de forma automatizada los datos de carácter personal de forma ilegitima o con menosprecio de los principios y garantí­as que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.

g. La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artí­culo 7.

Artí­culo 44. Tipos de sanciones.
1. Las infracciones leves serán sancionadas con multa de 100.000 a 10.000.000 de pesetas.

2. Las infracciones graves serán sancionadas con multa de 10.000.001 pesetas a 50.000.000 de pesetas.

3. Las infracciones muy graves serán sancionadas con multa de 50.000.001 pesetas a 100.000.000 de pesetas.

4. La cuantí­a de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad y a la reincidencia.

5. El Gobierno actualizará periódicamente la cuantí­a de las sanciones de acuerdo con las variaciones que experimenten los í­ndices de precios.

Artí­culo 45. Infracciones de las Administraciones Públicas.
1. Cuando las infracciones a que se refiere el artí­culo 43 fuesen cometidas en ficheros de los que sean responsables las Administraciones Públicas, el Director de la Agencia de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.

2. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas.

3. Se deberán comunicar a la Agencia las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

4. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores.

Artí­culo 46. Prescripción.
1. Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año.

2. El plazo de prescripción comenzará a contarse desde el dí­a en que la infracción se hubiera cometido.

3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causa no imputable al presunto infractor.

4. Las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año.

5. El plazo de prescripción de las sanciones comenzará a contarse desde el dí­a siguiente a aquél en que adquiera firmeza la resolución por la que se impone la sanción.

6. La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

Artí­culo 47. Procedimiento sancionador.
1. Por ví­a reglamentaria se establecerá el procedimiento a seguir para la determinación de las infracciones y la imposición de las sanciones a que hace referencia el presente Tí­tulo.

2. Contra las resoluciones de la Agencia de Protección de Datos, u órgano correspondiente de la Comunidad Autónoma, procederá recurso contencioso-administrativo.

Artí­culo 48. Potestad de inmovilización de ficheros.
En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilí­cita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros automatizados de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilí­cita de los datos. Si el requerimiento fuera desatendido la Agencia de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros automatizados a los solos efectos de restaurar los derechos de las personas afectadas.

Disposición adicional primera. Exclusión de la aplicación de los Tí­tulos VI y VII.
Lo dispuesto en los Tí­tulos VI y VII no es de aplicación a los ficheros automatizados de los que sean titulares las Cortes Generales, el Defensor del Pueblo, el Tribunal de Cuentas, el Consejo General del Poder Judicial y el Tribunal Constitucional.

Disposición adicional segunda.-Ficheros existentes con anterioridad a la entrada en vigor de la Ley.
1. Dentro del año siguiente a la entrada en vigor de la presente Ley Orgánica deberán ser comunicados a la Agencia de Protección de Datos los ficheros y tratamientos automatizados de datos de carácter personal existentes con anterioridad y comprendidos dentro de su ámbito de aplicación.

2. Dentro del año siguiente a la entrada en vigor de la presente Ley Orgánica, las Administraciones Públicas responsables de ficheros automatizados ya existentes deberán adoptar una disposición de regulación del fichero o adaptar la que existiera.

Disposición adicional tercera.-Competencias del Defensor del Pueblo.
Lo dispuesto en la presente Ley Orgánica se entiende sin perjuicio de las competencias del Defensor del Pueblo y de los órganos análogos de las Comunidades Autónomas.

Disposición transitoria unica.-Adaptaciones complejas a lo establecido en la Ley.
Cuando la adaptación de los ficheros automatizados a los principios y derechos establecidos en la presente Ley requiera la adopción de medidas técnicas complejas o el tratamiento de un gran volumen de datos, tales adaptaciones y tratamientos deberán realizarse en el plazo de un año desde la entrada en vigor de la Ley, sin perjuicio del cumplimiento, en todo lo demás, de las disposiciones de la misma.

Disposición derogatoria única.-Derogación de la disposición transitoria primera de la Ley Orgánica 1/1982 .
Queda derogada la disposición transitoria primera de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.

Disposición final primera.-Habilitación de desarrollo reglamentario.
El Gobierno dictará las disposiciones necesarias para la aplicación y desarrollo de la presente Ley, y para regular la estructura orgánica de la Agencia de Protección de Datos.

Disposición final segunda.-Extensión de la aplicación de la Ley a ficheros convencionales.
El Gobierno, previo informe del Director de la Agencia de Protección de Datos, podrá extender la aplicación de la presente Ley, con las modificaciones y adaptaciones que fuesen necesarias, a los ficheros que contengan datos almacenados en forma convencional y que no hayan sido sometidos todaví­a o no estén destinados a ser sometidos a tratamiento automatizado.

Disposición final tercera.-Preceptos con carácter de Ley ordinaria.
Los artí­culos 18, 19, 23, 26, 27, 28, 29, 30, 31, los Tí­tulos VI y VII, las disposiciones adicionales primera y segunda y la disposición final primera tienen carácter de Ley ordinaria.

Disposición final cuarta.-Entrada en vigor.
La presente Ley Orgánica entrará en vigor a los tres meses de su publicación en el * « Boletí­n Oficial del Estado* ».

Por tanto,

Mando a todos los españoles, particulares y autoridades que guarden y hagan guardar esta Ley Orgánica.

Madrid, 29 de octubre de 1992.

JUAN CARLOS R.

El Presidente del Gobierno

Felipe González Márquez


Disposición DNPDP 8/2006 – Publicación en la web de dictamenes de la DNPDP

Posted: mayo 25th, 2006 | Author: | Filed under: Argentina, General, Normas | No Comments »

MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS
DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES
Disposición Nº 8/2006 (BO 24/5/2006)
Bs. As., 8/5/2006

VISTO, las competencias atribuidas a esta DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES por la Ley Nº 25.326 y su Decreto Reglamentario Nº 1558 del 29 de noviembre de 2001, y

CONSIDERANDO:

Que en cumplimiento de las funciones que tiene asignadas esta Dirección Nacional emite dictámenes en los que manifiesta su opinión acerca de los alcances de la “Ley Nº 25.326″:http://www.habeasdata.org/ley25326 y el Decreto Nº 1558/01.

Que el principio republicano de la publicidad de los actos públicos exige que la documentación de los organismos del Estado sea accesible por el público en general.

Que además constituye un acto de transparencia dar a publicidad la gestión de esta Dirección Nacional.

Que el Poder Ejecutivo Nacional ha plasmado estos principios con el dictado del Decreto Nº 1172/01.

Que la finalidad del Acceso a la Información Pública es permitir y promover una efectiva participación ciudadana, a través de la provisión de información completa, adecuada, oportuna y veraz, según lo establece el artí­culo 4º del Anexo VII del decreto citado en el párrafo precedente.

Que se considera que la publicación de los citados dictámenes resultará de sumo interés para la comunidad ya que facilitará el conocimiento de la labor de interpretación que hace esta Dirección Nacional en su condición de órgano de control de la Ley Nº 25.326.

Que se estima que ello redundará en un fortalecimiento de la cultura de protección de datos personales.

Que en razón de ello corresponde disponer la publicación de los dictámenes de esta Dirección Nacional en la página web de la dependencia.

Que la presente medida se dicta en uso de las facultades conferidas por el artí­culo 29, inciso 1, apartado b) de la Ley Nº 25.326 y el artí­culo 29, inciso 5, apartado a) del Anexo I del Decreto Nº 1558 del 29 de noviembre de 2001.

Por ello,

EL DIRECTOR NACIONAL DE PROTECCION DE DATOS PERSONALES

DISPONE:

ARTICULO 1º -” Ordénase la publicación de los dictámenes de esta Dirección Nacional en la “página web de la dependencia”:http://www.jus.gov.ar/dnpdpnew/dictamenes/D2003.html.

ARTICULO 2º -” Comuní­quese, publí­quese, dése a la Dirección Nacional del Registro Oficial y archí­vese. -” Prof. Dr. JUAN ANTONIO TRAVIESO, Director Nacional, Dirección Nacional de Protección de Datos Personales.


Palazzi – La transmisión internacional de datos personales

Posted: mayo 25th, 2006 | Author: | Filed under: América Latina, General, Referencia | No Comments »

*La transmisión internacional de datos personales y la protección de la privacidad (Argentina, América Latina, Estados Unidos, y la Unión Europea) Editorial Ad-Hoc, Buenos Aires, Argentina Autor: Pablo A. Palazzi*

_Comentado por Ana I. Piaggi_

I.- Este trabajo apoya en la tesis que el autor escribió para obtener su “Master en Derecho sobre Comercio Internacional y Negocios Internacionales” (L.L.M.), en la Escuela de Derecho de la “Universidad de Fordham”:http://law.fordham.edu/ (E.E.U.U.).
Su director de tesis y prologuista, fue el conocido profesor “Joel R. Reindenberg”:http://www.fordham.edu/law/faculty/reidenberg/main.htm. Mas tarde este trabajo obtuvo el premio -Accesit- de la Agencia de Datos Personales de España.
Pablo Palazzi enfatiza su objetivo, clara y concretamente: el análisis del emergente derecho de la protección de datos personales en América Latina, el que pese a las notables presiones existentes, se inclina a seguir el modelo europeo en la materia, al igual que otros paí­ses ajenos a esa cultura jurí­dica; didácticamente explica las razones de tal tendencia.
En orden a esta cuestión, señala que:
1) Todos los Estados de Europa aprobaron leyes de protección de datos, a diferencia de Estados Unidos, paí­s que careciendo de una ley general de privacidad se autolimitó, adoptando un enfoque casuí­stico, legislando sólo en ciertos sectores y aspectos especí­ficos. E.E.U.U. adopta el sistema de la autorregulación como alternativa -autosuficiente- para soslayar toda regulación estatal.
2) Europa sigue el camino contrario, obteniendo un notable avance con la aprobación de acuerdos internacionales; entre otros: las directrices de la organización para la cooperación y el desarrollo económico, el Convenio del Consejo de Europa, y la aprobación en 1996 por la U.E. de la Directiva sobre protección de datos personales en vigor desde 1998. í‰sta en su el artí­culo 25 sólo autoriza la transferencia de datos personales a paí­ses que posean un adecuado nivel de protección de privacidad. Coetáneamente, la Unión aprobó la Directiva para la protección de datos en el sector de las telecomunicaciones; y en 1999, la Comisión adoptó una propuesta de Reglamento sobre la protección de las personas fí­sicas apuntando al tratamiento de los datos personales por las instituciones y los organismos de la comunidad, involucrando la libre circulación de esos datos. En el mismo año incorporó la Directiva sobre firmas electrónicas.
De su lado, el Parlamento Europeo elaboró la Carta Europea de Derechos Humanos incluyendo una nueva disposición sobre la protección de datos, ratificando que se trata de un derecho humano. El mismo rango le es otorgado a la protección de datos, en la ciudad de Niza en el año 2000 por todos los miembros de la U.E.
3) Como destaca el autor el enfoque europeo apoya en considerar el derecho a la privacidad como un derecho humano, y éste, según el “Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales” explicita el alto nivel de protección que aquél goza dentro de la Unión.
El derecho a la privacidad es también protegido por la “Convención Europea de Derechos Humanos” que si bien no fue incorporada a la U.E. fue aplicada repetidamente por la Corte de Justicia Europea para reconocer diferentes aspectos del derecho a la vida privada.
4) A éstas y otras explicaciones jurí­dicas, suma el autor la meritación de ciertos aspectos estratégicos; vgr.: algunas de las razones por las cuales el modelo legislativo de la Directiva de la U.E. se expande al resto de Europa, se relaciona con los recaudos que deben cumplir los paí­ses que aspiran a ser aceptados por el Grupo, y por ello los Estados que solicitaron su ingreso se encuentran abocados a un acelerado proceso de adecuación de su legislación interna a la normativa comunitaria.
5) Este modelo también se expande a la América Latina, y a este nivel se está negociando una Convención basada en el Convenio del Consejo de Europa.
Los argumentos de Palazzi para fundamentar tal tendencia son agudos, sólidos, sutiles y perspicaces. Así­, apunta a circunstancias sociológicas e históricas propias de nuestro continente que tornan imprescindible legislar estableciendo principios básicos para el tratamiento de datos personales. No desconoce ni omite tratar las presiones económicas ejercidas sobre paí­ses no europeos, provenientes principalmente del articulo 25 de la Directiva, que establece que la transferencia de datos sólo puede tener lugar si el paí­s destinatario cuenta con una legislación “adecuada”.
En el mismo orden de ideas, refiere al deseo de los Estados de integrar el “Club de Protección de Datos”; pues en un mundo cada vez mas interdependiente las polí­ticas de la U.E. producen efectos externos que fuerzan a otros paí­ses a seguir polí­ticas que en situaciones distintas quizás habrí­an evitado e, incluso hubieran resistido. Lo anterior se potencia a medida que mas naciones se unen al referido -˜grupo-™.
6) Otros motivos que relaciona con el éxito del modelo europeo son: a) el interés económico: en tanto se procura evitar obstáculos al comercio internacional; y, b) el interés tecnológico: derivado del “poder informático” que motiva que polí­ticos, juristas y legisladores latinoamericanos estudien modelos extranjeros y meriten la experiencia del derecho comparado, para utilizar en la legislación que pretenden implementar en sus paí­ses.
Con realismo Palazzi destaca que nos falta mucho (la comentarista dirí­a que demasiado) pues -como es por todos conocido- existen abundantes problemas de tipo ético-cultural en nuestro continente. Así­, sostiene: “… los paí­ses iberoamericanos corren el riesgo de realizar implementaciones deficientes de leyes de protección de datos, influenciados… por “lobbies” y presiones de intereses particulares o empresarios que pueden frustrar el desarrollo de la protección de datos”. La comentarista, agrega que el resultado de la presión de estos lobbies produjeron normativas patológicas, durante demasiado tiempo, y que proyectos necesarios para los operadores económicos y reclamados por la comunidad internacional, que resultan indispensables para el desarrollo nacional no se tratan o bien se sancionan desfigurados; convertidos en verdaderas caricaturas jurí­dicas. Muchas veces ello acaece por la paupérrima formación jurí­dica de algunos parlamentarios y la negligencia o indiferencia de los otros.
II.- El tema es atrayente, por cuanto si bien la informática y las telecomunicaciones no reconocen fronteras y, para el comercio internacional las leyes de protección pueden convertirse en un serio obstáculo para el intercambio de bienes y servicios, y -por lo demás- existen notables asimetrí­as entre las legislaciones que se ocupan del tema, aunque acuerdos internacionales como el GATS procuran evitar su abuso.
Acertadamente, se apunta a que el reciente acuerdo entre Europa y Estados Unidos conocido como -Acuerdo de Puerto Seguro- configura un puente para la búsqueda de soluciones al problema creado en la trasmisión internacional de datos personales y la privacidad.
Seguidamente, se afronta el tratamiento de distintas regulaciones del “hábeas data” en Latinoamérica, trayéndose a colación que en los últimos cuatro años, cuatro paí­ses latinoamericanos aprobaron leyes de protección de datos personales (Argentina, Chile, Paraguay y Perú). También se analizan otros proyectos orientados en el mismo sentido, actualmente en estudio en México, Brasil y Uruguay.
Todas estas normativas no sólo son enunciadas y examinadas sino que también se extraen conclusiones originales advirtiéndose sobre la profunda interrelación entre derecho comercial, negocios internacionales y derecho a la privacidad.
No es común en nuestro medio correlacionar esta realidad -“que resulta innegable- pues como el mismo autor destaca, tradicionalmente el derecho a la privacidad es usualmente vinculado con el derecho civil o el derecho constitucional. Sostiene: “…Esto está cambiando con el desarrollo de la sociedad de la información. La protección de datos requiere del derecho contractual para asegurar que las transferencias sean adecuadas cuando el régimen de privacidad del paí­s de destino no lo es. Además entran en juego normas de derecho administrativo relacionadas con las agencias de protección de datos y la protección del consumidor… dentro de poco también requerirán del derecho internacional, pues será necesario alcanzar una solución global para el problema de las transacciones internacionales de datos frente a la existencia de normas disí­miles…”. Buena reflexión y acertada prognósis.
Coincidimos con su enfoque; porque de la misma manera que el derecho al consumidor es el correlato del derecho de defensa de la concurrencia y necesita ser mas y mejor trabajado por los comercialistas, es a nuestro criterio indubitable, a estas alturas, que la tecnologí­a incide cada vez mas de manera penetrante en los derechos personalí­simos.
III.- Finalmente, reflexiona el autor sobre la valoración de las normas de la Directiva Europea en materia de trasmisión de datos personales. Arranca con el capí­tulo IV regulatorio de la transferencia de datos personales a terceros paí­ses, prohibiendo su transferencia a aquéllos que carecen de leyes -˜adecuadas-™ de protección de datos, con la finalidad de evitar que un “paraí­so informático” derribe el esquema tuitivo, que el autor describe en el capitulo I.
La obra ejemplifica prolijamente los temas abordados con notas a pie de página, facilitando la lectura amena del texto y evitando distracciones al lector. Una ecuación perfecta en el tratamiento de un tema complejo y árido.
No se omiten referencias a excepciones í­nsitas en la Directiva en cuestión, que en su artí­culo 26 autoriza a los Estados miembros a efectuar transferencias de datos personales a un tercer paí­s que no garantice un nivel de protección adecuado; bajo ciertas condiciones. Se tratan con solvencia los distintos métodos de evaluación y la sistemática de las equivalencias funcionales.
IV.- Con manejo erudito de la jurisprudencia, legislación y doctrina, merita Palazzi la adecuación de los regí­menes de privacidad vigentes en Argentina y Chile, y la metodologí­a para evaluar la trasmisión de datos personales a Latinoamérica.
Sintetizando, el volumen que consta de tres capí­tulos y un muy útil cuadro de anexos, arriba a conclusiones sensatas, realistas y aciertos teóricos. A lo anterior, se suma una edición cuidada y de calidad; aspectos que en demasiadas oportunidades son descuidados por los editores locales.
En suma, se trata de una obra que registra la existencia de un fenómeno que no es un tema menor y la conciencia del problema se origina en a la incuestionable competencia en la materia del autor.
Ana I. Piaggi
***


España – STC 292/2000 (recurso de inconstitucionalidad interpuesto por el Defensor del Pueblo)

Posted: mayo 23rd, 2006 | Author: | Filed under: Casos, General, Google | No Comments »

STC 292/2000, de 30 de noviembre de 2000

El Pleno del Tribunal Constitucional, compuesto por don Pedro Cruz Villalón, Presidente, don Carles Viver Pi-Sunyer, don Rafael de Mendizábal Allende, don Julio Diego González Campos, don Manuel Jiménez de Parga y Cabrera, don Tomás S. Vives Antón, don Pablo Garcí­a Manzano, don Pablo Cachón Villar, don Fernando Garrido Falla, don Vicente Conde Martí­n de Hijas, don Guillermo Jiménez Sánchez y doña Marí­a Emilia Casas Baamonde, Magistrados, ha pronunciado

EN NOMBRE DEL REY

la siguiente

S E N T E N C I A

En el recurso de inconstitucionalidad núm. 1463-2000, interpuesto por el Defensor del Pueblo, contra los arts. 21.1 y 24.1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Ha comparecido y alegado el Abogado del Estado. Ha sido Ponente el Magistrado don Julio Diego González Campos, quien expresa el parecer del Tribunal.

I. Antecedentes

1. Por escrito registrado en este Tribunal el 14 de marzo de 2000, el Defensor del Pueblo (art. 162 CE; art. 32 LOTC; arts. 5.4 y 29 de la Ley Orgánica 3/1981, de 6 de abril, del Defensor del Pueblo), interpuso recurso de inconstitucionalidad contra incisos de los arts. 21.1 (“Comunicación de datos entre Administraciones Públicas”) y 24.1 y 2 (“Otras excepciones a los derechos de los afectados”) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) por vulneración de los arts. 18.1 y 4 y 53.1 CE.

2. A juicio del Defensor del Pueblo los incisos recurridos de ambos preceptos lesionan el contenido esencial de los derechos fundamentales del art. 18.1, en relación con lo dispuesto en su apartado 4, y la reserva de ley del art. 53.1 CE. Dichos incisos tienen el siguiente tenor literal: el art. 21.1 LOPD donde expresa “o por disposición de superior rango que regule su uso”; el art. 24.1, al referirse a: “funciones de control y verificación de las administraciones públicas” y “persecución de infracciones … administrativas”; y el art. 24.2, primer párrafo, al establecer que “Lo dispuesto en el artí­culo 15 [derecho de acceso a sus datos por los afectados] y en el apartado 1 del artí­culo 16 [derecho de rectificación y cancelación] no será de aplicación si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección”.

a) En lo que hace a la impugnación parcial del art. 21.1 LOPD, al regular la comunicación de datos entre Administraciones Públicas, en relación con lo dispuesto en el art. 20.1 LOPD, aduce el Defensor del Pueblo en su recurso que la interpretación conjunta de los dos preceptos legales recurridos produce el resultado de que la LOPD posibilita, en primer lugar, que puedan hacerse cesiones de datos entre Administraciones Públicas para fines distintos a los que motivaron su recogida. En segundo lugar, que el titular de esos datos no sea informado, cuando se recaban, de la posibilidad de dicha cesión, al no estar prevista en la norma que crea y regula el fichero. En tercer lugar, que la propia cesión se efectúa sin el consentimiento del afectado. Y, en cuarto y último lugar, que la autorización para efectuar esas cesiones puede contenerse en una norma de rango inferior a la Ley.

Razona el Defensor del Pueblo que el mentado inciso de este precepto vulnera lo dispuesto en el art. 53.1 CE al permitir que una norma de rango inferior a la Ley autorice la cesión de datos entre Administraciones Públicas sin el consentimiento ni el conocimiento del afectado, e incluso para fines diversos para los que fueron recogidos y automatizados. El art. 21.1 LOPD, debe ponerse en relación con el art. 20 de la misma Ley, el cual, al regular la creación, modificación y supresión de ficheros de titularidad pública establece que dicha creación, modificación o supresión sólo podrá hacerse por medio de “disposición general publicada en” el BOE, que deberá indicar determinados extremos, caracterí­sticas y contenidos del fichero creado o modificado, que el precepto legal enumera. Pero esa disposición general que puede crear, modificar o suprimir el fichero de titularidad pública bien puede ser una norma de rango infralegal, y en la práctica suelen ser esas disposiciones órdenes ministeriales y resoluciones administrativas emanadas de muy diversas autoridades. El art. 21.1, estatuyendo una excepción adicional al consentimiento previo del interesado a la comunicación de sus datos entre ficheros a las previstas en el art. 11 LOPD, permitirí­a que la propia norma de creación del fichero, o una norma de superior rango que regule su uso, autoricen la cesión de datos entre Administraciones. Lo que supone, en último término, y habida cuenta de que muchos de los ficheros se crean por disposiciones generales de rango inferior incluso al Decreto, que una norma de rango reglamentario podrí­a autorizar dicha cesión y, en consecuencia, establecer una excepción a la prohibición genérica de cesión impuesta en ese mismo apartado del art. 21 LOPD.

Así­ pues, sigue razonando el Defensor del Pueblo, el inciso del art. 21 LOPD impugnado vulnerarí­a la Constitución al permitir la cesión de datos para fines diferentes a aquéllos para los que han sido recabados, sin consentimiento ni conocimiento del interesado y con cobertura en una norma de rango inferior a la Ley. De este modo el art. 21.1 LOPD contendrí­a una excepción a la regla del art. 11 LOPD, según la cual la cesión de datos sólo es posible previo consentimiento del interesado; consentimiento que puede ser excepcionado si la cesión viene dispuesta por una Ley. El art. 21.1 LOPD permite la cesión de datos sin consentimiento de su titular siempre que así­ lo autorice una norma reglamentaria. De este modo, la LOPD permite que reglamentariamente se imponga un lí­mite al derecho fundamental a la autodeterminación informativa reconocido en el art. 18.4 CE al permitir la cesión de datos personales sin previo consentimiento del afectado; limitación que tan sólo y de forma muy restringida podrí­a establecer una Ley. Por otra parte, esa remisión al reglamento esconde una remisión en blanco al Ejecutivo para que fije a su arbitrio, justamente, esos lí­mites, lo que contrarí­a la reserva de ley que a tal efecto establece el art. 53.1 CE.

Dice el Defensor del Pueblo que la facultad de consentir sobre la cesión de datos personales forma parte y es una garantí­a necesaria del derecho a la intimidad de su titular (arts. 4, 5 y 11 LOPD), pues sin esa facultad serí­a imposible controlar mí­nimamente la circulación de la información que las Administraciones hayan recabado sobre su persona, debilitando la protección que a dichos datos ofrece la propia Constitución. Y esto sucederí­a si se autorizase a la Administración a organizar un tráfico de datos personales sin el conocimiento y consentimiento de los interesados (apartado 4 del art. 21 LOPD) mediante normas de la propia Administración que ni siquiera tienen fijados por la LOPD los criterios y garantí­as que hayan de seguir y respetar. Cierto es, aduce el recurrente, que ese derecho de control sobre los propios datos personales tiene lí­mites que la propia LOPD prevé, remitiendo a la ley para su precisión, lo que se aviene con lo dispuesto en el art. 53.1 CE. Pero no lo es menos que el art. 21.1 LOPD regula la posibilidad de que el lí­mite se fije en una norma con rango inferior a la ley mediante una remisión, además, en blanco, lo que es contrario frontalmente a la reserva de ley del citado art. 53.1 CE.

Tras un breve repaso a la doctrina de este Tribunal sobre el derecho a la intimidad, haciendo hincapié en la advertencia que el propio Tribunal Constitucional ya hizo en su dí­a sobre los riesgos que entrañan los avances tecnológicos para la incolumidad de la esfera privada e í­ntima de los individuos (con cita de la STC 110/1984), y recordando lo dicho por el Tribunal Constitucional de la República Federal de Alemania en su Sentencia de 15 de diciembre de 1983 sobre la Ley del Censo sobre el derecho a la autodeterminación informativa, insiste el recurrente en aquel riesgo que la informática, y las infinitas posibilidades que esta técnica ofrece para el tratamiento, almacenamiento y entrecruzamiento de datos personales, implica para la intimidad y el pleno disfrute de los derechos de los ciudadanos. Y ante dicho riesgo, el Defensor del Pueblo considera garantí­a elemental conferir al ciudadano el poder de controlar el flujo de información relativa a su persona, para lo que resulta indispensable conocer y consentir su almacenamiento y uso. Y así­ lo ha reconocido, dice el Defensor del Pueblo, tanto la jurisprudencia de este Tribunal (STC 94/1998) como la propia LOPD, cuyos arts. 4.1, 5.1 a) y 11.1 recogen en esencia esos principios. En consecuencia, sigue argumentando la Institución recurrente, la facultad del titular de los datos de consentir o no su comunicación o cesión a terceros resulta ser una garantí­a necesaria para salvaguardar su intimidad y poder ejercer libremente sus derechos constitucionales e infraconstitucionales. Sin esa facultad ya no es posible controlar el flujo de información sobre uno mismo, y, en esa medida, desaparecerí­a la protección constitucional frente al uso de la informática. Y en nada empece este argumento el hecho de que expresamente no contemple esa facultad el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, hecho en Estrasburgo el 28 de enero de 1981, y ratificado por España el 27 de enero de 1984, pues hay que entenderla implí­cita en su regulación, ya que sin ella buena parte de sus garantí­as perderí­an toda su eficacia.

El Defensor del Pueblo señala también en su alegato que el derecho a la intimidad no es absoluto y la Ley puede imponerle lí­mites con el fin de proteger otros derechos constitucionales o bienes constitucionalmente protegidos, siempre que ese lí­mite sea necesario, proporcionado y respetuoso con el contenido esencial del derecho fundamental (SSTC 110/1984, 143/1994). Añade a continuación que la LOPD no es ajena a estas ideas, ya que su art. 11 sienta el principio de que sólo cabe la cesión de datos para fines relacionados directamente con las funciones legí­timas de cedente y cesionario y mediando previo consentimiento del afectado (incluso el consentimiento otorgado para la cesión, que es revocable, podrá tenerse por nulo de estar viciado en los términos del apartado 3 del citado precepto LOPD). El propio art. 11 fija las excepciones al previo consentimiento del afectado, entre las que se cuenta el caso de que una Ley así­ lo prevea. Este criterio, que a juicio del Defensor del Pueblo estarí­a conforme con lo establecido en el art. 53.1 CE, se quiebra con la adición de una nueva excepción en el art. 21.1 LOPD, tal y como ya se expuso.

Lo que supone la previsión del art. 21.1 LOPD es una auténtica deslegalización de una materia reservada a la Ley y una remisión en blanco al Reglamento para regular un lí­mite a un derecho fundamental sin más precisiones, cuando este Tribunal ya ha rechazado esa posibilidad en la STC 83/1984. La LOPD tan sólo exige para establecer esa excepción al principio de previo consentimiento del afectado que se establezca en una disposición general de superior rango a la de creación del fichero, sin concretar cuáles sean los lí­mites, finalidades, causas, o circunstancias que puedan justificar semejante restricción a un derecho fundamental.

b) Impugna también en su recurso el Defensor del Pueblo el art. 24.1 y 2 LOPD en los incisos ya transcritos más arriba, por infracción de los arts. 18.1 y 4 y 53.1 CE, al no respetar el contenido esencial de los derechos fundamentales al honor y a la intimidad personal y familiar. Arguye en su impugnación que el inciso mentado del apartado 1 del art. 24 exime a la Administración de cumplir con sus obligaciones de información y advertencia del art. 5.1 y 2 LOPD (facultades de acceso a los datos, de rectificación y cancelación de los mismos, y de oponerse a su tratamiento automatizado) si tal cosa pudiere impedir o dificultar gravemente las funciones de control y verificación de las Administraciones Públicas o cuando afecte a la persecución de infracciones administrativas. En el caso del primer párrafo del apartado 2 de ese mismo precepto, se priva a los individuos de sus derechos de acceso a sus datos en poder de las Administraciones Públicas y a que, en su caso, se proceda obligatoriamente por esas Administraciones a su rectificación y cancelación de ser requeridas por el interesado para ello. A juicio del Defensor del Pueblo estas excepciones a los derechos de los titulares de los datos lesionan el contenido esencial del derecho fundamental a la intimidad frente al uso de la informática (arts. 18.1 y 4, y 53.1 CE), al imponerle restricciones injustificadas y desproporcionadas que lo hacen impracticable y lo despojan de su necesaria protección.

Procede a continuación el Defensor del Pueblo a recordar la jurisprudencia de este Tribunal sobre el lí­mite que el respeto al contenido esencial de un derecho fundamental impone a la Ley el art. 53.1 CE (SSTC 11/1981 y 196/1987) y lo que sobre el derecho a la autodeterminación informativa ha dicho la STC 254/1993, y a examinar la normativa internacional sobre la materia (art. 10.2 CE), en especial la Declaración Universal de Derechos Humanos, el art. 8.2 del Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales, los arts. 1, 5, 6, 8 y 9 del Convenio 108 para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal celebrado en Estrasburgo en 1981, y los arts. 6, 10, 11, 12, 13 y 14 de la Directiva 95/46/CE, en relación con la LOPD. A resultas de este examen, concluye el Defensor del Pueblo que el art. 24.1 y 2 LOPD ha ampliado injustificada y arbitrariamente las excepciones que ya preveí­an los acuerdos y normas internacionales indicadas al derecho a la intimidad frente al uso de la informática, hasta el punto de desnaturalizar este derecho, volviéndolo impracticable y despojándolo de su necesaria protección.

En el caso de la excepción prevista en el apartado 1 del art. 24 LOPD, la cláusula para determinar qué fines justifican la limitación de aquellos derechos de acceso, rectificación y cancelación es tan genérica que prácticamente tiene cabida en la misma toda la actividad administrativa, desconociendo así­ el Legislador orgánico el contenido esencial de los derechos fundamentales del art. 18.1 CE. De este modo, arguye el recurrente, los lí­mites que de esta forma pueden imponerse a los derechos de acceso, rectificación y cancelación de datos, parte esencial de las garantí­as del derecho al honor y a la intimidad del art. 18.1 CE, los vací­an de contenido, dificultan su ejercicio más allá de lo razonable o los despojan de su ineluctable protección, imponiéndole lí­mites más allá de lo que el contenido esencial de los mismos permite, lesionando, en consecuencia, el art. 53.1 CE.

Por último, y respecto del primer párrafo del art. 24.2 LOPD, también se asevera su extralimitación, pues ni tiene cobertura en los mencionados textos internacionales, ni la indeterminación en la definición de semejante lí­mite se compadece con las exigencias que a tal fin imponen el art. 18.1 y 4 en relación con el art. 53.1 CE. El art. 24.2 LOPD excede en este caso los lí­mites que la propia LOPD establece en sus arts. 22 y 23 (de conformidad con lo dispuesto en la citada normativa internacional). Así­, esa referencia al “interés público” es una nueva cláusula en blanco bajo la cual podrí­a encontrar cobijo toda la actividad administrativa, cuando menos porque, con arreglo al art. 103 CE, toda la actividad administrativa sirve a ese interés. Y la mención a “intereses de terceros dignos de protección” es igualmente vidriosa, y de querer referirse a cualesquiera intereses ajenos, y no sólo a la protección de sus derechos fundamentales, como así­ parece a la vista de lo dispuesto en el art. 23.1 LOPD, se estarí­a vulnerando una vez más el contenido esencial de los derechos al honor, a la intimidad y a la propia imagen, al vaciar de contenido efectivo aquellos otros que constituyen sus garantí­as capitales en el ámbito del tratamiento automatizado de datos. Sostiene el Defensor del Pueblo que la garantí­a constitucional introducida por el art. 18.4 CE, instrumental de la de los derechos al honor y a la intimidad del párrafo 1 del art. 18 CE, que en sí­ misma es un derecho fundamental (STC 254/1993) no permite lí­mites mayores o más intensos que los previstos en los acuerdos internacionales ratificados en España, porque en ellos se determina el contenido mí­nimo del que dispone el derecho para garantizar su eficacia (art. 10.2 CE y STC 64/1991), ni hay precepto en nuestra Constitución que autorice imponer esos mayores lí­mites. En consecuencia, los incisos impugnados del art. 24 LOPD no respetan el contenido esencial del derecho proclamado en el art. 18.4 CE y no permiten garantizar adecuadamente el honor y la intimidad personal y familiar de los ciudadanos al establecer lí­mites al mismo sin cobertura constitucional.

3. Por providencia de 28 de marzo de 2000 se acordó por la Sección Cuarta de este Tribunal admitir a trámite el recurso de inconstitucionalidad promovido por el Defensor del Pueblo y dar traslado de la demanda y documentos presentados, conforme a lo establecido en el art. 34 LOTC, al Congreso de los Diputados y al Senado, por conducto de sus Presidentes, y al Gobierno, por conducto del Ministerio de Justicia, para que pudieren personarse en el proceso y formular cuantas alegaciones estimasen convenientes. Asimismo se acordó la publicación de la incoación del recurso en el BOE, lo que así­ se hizo en el de 8 de abril de 2000.

4. Por escrito registrado en este Tribunal el 5 de abril de 2000, el Presidente del Congreso de los Diputados comunicó el Acuerdo de la Mesa de la Diputación Permanente de no personarse en el proceso ni formular alegaciones, no obstante poner a disposición del Tribunal las actuaciones que pueda precisar.

5. El Abogado del Estado, en la representación que ostenta del Gobierno de la Nación, presentó su escrito de alegaciones en este Tribunal el 18 de abril de 2000. Tras la glosa de la jurisprudencia de este Tribunal sobre el contenido del art. 18.4 CE (SSTC 254/1993, 143/1994, 11/1998, 94/1998, 202/1999 y 233/1999), deteniéndose en especial en lo que este Tribunal tiene dicho sobre la congruencia y racionalidad en la utilización de los datos personales recabados, como principios cardinales de la protección de datos, y la ní­tida conexión que ha de mediar entre la información personal recogida y el legí­timo objetivo por el que se ha solicitado (SSTC 94/1998 y 202/1999), o los principios de necesidad y adecuación que rigen la recogida y almacenamiento de datos personales por las Administraciones Públicas (STC 254/1993), así­ como sobre la imposibilidad de que se transmitan datos personales almacenados salvo que la Ley disponga lo contrario o la consecución de finalidades constitucionalmente relevantes puedan exigir esa cesión (SSTC 143/1994 y 233/1999). Repara también el Abogado del Estado en la circunstancia de que la Directiva 95/46/CE no es un tratado o acuerdo internacional a los efectos de lo dispuesto en el art. 10.2 CE (SSTC 28/1991 y 128/1999).

El Abogado del Estado considera que los incisos impugnados de los arts. 21 y 24 LOPD no vulneran los arts. 18.1 y 4 y 53.1 CE. En cuanto al primero, llama la atención sobre lo paradójico de que se haya recurrido por inconstitucional el inciso del párrafo 1 del art. 21 en el que se menciona una “disposición de rango superior”, y, en cambio, se haya hecho caso omiso de que ese mismo párrafo contempla la posibilidad de que la excepción al derecho a consentir la cesión pueda estar prevista por la norma que ha creado el fichero público, ya que las mismas razones dadas para impugnar el primer caso debieran servir para el segundo. También repara el Abogado del Estado en que no se ha recurrido el art. 20.2 e) LOPD a pesar de que establece que la norma que modifique la de creación del fichero también podrá establecer la cesión de datos siempre que así­ lo indique expresamente. Señala el Abogado del Estado que el art. 21.1 LOPD en sí­ mismo considerado nada dice sobre si es necesario o no el consentimiento del interesado para ceder datos en las condiciones que establece el precepto legal en cuestión, siendo quienes lo hacen el art. 11.2 e) y el apartado 4 del art. 21, ambos LOPD, que no han sido impugnados, según los cuales no es preciso recabar el consentimiento del interesado para ceder sus datos entre Administraciones Públicas si el posterior tratamiento de los datos lo es con fines históricos, estadí­sticos o cientí­ficos, y en los supuestos de cesión para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, o cuando han sido recogidos y tratados por una Administración Pública con destino a otra, respectivamente. Por ello, también encuentra el Abogado del Estado incoherente que se recurra el art. 21.1 LOPD en su referencia a una disposición de rango superior, y no se haga lo propio con el apartado 4 de dicho precepto.

a) Dicho esto, el Abogado del Estado aduce que el art. 21.1 LOPD establece una regla general prohibitiva y una serie de excepciones a dicha regla. La regla prohí­be la cesión de comunicación de datos entre las Administraciones Públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas (art. 21.1, primer inciso, LOPD). Esta prohibición irí­a más allá de lo que resulta de lo dispuesto en el art. 4.2 LOPD (“Principios de la protección de datos”), relativo a la calidad de los datos, en el que se prohí­be el uso de los datos almacenados y tratados para finalidades incompatibles con aquéllas para las que los datos hubieran sido recogidos [y en este mismo sentido los arts. 5 b) del Convenio de Estrasburgo y 6.1 b) de la Directiva 95/46/CE], sin que se advierta incompatibilidad alguna por el hecho de que se usen los datos personales tratados para ejercer competencias administrativas distintas de aquéllas por las que fueron recogidos. Abunda esta idea el que el principio de lealtad institucional y las reglas de acción y cooperación interadministrativa imponen en ciertos casos el suministro de datos entre Administraciones Públicas para el ejercicio de las respectivas competencias [art. 4.1 c), d) y 2 Ley 30/1992, de 26 de noviembre, de Régimen Jurí­dico de las Administraciones Públicas y del Procedimiento Administrativo Común, y art. 55 c) y d) de la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local]. No obstante, sigue razonando el Abogado del Estado, el art. 21.1 LOPD restringe esa posibilidad en el sentido indicado.

Esta regla prohibitiva tiene excepciones, pues ese mismo apartado 1 del art. 21 LOPD establece que la comunicación de datos en esas circunstancias es posible si la misma hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso, o cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadí­sticos o cientí­ficos. Las excepciones lo son sólo a la prohibición de comunicar datos entre Administraciones Públicas, pero no a si esa comunicación precisa o no del previo consentimiento del afectado. La regla del consentimiento para la cesión de datos debe buscarse en el apartado 4 del art. 21 LOPD (no impugnado en el recurso del Defensor del Pueblo), a lo que debe añadirse, además, que el consentimiento del interesado a la comunicación interadministrativa de sus datos personales ni se prevé en el art. 8 del Convenio de Estrasburgo (que no reconoce un derecho a consentir la cesión), ni su regulación se contiene en el Tí­tulo III de la LOPD relativo a los derechos de las personas, sino en el Tí­tulo II de la Ley que trata de los principios de la protección de datos. De ello colige el Abogado del Estado que las normas que regulan el consentimiento del interesado a la cesión de sus datos personales no lo están haciendo del ejercicio de un derecho fundamental y, por tanto, no están sometidas a la reserva de ley del art. 53.1 CE. Y no lo son porque el consentimiento en cuestión no está incluido entre los derechos de la persona, y, aun admitiendo que ese consentimiento previo formase parte de la esfera protegida por el derecho fundamental amparable, la norma que lo regula es el apartado 4, y no el 1, del art. 21 LOPD, que no ha sido impugnado. Por último, tampoco esa excepción al consentimiento previo violarí­a la reserva de ley del art. 53.1 CE, ya que tanto los supuestos en los que es posible la cesión de datos como cuando no se precisa el previo consentimiento del afectado para hacerlo, están previstos en la propia LOPD, arts. 21.1 y 4.

Tampoco se quebrarí­a la reserva de ley del art. 53.1 CE aun en el caso de considerar que el art. 21.1 LOPD autoriza a una norma reglamentaria para no recabar el previo consentimiento del afectado a la cesión de sus datos personales entre Administraciones Públicas, ya que no sólo bastarí­a para salvar la constitucionalidad del precepto con indicar que por disposición de rango superior deben excluirse las reglamentarias, sino que, además, aun siendo factible esa posibilidad, se satisface la exigencia de la reserva del art. 53.1 CE porque con el requisito de que sea norma de rango superior se está limitando ya la potestad reglamentaria y se posibilita una regulación subordinada a la Ley. Así­ es, en opinión del Abogado del Estado, porque, en primer lugar, la comunicación de datos debe estar prevista en una norma cuya publicidad formal permita a los afectados conocer suficientemente la dirección de los flujos de información sobre sus datos, así­ como impugnar en ví­a contencioso-administrativa la posible cesión de los suyos. Por tanto, el art. 21.1 LOPD no otorga a la Administración un poder arbitrario de cesión de datos personales, sino un poder discrecional de apreciación perfectamente fiscalizable y controlable por los órganos jurisdiccionales del orden contencioso-administrativo. Añade a estas garantí­as el Abogado del Estado las que se desprenden de que la disposición, al ser de rango superior, implica que es confeccionada por un órgano distinto a quien ha creado el fichero público; de la circunstancia de que la controvertida cesión de datos personales debe encuadrarse en los principios de lealtad, auxilio y cooperación interadministrativa mencionados [que cierto reflejo tiene en el art. 7 e) de la Directiva 95/46/CE al conceder relevancia a la misión de interés público, no sólo del cedente, sino también del cesionario], evitando que la Administración receptora deba pechar con los costes de una nueva recogida y tratamiento de esos datos, así­ como ahorrándole al ciudadano la molestia de someterse a ella. Por último, la comunicación de datos personales interadministrativa debe ser necesaria, adecuada y proporcionada para el ejercicio de las funciones de la cesionaria y así­ debe haberlo reconocido la cedente, dice el Abogado del Estado, lo que se halla implí­cito en la regla misma que regula la cesión, y el Tribunal Constitucional, en las SSTC citadas, ya ha señalado que respetadas esas exigencias y garantizada la seguridad de los datos, resulta legí­timo el tratamiento de datos personales y su posterior comunicación. Cierto es que el art. 21.1 LOPD no establece orientaciones o directrices materiales sobre el ejercicio de esa potestad reglamentaria para establecer una comunicación de datos donde antes no se preveí­a; pero no es menos cierto que tampoco se establecen condiciones a las cesiones contempladas en el art. 11.2 a) (cuando la cesión está autorizada en una ley) o su apartado d) (cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas).

En lo que hace a la impugnación del art. 24.1 LOPD (que guarda relación con los arts. 10 y 13.1 de la Directiva 95/46/CE) en sus incisos “impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones Públicas” y “la persecución de infracciones … administrativas”, aduce el Abogado del Estado que dicho precepto excepciona lo previsto en los apartados 1 y 2 del art. 5 LOPD, que confiere a los individuos un derecho de información en la recogida de datos, pero lo hace de forma muy restringida. La Administración Pública puede negar ese derecho de información si al suministrarla impide o dificulta gravemente el ejercicio de las funciones de control y verificación, no bastando que simplemente genere dificultades en su desempeño. En opinión del Abogado del Estado la decisión legislativa de que tal derecho de creación legal deba ceder cuando su ejercicio conlleve la privación de efectividad de aquellas funciones administrativas o se dificulte su desempeño gravemente es perfectamente constitucional.

En primer lugar, por “funciones de control y verificación”, que sin duda son conceptos jurí­dicos indeterminados, debe entenderse, a juicio del Abogado del Estado, aquellas funciones que supongan comprobar administrativamente si el acto o la actuación de quien está sujeto a tal comprobación se ajusta a las normas que la rigen y al interés general. Es doctrina reiterada del Tribunal Constitucional (SSTC 69/1989, 219/1988, 150/1991, 143/1992, 144/1992, 162/1992), señala el Abogado del Estado, que no hay inconveniente constitucional a que el Legislador emplee conceptos jurí­dicos indeterminados, incluso en normas sancionadoras, siempre que sean razonablemente concretables en virtud de criterios lógicos, técnicos o de experiencia con los que pueda evitarse en todo lo posible el riesgo de arbitrariedad en su empleo. Por otra parte, grandes esferas de la actividad administrativa (como la prestacional o la sancionadora o ablativa de derechos e intereses privados) quedan fuera de esas funciones de comprobación y verificación. En segundo lugar, nada impide considerar que esas funciones deben estar ligadas, siquiera ocasionalmente, con la seguridad pública, la prevención de infracciones o un interés económico o financiero importante [en el mismo sentido que el art. 13.1 f) Directiva 95/46/CE]. En tercer y último lugar, el que el art. 24.1 LOPD prevea esa excepción al derecho de información no supone en modo alguno que el ciudadano no pueda conocer la existencia, fines y responsable del fichero público en cuestión, pues semejante información es accesible consultando el Registro General de Protección de Datos [art. 39.2 a) y e) LOPD] o acudiendo a la disposición general creadora del fichero, que ha de estar publicada (art. 20.1 LOPD). Por tanto, el inciso impugnado respeta lo dispuesto en el art. 8 a) del Convenio de Estrasburgo y el art. 12 a) de la Directiva 95/46/CE, porque la negativa a proporcionar puntual información al interesado contemplada en el precepto recurrido no impide el acceso a la información general del fichero así­ como el recurso ante la ví­a contencioso-administrativa contra toda disposición contraria a lo dispuesto en el art. 20.2 LOPD en caso de que se omita en la disposición reguladora del fichero alguna de las indicaciones especificadas en ese precepto [lo que también satisface lo dispuesto en el art. 8 D) del Convenio de Estrasburgo y el art. 22 de la Directiva 95/46/CE].

b) El Abogado del Estado aborda a continuación la tacha de inconstitucionalidad puesta por el Defensor del Pueblo al segundo inciso aludido del art. 24.1 LOPD, el referido a la persecución de infracciones administrativas. A su juicio, el reproche merece igual rechazo y por idénticas razones a las ya expuestas, ya que la información denegada individualizadamente es accesible, no obstante, acudiendo a la disposición reguladora del fichero público en cuestión. Pero, además, el art. 25.1 CE es el fundamento de la unidad constitucional de la potestad punitiva tanto penal como administrativa, técnicas represivas hasta cierto punto intercambiables a juicio del Abogado del Estado con los únicos lí­mites que fija el art. 25.3 CE. Lo que permite la equiparación entre infracciones penales y administrativas contenida en el precepto legal impugnado (lo que encontrarí­a apoyo también en las SSTEDH, caso í–ztí¼rk, de 21 de febrero de 1984, y Lauko, de 2 de septiembre de 1998). Sin perjuicio de que una parte significativa de las infracciones administrativas se encuadran en la protección de la seguridad pública y los intereses financieros del Estado. Termina el Abogado del Estado señalando que no se alcanza a comprender la razón por la que las infracciones de la deontologí­a en las profesiones reglamentadas [art. 13.1 d) Directiva 95/46/CE] gocen de una posición privilegiada respecto de las administrativas, al no ser objeto de reproche de inconstitucionalidad alguno, cuando las primeras son perseguidas y sancionadas en el Ordenamiento jurí­dico español por Corporaciones representativas de intereses profesionales, dotando de una protección reforzada a los clientes de los profesionales respecto de los de la colectividad u otros interesados cuando se trata de perseguir y sancionar el incumplimiento de deberes tributarios, los atentados a la seguridad pública, a la estabilidad del sistema financiero, a la conservación del medio ambiente o a los derechos de los consumidores y usuarios que no son clientes de aquellos profesionales.

c) Para concluir su escrito de alegaciones, el Abogado del Estado aborda la impugnación del art. 24.2 LOPD. En dicho precepto se excepcionan los derechos de acceso, rectificación y cancelación de los datos personales establecidos en los arts. 15 y 16.1 LOPD, “si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección”. Dice el Abogado del Estado que esta limitación de aquellos derechos no debe desligarse del segundo inciso del precepto, según el cual “si el órgano administrativo responsable del fichero invocase lo dispuesto en este apartado, dictará resolución motivada e instruirá al afectado del derecho que le asiste a poner la negativa en conocimiento del Director de la Agencia de Protección de Datos o, en su caso, del órgano equivalente de las Comunidades Autónomas”. A su juicio, si el art. 24.2 LOPD se interpreta como lo hace el Defensor del Pueblo acaso serí­a inconstitucional. Sin embargo, la segunda parte de ese precepto, en la que no se ha reparado, permite interpretarlo adecuadamente.

El art. 24.2 LOPD impone lí­mites al derecho de acceso (art. 15 LOPD), y sólo parcialmente a los derechos de rectificación y cancelación (art. 16.1 LOPD), pues afecta sólo al plazo obligatorio para que el responsable del fichero haga efectivos esos derechos, y no limita la rectificación y cancelación de los datos inexactos o incompletos o la obligación del responsable del fichero de notificar al cesionario de los datos su rectificación o cancelación (art. 16.2 y 3 LOPD, respectivamente). La interpretación conjunta del art. 24.2 LOPD con otros preceptos de la misma Ley [arts. 37, a), c), d) y f) y 41 respecto de ciertas potestades tuitivas de la Agencia de Protección de Datos u organismo autonómico pertinente sobre la recta aplicación de la LOPD en este extremo, el art. 44.3. e) y f) en materia de sanciones, y el art. 46.1 y 2 relativo a las medidas de reparación en caso de infracción de la LOPD], y lo dispuesto en su inciso final, arrojan el resultado evidente de que la función del precepto impugnado es conceder al responsable del fichero administrativo únicamente el poder de imponer provisionalmente su punto de vista hasta que se resuelva la controversia definitivamente por el Director de la Agencia de Protección de datos o la autoridad autonómica equivalente. El interés público o de un tercero más digno de protección sólo podrá fundar la decisión provisional o cautelar de denegar el derecho de acceso a los datos personales del afectado o la de realizar en plazo la rectificación o cancelación de los datos, a resultas de lo que decida finalmente el Director de la Agencia de Protección de Datos, ante quien podrá acudir el interesado reclamando que se le reconozcan sus derechos y que se haga cesar o se corrija su conculcación, conforme al art. 46.1 LOPD. En fin, que lo contemplado en el art. 24.2 LOPD no son lí­mites a esos derechos, sino razones que pueden fundar su cautelar denegación al entender provisionalmente el responsable del fichero que pueden existir razones que así­ lo justifiquen, hasta que la Agencia de Protección de Datos adopte una decisión definitiva sobre este extremo, que, en todo caso, será también revisable ante la jurisdicción contencioso-administrativa (una fórmula similar a la empleada en el art. 37.4 de la Ley 30/1992). Decisión la del Director de la Agencia de Protección de Datos que se guiará por los criterios que quepa desprender de los Tí­tulos II y III, de las normas propias del sector del Ordenamiento jurí­dico en el que el fichero va a ser utilizado y las generales que quepa derivar del régimen jurí­dico de las Administraciones Públicas establecidas en la Ley 30/1992. Finaliza su alegato el Abogado del Estado indicando que tampoco ve inconveniente en que esos criterios deban respetar lo dispuesto en el art. 9.2 del Convenio de Estrasburgo (art. 13.1 de la Directiva 95/46/CE), encuadrando el interés público en lo dicho en el apartado a) de dicho precepto (medidas necesarias en una sociedad democrática para garantizar la seguridad del Estado, la seguridad publica, los intereses monetarios del Estado y la represión de las infracciones penales) y el interés de terceros en su apartado b) (medidas necesarias en una sociedad democrática para proteger a la persona concernida y los derechos y libertades de otras personas).

6. Mediante escrito registrado en este Tribunal el 25 de abril de 2000, la Presidenta del Senado comunicó a este Tribunal el Acuerdo de la Mesa de la Cámara de personarse en el proceso y ofrecer su colaboración a los efectos del art. 88.1 LOTC.

7. Por providencia de 28 de noviembre de 2000, se acordó señalar el dí­a 30 del mismo mes y año para deliberación y votación de la presente Sentencia

II. Fundamentos jurí­dicos

1. El Defensor del Pueblo ha interpuesto el presente recurso de inconstitucionalidad contra ciertos incisos de los arts. 21.1 y 24.1 y 2 de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD, cuya Disposición final segunda les priva de la forma de Ley Orgánica) que, a su juicio, vulneran frontalmente la reserva de ley del art. 53.1 CE, el art. 18.1 y 4 CE, al no respetar el contenido esencial del derecho fundamental al honor y a la intimidad personal y familiar así­ como del derecho fundamental que este Tribunal ha denominado de “libertad informática” (SSTC 254/1993, de 20 de julio, 94/1998, de 4 de mayo, y 202/1999, de 8 de noviembre). Los preceptos impugnados disponen lo siguiente:

Art. 21.1: “Los datos de carácter personal recogidos o elaborados por las Administraciones Públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones Públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso, o cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadí­sticos o cientí­ficos”.

Art. 24: “1. Lo dispuesto en los apartados 1 y 2 del art. 5 no será aplicable a la recogida de datos cuando la información al afectado impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones Públicas o cuando afecte a la Defensa Nacional, a la seguridad pública o a la persecución de infracciones penales o administrativas”.

“2. Lo dispuesto en el art. 15 y en el apartado 1 del art. 16 no será de aplicación si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección. Si el órgano administrativo responsable del fichero invocase lo dispuesto en este apartado, dictará resolución motivada e instruirá al afectado del derecho que le asiste a poner la negativa en conocimiento del Director de la Agencia de Protección de Datos o, en su caso, del órgano equivalente de las Comunidades Autónomas”.

Para precisar adecuadamente el objeto de la impugnación ha de tenerse presente, de un lado, que el Defensor del Pueblo ha circunscrito sus tachas de inconstitucionalidad únicamente a los incisos que figuran en cursiva en los preceptos que se acaban de transcribir. De otro, que los apartados 1 y 2 del art. 5 LOPD, a los que se remite el art. 24.1, establecen ciertos requisitos o garantí­as del derecho a la información en la recogida de datos, entre ellos la indicación de los destinatarios de la información, exigiéndolos tanto si se lleva a cabo de otra forma como mediante cuestionarios o impresos. Y el art. 15 así­ como el apartado 1 del art. 16, a los que se ha remitido el art. 24.2, hacen referencia, respectivamente, al derecho de acceso a los datos personales en cuanto a su contenido origen y uso, el modo de llevarlo a cabo y el tiempo de su ejercicio, así­ como al deber del responsable del tratamiento de hacer efectivo el derecho de rectificación o cancelación de los datos en el plazo de diez dí­as.

2. En el presente caso, hemos de pronunciarnos sobre la conformidad con la Constitución de una Ley que, tanto en atención a su objeto y contenido como al hecho de haber derogado a la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal, cabe entender sin dificultad que da cumplimiento al mandato del art. 18.4 CE. Si bien es justamente el defectuoso cumplimiento de tal mandato, a juicio del Defensor del Pueblo, lo que justifica las tachas de inconstitucionalidad que formula en relación con los indicados incisos de los arts. 21.1 y 24 antes mencionados.

Para el Defensor del Pueblo, los derechos de los afectados a ser informados y a consentir así­ como los de acceso, rectificación y cancelación, integran el derecho fundamental de todos a controlar la recogida y el uso de aquellos datos personales que puedan poseer tanto el Estado y otros Entes públicos como los particulares. Lo que forma parte del contenido esencial (art. 53.1 CE) de los derechos fundamentales a la intimidad personal y familiar (art. 18.1 CE) y a la autodeterminación informativa (art. 18.4 CE). Por lo que cualquier restricción de aquellos derechos lo es de estos derechos fundamentales y menoscaba su contenido esencial. Restricción que a juicio del Defensor del Pueblo se ha producido en la Ley impugnada por dos órdenes de razones.

En primer término, la posibilidad prevista en la LOPD de que una norma reglamentaria pueda autorizar la cesión de datos entre Administraciones Públicas para ser empleados en el ejercicio de competencias o para materias distintas a las que motivaron su originaria recogida sin necesidad de recabar previamente el consentimiento del interesado (art. 11.1 LOPD, en relación con lo dispuesto en los arts. 4.1 y 2 y 5.4 y 5), es decir, la cesión de datos inconsentida autorizada por una norma infralegal, soslaya que el art. 53.1 CE reserva en exclusiva a la Ley la regulación y limitación del ejercicio de un derecho fundamental, vulnerando por consiguiente el derecho fundamental mismo, al privarle de una de sus más firmes garantí­as.

En segundo lugar, las habilitaciones a la Administración Pública estatuidas en el art. 24.1 y 2 LOPD para que ésta pueda decidir discrecionalmente cuándo denegar al interesado la información sobre la existencia de un fichero o tratamiento de datos de carácter personal, sobre la finalidad de la recogida de éstos y de los destinatarios de la información, del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas, sobre las consecuencias de la obtención de los datos o de la negativa a suministrarlos, sobre la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, sobre la identidad y dirección del responsable del tratamiento o, en su caso, de su representante (art. 5.1 LOPD, cuyo apartado 2, al que también remite el art. 24.1 LOPD, dispone: “Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior”); o para que también pueda decidir sobre cuándo denegar los derechos de acceso, rectificación y cancelación de esos datos personales (art. 24.2, en relación con los arts. 15 y 16.1, LOPD), suponen en ambos casos, en opinión del Defensor del Pueblo, desnaturalizar el derecho fundamental a la intimidad frente al uso de la informática (art. 18.1 y 4 CE), pues le priva de sus indispensables medios de garantí­a consistentes en las facultades a disposición del interesado cuyo ejercicio le permitirí­an saber qué datos posee la Administración sobre su persona y para qué se emplean.

Por el contrario, para el Abogado del Estado los incisos recurridos de los mencionados preceptos legales no son contrarios a la Constitución porque no sólo respetan la reserva legal del art. 53.1 CE, sino que, además, imponen limitaciones razonables y proporcionadas al derecho fundamental a la intimidad y a la autodeterminación informativa (art. 18.1 y 4 CE). En su opinión, y al margen de que en sí­ mismo considerado el inciso recurrido del art. 21.1 LOPD no impone restricción alguna al derecho a consentir la cesión de datos, lo que sólo puede imputarse al apartado 4 de dicho precepto, que no ha sido impugnado en el presente recurso de inconstitucionalidad, semejante restricción a ese derecho a consentir está prevista en la Ley (art. 21.4 LOPD), respetando así­ lo dispuesto en el art. 53.1 CE, y no supone restricción alguna de los mencionados derechos fundamentales. Respecto de los incisos recurridos del art. 24.1 y 2 LOPD, reitera el Abogado del Estado que se tratan de lí­mites fijados por la Ley e impuestos a derechos de configuración legal, que sólo mediatamente afectan a los derechos fundamentales a la intimidad y a la autodeterminación informativa, en cuanto aquellos derechos legales son instrumentos para su ejercicio. Lí­mites, dice el Abogado del Estado, que responden a fines proporcionados y razonables, sin que el haber recurrido para su identificación a conceptos jurí­dicos indeterminados (lo que de suyo no es contrario a la Constitución) suponga merma alguna de los derechos legales o fundamentales en cuestión, pues su empleo es fiscalizable jurisdiccionalmente.

Lo que debemos precisar es, pues, si el legislador ha vulnerado la reserva de ley (art. 53.1 CE), bien por renunciar a su regulación o por apoderar a la Administración para que restrinja tales derechos a su discreción. Pues es indudable que los arts. 21.1 y 24.1 y 2 LOPD han regulado el ejercicio de derechos de los individuos que forman parte del haz de facultades que integra el contenido del especí­fico derecho fundamental a la protección de datos personales derivado de los arts. 18.1 y 18.4 CE, al que a continuación se hará referencia con mayor detenimiento.

3. En apoyo de este alegato, el Defensor del Pueblo cita nuestra jurisprudencia sobre el derecho fundamental a la intimidad y a la libertad informática, y los acuerdos internacionales ratificados por el Estado español sobre la materia: el art. 8 del Convenio Europeo para la protección de los Derechos Humanos y las Libertades Fundamentales, hecho en Roma el 14 de noviembre de 1950 (en adelante, CEDH), los arts. 5, 6, 8 y 9 del Convenio del Consejo de Europa para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, hecho en Estrasburgo el 28 de enero de 1981 y, por último, la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la Protección de las Personas Fí­sicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos Datos (en adelante, la Directiva), y muy en especial su art. 13.

El Abogado del Estado ha reprochado al Defensor del Pueblo el empleo del Convenio internacional de 1981 y de la Directiva antes mencionados no como canon interpretativo de los derechos y libertades fundamentales reconocidos en nuestra Constitución sino como verdadero canon de la constitucionalidad de la LOPD. Lo que ciertamente desbordarí­a el alcance del art. 10.2 CE, pues tanto los tratados y acuerdos internacionales a los que se remite este precepto constitucional como el Derecho comunitario derivado no poseen rango constitucional y, por tanto, no constituyen canon de la constitucionalidad de las normas con rango de ley, como hemos declarado con tanta reiteración en nuestra jurisprudencia que excusa su cita. Aunque también hemos declarado reiteradamente que sus disposiciones, a tenor del citado art. 10.2 CE, sí­ constituyen valiosos criterios hermenéuticos del sentido y alcance de los derechos y libertades que la Constitución reconoce. Lo que es predicable no sólo de dicho Convenio internacional sino también de la citada Directiva 95/46/CE, a la que ya se han referido las SSTC 94/1998, FJ 4, y 202/1999. De suerte que uno y otra serán tenidos en cuenta más adelante para corroborar el sentido y alcance del especí­fico derecho fundamental que, a partir del contenido del derecho a la intimidad (art. 18.1 CE) y del mandato del art. 18.4 CE, ha reconocido nuestra Constitución en orden a la protección de datos personales.

4. Sin necesidad de exponer con detalle las amplias posibilidades que la informática ofrece tanto para recoger como para comunicar datos personales ni los indudables riesgos que ello puede entrañar, dado que una persona puede ignorar no sólo cuáles son los datos que le conciernen que se hallan recogidos en un fichero sino también si han sido trasladados a otro y con qué finalidad, es suficiente indicar ambos extremos para comprender que el derecho fundamental a la intimidad (art. 18.1 CE) no aporte por sí­ sólo una protección suficiente frente a esta nueva realidad derivada del progreso tecnológico.

Ahora bien, con la inclusión del vigente art. 18.4 CE el constituyente puso de relieve que era consciente de los riesgos que podrí­a entrañar el uso de la informática y encomendó al legislador la garantí­a tanto de ciertos derechos fundamentales como del pleno ejercicio de los derechos de la persona. Esto es, incorporando un instituto de garantí­a “como forma de respuesta a una nueva forma de amenaza concreta a la dignidad y a los derechos de la persona”, pero que es también, “en sí­ mismo, un derecho o libertad fundamental” (STC 254/1993, de 20 de julio, FJ 6). Preocupación y finalidad del constituyente que se evidencia, de un lado, si se tiene en cuenta que desde el anteproyecto del texto constitucional ya se incluí­a un apartado similar al vigente art. 18.4 CE y que éste fue luego ampliado al aceptarse una enmienda para que se incluyera su inciso final. Y más claramente, de otro lado, porque si en el debate en el Senado se suscitaron algunas dudas sobre la necesidad de este apartado del precepto dado el reconocimiento de los derechos a la intimidad y al honor en el apartado inicial, sin embargo fueron disipadas al ponerse de relieve que estos derechos, en atención a su contenido, no ofrecí­an garantí­as suficientes frente a las amenazas que el uso de la informática podí­a entrañar para la protección de la vida privada. De manera que el constituyente quiso garantizar mediante el actual art. 18.4 CE no sólo un ámbito de protección especí­fico sino también más idóneo que el que podí­an ofrecer, por sí­ mismos, los derechos fundamentales mencionados en el apartado 1 del precepto.

5. El art. 18.4 CE fue esgrimido por primera vez en el caso de un ciudadano a quien le denegó el Gobierno Civil de Guipúzcoa información sobre los datos que sobre su persona poseí­a, resuelto por la STC 254/1993, de 20 de julio. Y lo dicho en esta pionera Sentencia se fue aquilatando en las posteriores, como la relativa a las normas reguladoras del número de identificación fiscal (STC 143/1994, de 9 de mayo), o la que declaró contrario a la libertad sindical (art. 28 CE), en relación con el art. 18.4 CE, el uso por una empresa del dato de la afiliación sindical para detraer haberes de los trabajadores con ocasión de una huelga promovida por determinado sindicato, STC 11/1998, de 13 de enero (cuya doctrina ha sido reiterada en una larga serie de Sentencias de este Tribunal resolviendo idéntica cuestión, y de entre las que merece destacarse la STC 94/1998, de 4 de mayo), o, finalmente y hasta la fecha, la STC 202/1999, de 8 de noviembre, en la que, con ocasión de la denegación a un trabajador de la cancelación de sus datos médicos en un fichero informatizado de una entidad de crédito sobre bajas por incapacidad temporal, se apreció que el almacenamiento sin cobertura legal en soporte informático de los diagnósticos médicos del trabajador sin mediar su consentimiento expreso constituí­a una desproporcionada restricción del derecho fundamental a la protección de datos personales.

Pues bien, en estas decisiones el Tribunal ya ha declarado que el art. 18.4 CE contiene, en los términos de la STC 254/1993, un instituto de garantí­a de los derechos a la intimidad y al honor y del pleno disfrute de los restantes derechos de los ciudadanos que, además, es en sí­ mismo “un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegí­timo del tratamiento mecanizado de datos, lo que la Constitución llama -˜la informática-™”, lo que se ha dado en llamar “libertad informática” (FJ 6, reiterado luego en las SSTC 143/1994, FJ 7, 11/1998, FJ 4, 94/1998, FJ 6, 202/1999, FJ 2). La garantí­a de la vida privada de la persona y de su reputación poseen hoy una dimensión positiva que excede el ámbito propio del derecho fundamental a la intimidad (art. 18.1 CE), y que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada “libertad informática” es así­ derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legí­timo que justificó su obtención (SSTC 11/1998, FJ 5, 94/1998, FJ 4).

Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del art. 18.1 CE, con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurí­dico de imponer a terceros la realización u omisión de determinados comportamientos cuya concreta regulación debe establecer la Ley, aquella que conforme al art. 18.4 CE debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos (art. 81.1 CE), bien regulando su ejercicio (art. 53.1 CE). La peculiaridad de este derecho fundamental a la protección de datos respecto de aquel derecho fundamental tan afí­n como es el de la intimidad radica, pues, en su distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran.

6. La función del derecho fundamental a la intimidad del art. 18.1 CE es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad (por todas STC 144/1999, de 22 de julio, FJ 8). En cambio, el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilí­cito y lesivo para la dignidad y derecho del afectado. En fin, el derecho a la intimidad permite excluir ciertos datos de una persona del conocimiento ajeno, por esta razón, y así­ lo ha dicho este Tribunal (SSTC 134/1999, de 15 de julio, FJ 5; 144/1999, FJ 8; 98/2000, de 10 de abril, FJ 5; 115/2000, de 10 de mayo, FJ 4), es decir, el poder de resguardar su vida privada de una publicidad no querida. El derecho a la protección de datos garantiza a los individuos un poder de disposición sobre esos datos. Esta garantí­a impone a los poderes públicos la prohibición de que se conviertan en fuentes de esa información sin las debidas garantí­as; y también el deber de prevenir los riesgos que puedan derivarse del acceso o divulgación indebidas de dicha información. Pero ese poder de disposición sobre los propios datos personales nada vale si el afectado desconoce qué datos son los que se poseen por terceros, quiénes los poseen, y con qué fin.

De ahí­ la singularidad del derecho a la protección de datos, pues, por un lado, su objeto es más amplio que el del derecho a la intimidad, ya que el derecho fundamental a la protección de datos extiende su garantí­a no sólo a la intimidad en su dimensión constitucionalmente protegida por el art. 18.1 CE, sino a lo que en ocasiones este Tribunal ha definido en términos más amplios como esfera de los bienes de la personalidad que pertenecen al ámbito de la vida privada, inextricablemente unidos al respeto de la dignidad personal (STC 170/1987, de 30 de octubre, FJ 4), como el derecho al honor, citado expresamente en el art. 18.4 CE, e igualmente, en expresión bien amplia del propio art. 18.4 CE, al pleno ejercicio de los derechos de la persona. El derecho fundamental a la protección de datos amplí­a la garantí­a constitucional a aquellos de esos datos que sean relevantes para o tengan incidencia en el ejercicio de cualesquiera derechos de la persona, sean o no derechos constitucionales y sean o no relativos al honor, la ideologí­a, la intimidad personal y familiar a cualquier otro bien constitucionalmente amparado.

De este modo, el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos í­ntimos de la persona, sino a cualquier tipo de dato personal, sea o no í­ntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 CE otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así­ lo garantiza su derecho a la protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan protección los relativos a la vida privada o í­ntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra í­ndole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo.

Pero también el derecho fundamental a la protección de datos posee una segunda peculiaridad que lo distingue de otros, como el derecho a la intimidad personal y familiar del art. 18.1 CE. Dicha peculiaridad radica en su contenido, ya que a diferencia de este último, que confiere a la persona el poder jurí­dico de imponer a terceros el deber de abstenerse de toda intromisión en la esfera í­ntima de la persona y la prohibición de hacer uso de lo así­ conocido (SSTC 73/1982, de 2 de diciembre, FJ 5; 110/1984, de 26 de noviembre, FJ 3; 89/1987, de 3 de junio, FJ 3; 231/1988, de 2 de diciembre, FJ 3; 197/1991, de 17 de octubre, FJ 3, y en general las SSTC 134/1999, de 15 de julio, 144/1999, de 22 de julio, y 115/2000, de 10 de mayo), el derecho a la protección de datos atribuye a su titular un haz de facultades consistente en diversos poderes jurí­dicos cuyo ejercicio impone a terceros deberes jurí­dicos, que no se contienen en el derecho fundamental a la intimidad, y que sirven a la capital función que desempeña este derecho fundamental: garantizar a la persona un poder de control sobre sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer. A saber: el derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y el derecho a acceder, rectificar y cancelar dichos datos. En definitiva, el poder de disposición sobre los datos personales (STC 254/1993, FJ 7).

7. De todo lo dicho resulta que el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurí­dicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así­ como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos.

En fin, son elementos caracterí­sticos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que los rectifique o los cancele.

8. Estas conclusiones sobre el significado y el contenido el derecho a la protección de datos personales se corroboran, atendiendo al mandato del art. 10.2 CE, por lo dispuesto en los instrumentos internacionales que se refieren a dicho derecho fundamental. Como es el caso de la Resolución 45/95 de la Asamblea General de las Naciones Unidas donde se recoge la versión revisada de los Principios Rectores aplicables a los Ficheros Computadorizados de Datos Personales. En el ámbito europeo, del Convenio para la Protección de las Personas respecto al Tratamiento Automatizado de Datos de Carácter Personal hecho en Estrasburgo el 28 de enero de 1981, del que hemos dicho en la STC 254/1993, FJ 4, que no se limita “a establecer los principios básicos para la protección de los datos tratados automáticamente, especialmente en sus arts. 5, 6, 7 y 11″, sino que los completa “con unas garantí­as para las personas concernidas, que formula detalladamente su art. 8″, al que han seguido diversas recomendaciones de la Asamblea del Consejo de Europa.

Por último, otro tanto ocurre en el ámbito comunitario, con la Directiva 95/46, sobre Protección de las Personas Fí­sicas en lo que respecta al Tratamiento de Datos Personales y la Libre Circulación de estos datos, así­ como con la Carta de Derechos Fundamentales de la Unión Europea del presente año, cuyo art. 8 reconoce este derecho, precisa su contenido y establece la necesidad de una autoridad que vele por su respeto. Pues todos estos textos internacionales coinciden en el establecimiento de un régimen jurí­dico para la protección de datos personales en el que se regula el ejercicio de este derecho fundamental en cuanto a la recogida de tales datos, la información de los interesados sobre su origen y destino, la facultad de rectificación y cancelación, así­ como el consentimiento respecto para su uso o cesión. Esto es, como antes se ha visto, un haz de garantí­as cuyo contenido hace posible el respeto de este derecho fundamental.

9. En cuanto a los lí­mites de este derecho fundamental no estará de más recordar que la Constitución menciona en el art. 105 b) que la ley regulará el acceso a los archivos y registros administrativos “salvo en lo que afecte a la seguridad y defensa del Estado, la averiguación de los delitos y la intimidad de las personas” (en relación con el art. 8.1 y 18.1 y 4 CE), y en numerosas ocasiones este Tribunal ha dicho que la persecución y castigo del delito constituye, asimismo, un bien digno de protección constitucional, a través del cual se defienden otros como la paz social y la seguridad ciudadana. Bienes igualmente reconocidos en los arts. 10.1 y 104.1 CE (por citar las más recientes, SSTC 166/1999, de 27 de septiembre, FJ 2, y 127/2000, de 16 de mayo, FJ 3.a; ATC 155/1999, de 14 de junio). Y las SSTC 110/1984 y 143/1994 consideraron que la distribución equitativa del sostenimiento del gasto público y las actividades de control en materia tributaria (art. 31 CE) como bienes y finalidades constitucionales legí­timas capaces de restringir los derechos del art. 18.1 y 4 CE.

El Convenio europeo de 1981 también ha tenido en cuenta estas exigencias en su art. 9. Al igual que el Tribunal Europeo de Derechos Humanos, quien refiriéndose a la garantí­a de la intimidad individual y familiar del art. 8 CEDH, aplicable también al tráfico de datos de carácter personal, reconociendo que pudiera tener lí­mites como la seguridad del Estado (STEDH caso Leander, de 26 de marzo de 1987, * §* § 47 y sigs.), o la persecución de infracciones penales (mutatis mutandis, SSTEDH, casos Z, de 25 de febrero de 1997, y Funke, de 25 de febrero de 1993), ha exigido que tales limitaciones estén previstas legalmente y sean las indispensables en una sociedad democrática, lo que implica que la ley que establezca esos lí­mites sea accesible al individuo concernido por ella, que resulten previsibles las consecuencias que para él pueda tener su aplicación, y que los lí­mites respondan a una necesidad social imperiosa y sean adecuados y proporcionados para el logro de su propósito (Sentencias del Tribunal Europeo de Derechos Humanos, caso X e Y, de 26 de marzo de 1985; caso Leander, de 26 de marzo de 1987; caso Gaskin, de 7 de julio de 1989; mutatis mutandis, caso Funke, de 25 de febrero de 1993; caso Z, de 25 de febrero de 1997).

10. Tanto en la STC 254/1993 con carácter general como en la STC 143/1994, de 9 de mayo, FJ 7, este Tribunal ha declarado que un régimen normativo que autorizase la recogida de datos personales, incluso con fines legí­timos, vulnerarí­a el derecho a la intimidad si no incluyese garantí­as adecuadas frente al uso potencialmente invasor de la vida privada del ciudadano a través de su tratamiento informático, al igual que lo harí­an las intromisiones directas en el contenido nuclear de ésta.

Por tanto, las facultades legalmente atribuidas a los sujetos concernidos y las consiguientes posibilidades de actuación de éstos son necesarias para el reconocimiento e identidad constitucionales del derecho fundamental a la protección de datos. Asimismo, esas facultades o posibilidades de actuación son absolutamente necesarias para que los intereses jurí­dicamente protegibles, que constituyen la razón de ser del aludido derecho fundamental, resulten real, concreta y efectivamente protegidos. De manera que, privada la persona de aquellas facultades de disposición y control sobre sus datos personales, lo estará también de su derecho fundamental a la protección de datos, puesto que, como concluyó en este punto la STC 11/1981, de 8 de abril (FJ 8), “se rebasa o se desconoce el contenido esencial cuando el derecho queda sometido a limitaciones que lo hacen impracticable, lo dificultan más allá de lo razonable o lo despojan de la necesaria protección”.

De este modo, la LOPD puede ser contraria a la Constitución por vulnerar el derecho fundamental a la protección de datos (art. 18.4 CE), por haber regulado el ejercicio del haz de facultades que componen el contenido del derecho fundamental a la protección de datos de carácter personal prescindiendo de las precisiones y garantí­as mí­nimas exigibles a una Ley sometida al insoslayable respeto al contenido esencial del derecho fundamental cuyo ejercicio regula (art. 53.1 CE).

11. Más concretamente, en las Sentencias mencionadas relativas a la protección de datos, este Tribunal ha declarado que el derecho a la protección de datos no es ilimitado, y aunque la Constitución no le imponga expresamente lí­mites especí­ficos, ni remita a los Poderes Públicos para su determinación como ha hecho con otros derechos fundamentales, no cabe duda de que han de encontrarlos en los restantes derechos fundamentales y bienes jurí­dicos constitucionalmente protegidos, pues así­ lo exige el principio de unidad de la Constitución (SSTC 11/1981, de 8 de abril, FJ 7; 196/1987, de 11 de diciembre, FJ 6; y respecto del art. 18, la STC 110/1984, FJ 5). Esos lí­mites o bien pueden ser restricciones directas del derecho fundamental mismo, a las que antes se ha aludido, o bien pueden ser restricciones al modo, tiempo o lugar de ejercicio del derecho fundamental. En el primer caso, regular esos lí­mites es una forma de desarrollo del derecho fundamental. En el segundo, los lí­mites que se fijan lo son a la forma concreta en la que cabe ejercer el haz de facultades que compone el contenido del derecho fundamental en cuestión, constituyendo una manera de regular su ejercicio, lo que puede hacer el legislador ordinario a tenor de lo dispuesto en el art. 53.1 CE. La primera constatación que debe hacerse, que no por evidente es menos capital, es que la Constitución ha querido que la Ley, y sólo la Ley, pueda fijar los lí­mites a un derecho fundamental. Los derechos fundamentales pueden ceder, desde luego, ante bienes, e incluso intereses constitucionalmente relevantes, siempre que el recorte que experimenten sea necesario para lograr el fin legí­timo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho fundamental restringido (SSTC 57/1994, de 28 de febrero,FJ 6; 18/1999, de 22 de febrero, FJ 2).

Justamente, si la Ley es la única habilitada por la Constitución para fijar los lí­mites a los derechos fundamentales y, en el caso presente, al derecho fundamental a la protección de datos, y esos lí­mites no pueden ser distintos a los constitucionalmente previstos, que para el caso no son otros que los derivados de la coexistencia de este derecho fundamental con otros derechos y bienes jurí­dicos de rango constitucional, el apoderamiento legal que permita a un Poder Público recoger, almacenar, tratar, usar y, en su caso, ceder datos personales, sólo está justificado si responde a la protección de otros derechos fundamentales o bienes constitucionalmente protegidos. Por tanto, si aquellas operaciones con los datos personales de una persona no se realizan con estricta observancia de las normas que lo regulan, se vulnera el derecho a la protección de datos, pues se le imponen lí­mites constitucionalmente ilegí­timos, ya sea a su contenido o al ejercicio del haz de facultades que lo componen. Como lo conculcará también esa Ley limitativa si regula los lí­mites de forma tal que hagan impracticable el derecho fundamental afectado o ineficaz la garantí­a que la Constitución le otorga. Y así­ será cuando la Ley, que debe regular los lí­mites a los derechos fundamentales con escrupuloso respeto a su contenido esencial, se limita a apoderar a otro Poder Público para fijar en cada caso las restricciones que pueden imponerse a los derechos fundamentales, cuya singular determinación y aplicación estará al albur de las decisiones que adopte ese Poder Público, quien podrá decidir, en lo que ahora nos interesa, sobre la obtención, almacenamiento, tratamiento, uso y cesión de datos personales en los casos que estime convenientes y esgrimiendo, incluso, intereses o bienes que no son protegidos con rango constitucional.

De ser ese el caso, la Ley habrá vulnerado el derecho fundamental en cuestión, ya que no sólo habrá frustrado la función de garantí­a propia de toda reserva de ley relativa a derechos fundamentales al renunciar a fijar por sí­ misma esos lí­mites, dado que la reserva de Ley impone al legislador, además de promulgar esa Ley, regular efectivamente en ella la materia objeto de la reserva; sino también al permitir que el derecho fundamental ceda ante intereses o bienes jurí­dicos de rango infraconstitucional en contra de lo dispuesto en la propia Constitución, que no lo prevé así­.

Por esta razón, cuando la Constitución no contempla esta posibilidad de que un Poder Público distinto al Legislador fije y aplique los lí­mites de un derecho fundamental o que esos lí­mites sean distintos a los implí­citamente derivados de su coexistencia con los restantes derechos y bienes constitucionalmente protegidos, es irrelevante que la Ley habilitante sujete a los Poderes Públicos en ese cometido a procedimientos y criterios todo lo precisos que se quiera, incluso si la Ley habilitante enumera con detalle los bienes o intereses invocables por los Poderes Públicos en cuestión, o que sus decisiones sean revisables jurisdiccionalmente (que lo son en cualquier caso, con arreglo al art. 106 CE). Esa Ley habrá infringido el derecho fundamental porque no ha cumplido con el mandato contenido en la reserva de ley (arts. 53.1 y 81.1 CE), al haber renunciado a regular la materia que se le ha reservado, remitiendo ese cometido a otro Poder Público, frustrando así­ una de las garantí­as capitales de los derechos fundamentales en el Estado democrático y social de Derecho (art. 1.1 CE). La fijación de los lí­mites de un derecho fundamental, así­ lo hemos venido a decir en otras ocasiones, no es un lugar idóneo para la colaboración entre la Ley y las normas infralegales, pues esta posibilidad de colaboración debe quedar reducida a los casos en los que, por exigencias prácticas, las regulaciones infralegales sean las idóneas para fijar aspectos de carácter secundario y auxiliares de la regulación legal del ejercicio de los derechos fundamentales, siempre con sujeción, claro está, a la ley pertinente (SSTC 83/1984, de 24 de julio, FJ 4, 137/1986, de 6 de noviembre, FJ 3, 254/1994, de 15 de septiembre, FJ 5).

12. La anterior doctrina es aplicable al presente caso, dado que las normas legales impugnadas, los arts. 21.1 y 24.1 y 2 LOPD, regulan el ejercicio de facultades que integran el contenido del derecho fundamental a la protección de datos personales. De suerte que en la medida en que este régimen legal haya establecido restricciones al ejercicio de este derecho o, según aquí­ ocurre, como se verá seguidamente, haya previsto supuestos en los cuales se deja a la Administración Pública competente la facultad de conceder o denegar discrecionalmente el ejercicio de estas facultades por las personas concernidas, en tales casos, evidentemente, se habrí­a producido una vulneración de las garantí­as legales con las que nuestra Constitución ha querido asegurar el respeto por todos del derecho fundamental.

Según entiende el Defensor del Pueblo, los preceptos impugnados en el presente recurso de inconstitucionalidad han incurrido en estas tachas, dado que los arts. 21.1 y 24.1 y 2 LOPD, en los incisos que se impugnan, no se han limitado a someter el ejercicio del haz de facultades que integra el contenido del derecho fundamental a la protección de datos a condiciones restrictivas en su ejercicio frente a la Administración Pública competente, sino que, al permitir a ésta que, en ciertos supuestos, pueda denegar el ejercicio de dichas facultades, ha desconocido las garantí­as constitucionalmente exigidas para que el derecho fundamental a la protección de datos personales sea efectivo. Por lo que conviene examinar seguidamente si los arts. 21.1 y 24.1 y 2 han incurrido o no en las vulneraciones que se han denunciado por el Alto Comisionado de las Cortes Generales en defensa de este derecho fundamental.

13. En lo que respecta al art. 21.1 LOPD, el Defensor del Pueblo lo ha tachado de inconstitucional en el inciso impugnado (“o por disposición de superior rango”), dado que con tal tenor el precepto legal permite que una norma de rango infralegal o reglamentario pueda facultar la cesión de datos personales entre Administraciones Públicas para fines distintos de los que originaron su recogida y que lo haga sin recabar el “previo consentimiento del interesado” para tal cesión, como exige el art. 11.1 LOPD. A lo que el Abogado del Estado ha objetado que el Defensor del Pueblo no ha impugnado expresamente ni en el cuerpo de su recurso ni en su suplico el apartado 4 del art. 21, limitando sus tachas al referido inciso del apartado 1, que en sí­ mismo no limita el derecho a consentir la cesión de datos personales por los afectados. De manera que, según el precepto impugnado y sin relación con el apartado 4, no cabe admitir que se produzca la lesión de derecho alguno del individuo si la cesión de datos personales entre Administraciones Públicas se establece por una norma de rango reglamentario.

El Defensor del Pueblo, ciertamente, no ha mencionado el indicado precepto, en el que se ha previsto que en los supuestos de los apartados 1 y 2 del art. 21 LOPD “no será necesario el consentimiento del afectado a que se refiere el art. 11″. Y si bien la tacha de inconstitucionalidad que a juicio del recurrente merece el art. 21.1 está basada en que el precepto permite que normas reglamentarias determinen “sin lí­mites y concreciones previas establecidas en la ley habilitante los supuestos en los que proceda la cesión interadministrativa de datos personales sin conocimiento ni consentimiento previo de sus titulares” cabe observar que, al margen de esta referencia y de otra posterior al consentimiento del interesado, el centro de la impugnación es la vulneración de la reserva de Ley del art. 53.1 CE, por estimarse que sólo la Ley, y no una norma reglamentaria, puede precisar en qué casos cabe limitar el derecho fundamental. De suerte que aun cuando el apartado 4 del art. 21 excepcione la exigencia contenida en el art. 11 LOPD y tal excepción opere, en lo que aquí­ importa, en relación con el supuesto regulado en el apartado 1, la exclusión del previo consentimiento del interesado en realidad sólo constituye en la impugnación un elemento sustantivo que pone de relieve las consecuencias que se derivan de la infracción de la reserva de Ley que el art. 53.1 CE ha establecido. Por lo que no cabe extender al apartado 4 la tacha de inconstitucionalidad formulada respecto a un inciso del apartado 1 del art. 21.

Ahora bien, aun habiendo llegado a esta conclusión no es ocioso señalar, de un lado, que el derecho a consentir la recogida y el tratamiento de los datos personales (art. 6 LOPD) no implica en modo alguno consentir la cesión de tales datos a terceros, pues constituye una facultad especí­fica que también forma parte del contenido del derecho fundamental a la protección de tales datos. Y, por tanto, la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aun cuando puedan ser compatibles con éstos (art. 4.2 LOPD), supone una nueva posesión y uso que requiere el consentimiento del interesado. Una facultad que sólo cabe limitar en atención a derechos y bienes de relevancia constitucional y, por tanto, esté justificada, sea proporcionada y, además, se establezca por Ley, pues el derecho fundamental a la protección de datos personales no admite otros lí­mites.

De otro lado, es evidente que el interesado debe ser informado tanto de la posibilidad de cesión de sus datos personales y sus circunstancias como del destino de éstos, pues sólo así­ será eficaz su derecho a consentir, en cuanto facultad esencial de su derecho a controlar y disponer de sus datos personales. Para lo que no basta que conozca que tal cesión es posible según la disposición que ha creado o modificado el fichero, sino también las circunstancias de cada cesión concreta. Pues en otro caso serí­a fácil al responsable del fichero soslayar el consentimiento del interesado mediante la genérica información de que sus datos pueden ser cedidos. De suerte que, sin la garantí­a que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (art. 5 LOPD) quedarí­a sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirí­an ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia.

14. Pese a la importancia que para garantizar el ejercicio del derecho fundamental poseen los derechos del interesado a ser informado y a consentir la cesión de sus datos personales, como antes se ha declarado, sin embargo, es suficiente según el art. 21.1 LOPD que la comunicación de tales datos entre Administraciones Públicas, para el ejercicio de competencias diferentes o que versen sobre materias distintas, sea autorizada por una norma reglamentaria. Al respecto, ya hemos dicho [STC 127/1994, FJ 5, con remisión a la STC 83/1984, FJ 4, y 99/1987, FJ 3 a)] que incluso en los ámbitos reservados por la Constitución a la regulación por Ley no es imposible una intervención auxiliar o complementaria del Reglamento, pero siempre que estas remisiones restrinjan efectivamente el ejercicio de esa potestad reglamentaria a un complemento de la regulación legal que sea indispensable por motivos técnicos o para optimizar el cumplimiento de las finalidades propuestas por la Constitución o por la propia Ley. De tal modo que esa remisión no conlleve una renuncia del legislador a su facultad para establecer los lí­mites a los derechos fundamentales, transfiriendo esta facultad al titular de la potestad reglamentaria, sin fijar ni siquiera cuáles son los objetivos que la reglamentación ha de perseguir, pues, en tal caso, el legislador no harí­a sino “deferir a la normación del Gobierno el objeto mismo reservado” (STC 227/1993, de 9 de julio, FJ 4, recogiendo la expresión de la STC 77/1985, de 27 de junio, FJ 14).

La remisión a la regulación reglamentaria de materia ligada a la reservada a la Ley es preciso, pues, que se formule en condiciones tales que no contrarí­e materialmente la finalidad de la reserva, de la cual se derivan, según la STC 83/1984, “ciertas exigencias en cuanto al alcance de las remisiones o habilitaciones legales a la potestad reglamentaria, que pueden resumirse en el criterio de que las mismas sean tales que restrinjan efectivamente el ejercicio de esa potestad a un complemento de la regulación legal que sea indispensable por motivos técnicos o para optimizar el cumplimiento de las finalidades propuestas por la Constitución o por la propia Ley”. Es en este segundo plano en el que se encuentra el núcleo argumental del recurso interpuesto por el Defensor del Pueblo que es acogido en esta Sentencia, el cual considera que al establecer el art. 21.4 LOPD que esas cesiones no requieren del previo consentimiento del afectado permite al reglamento imponer un lí­mite al derecho fundamental a la protección de datos personales, que como se ha dicho ya, defrauda la previsión del art. 53.1 de la Constitución (STC 101/1991, de 13 de mayo, FJ 3).

El motivo de la inconstitucionalidad del art. 21.1 LOPD resulta, pues, claro. La LOPD en este punto no ha fijado por sí­ misma, como le impone la Constitución (art. 53.1 CE), los lí­mites al derecho a consentir la cesión de datos personales entre Administraciones Públicas para fines distintos a los que motivaron originariamente su recogida, y a los que alcanza únicamente el consentimiento inicialmente prestado por el afectado (art. 11 LOPD, en relación con lo dispuesto en los arts. 4, 6 y 34.e LOPD), sino que se ha limitado a identificar la norma que puede hacerlo en su lugar. Norma que bien puede ser reglamentaria, ya que con arreglo al precepto impugnado será una norma de superior rango, y con mayor razón para el caso de que la modificación lo sea por una norma de similar rango, a la que crea el fichero (y ésta basta con que sea una disposición general, que no una Ley, publicada en un Boletí­n o Diario oficial -”art. 20.1 LOPD) la que pueda autorizar esa cesión inconsentida de datos personales, lo que resulta ser, desde luego, contrario a la Constitución.

15. Pasando al examen de los incisos impugnados del art. 24.1 y 2 LOPD, es procedente recordar previamente que la reserva de Ley prevista en el art. 53.1 CE respecto a la regulación de los lí­mites de un derecho fundamental no sólo excluye apoderamientos a favor de las normas reglamentarias como el que antes hemos enjuiciado, sino que también implica otras exigencias respecto al contenido de la Ley que establece tales lí­mites.

De un lado, porque si bien este Tribunal ha declarado que la Constitución no impide al Estado proteger derechos o bienes jurí­dicos a costa del sacrificio de otros igualmente reconocidos y, por tanto, que el legislador pueda imponer limitaciones al contenido de los derechos fundamentales o a su ejercicio, también hemos precisado que, en tales supuestos, esas limitaciones han de estar justificadas en la protección de otros derechos o bienes constitucionales (SSTC 104/2000, de 13 de abril, FJ 8 y las allí­ citadas) y, además, han de ser proporcionadas al fin perseguido con ellas (SSTC 11/1981, FJ 5, y 196/1987, FJ 6). Pues en otro caso incurrirí­an en la arbitrariedad proscrita por el art. 9.3 CE.

De otro lado, aun teniendo un fundamento constitucional y resultando proporcionadas las limitaciones del derecho fundamental establecidas por una Ley (STC 178/1985), éstas pueden vulnerar la Constitución si adolecen de falta de certeza y previsibilidad en los propios lí­mites que imponen y su modo de aplicación. Conclusión que se corrobora en la jurisprudencia del Tribunal Europeo de Derechos Humanos que ha sido citada en el FJ 8 y que aquí­ ha de darse por reproducida. Y ha de señalarse, asimismo, que no sólo lesionarí­a el principio de seguridad jurí­dica (art. 9.3 CE), concebida como certeza sobre el ordenamiento aplicable y expectativa razonablemente fundada de la persona sobre cuál ha de ser la actuación del poder aplicando el Derecho (STC 104/2000, FJ 7, por todas), sino que al mismo tiempo dicha Ley estarí­a lesionando el contenido esencial del derecho fundamental así­ restringido, dado que la forma en que se han fijado sus lí­mites lo hacen irreconocible e imposibilitan, en la práctica, su ejercicio (SSTC 11/1981, FJ 15; 142/1993, de 22 de abril, FJ 4, y 341/1993, de 18 de noviembre, FJ 7). De suerte que la falta de precisión de la Ley en los presupuestos materiales de la limitación de un derecho fundamental es susceptible de generar una indeterminación sobre los casos a los que se aplica tal restricción. Y al producirse este resultado, más allá de toda interpretación razonable, la Ley ya no cumple su función de garantí­a del propio derecho fundamental que restringe, pues deja que en su lugar opere simplemente la voluntad de quien ha de aplicarla, menoscabando así­ tanto la eficacia del derecho fundamental como la seguridad jurí­dica.

16. Más concretamente, en relación con el derecho fundamental a la intimidad hemos puesto de relieve no sólo la necesidad de que sus posibles limitaciones estén fundadas en una previsión legal que tenga justificación constitucional y que sean proporcionadas (SSTC 110/1984, FJ 3, y 254/1993, FJ 7) sino que la Ley que restrinja este derecho debe expresar con precisión todos y cada uno de los presupuestos materiales de la medida limitadora. De no ser así­, mal cabe entender que la resolución judicial o el acto administrativo que la aplique estén fundados en la Ley, ya que lo que ésta ha hecho, haciendo dejación de sus funciones, es apoderar a otros Poderes Públicos para que sean ellos quienes fijen los lí­mites al derecho fundamental (SSTC 37/1989, de 15 de febrero, y 49/1999, de 5 de abril).

De igual modo, respecto al derecho a la protección de datos personales cabe estimar que la legitimidad constitucional de la restricción de este derecho no puede estar basada, por sí­ sola, en la actividad de la Administración Pública. Ni es suficiente que la Ley apodere a ésta para que precise en cada caso sus lí­mites, limitándose a indicar que deberá hacer tal precisión cuando concurra algún derecho o bien constitucionalmente protegido. Es el legislador quien debe determinar cuándo concurre ese bien o derecho que justifica la restricción del derecho a la protección de datos personales y en qué circunstancias puede limitarse y, además, es él quien debe hacerlo mediante reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias. Pues en otro caso el legislador habrí­a trasladado a la Administración el desempeño de una función que sólo a él compete en materia de derechos fundamentales en virtud de la reserva de Ley del art. 53.1 CE, esto es, establecer claramente el lí­mite y su regulación.

17. En el caso presente, el empleo por la LOPD en su art. 24.1 de la expresión “funciones de control y verificación”, abre un espacio de incertidumbre tan amplio que provoca una doble y perversa consecuencia. De un lado, al habilitar la LOPD a la Administración para que restrinja derechos fundamentales invocando semejante expresión está renunciando a fijar ella misma los lí­mites, apoderando a la Administración para hacerlo. Y de un modo tal que, como señala el Defensor del Pueblo, permite reconducir a las mismas prácticamente toda actividad administrativa, ya que toda actividad administrativa que implique entablar una relación jurí­dica con un administrado, que así­ será prácticamente en todos los casos en los que la Administración necesite de datos personales de alguien, conllevará de ordinario la potestad de la Administración de verificar y controlar que ese administrado ha actuado conforme al régimen jurí­dico administrativo de la relación jurí­dica entablada con la Administración. Lo que, a la vista del motivo de restricción del derecho a ser informado del art. 5 LOPD, deja en la más absoluta incertidumbre al ciudadano sobre en qué casos concurrirá esa circunstancia (si no en todos) y sume en la ineficacia cualquier mecanismo de tutela jurisdiccional que deba enjuiciar semejante supuesto de restricción de derechos fundamentales sin otro criterio complementario que venga en ayuda de su control de la actuación administrativa en esta materia.

Iguales reproches merece, asimismo, el empleo en el art. 24.2 LOPD de la expresión “interés público” como fundamento de la imposición de lí­mites a los derechos fundamentales del art. 18.1 y 4 CE, pues encierra un grado de incertidumbre aún mayor. Basta reparar en que toda actividad administrativa, en último término, persigue la salvaguardia de intereses generales, cuya consecución constituye la finalidad a la que debe servir con objetividad la Administración con arreglo al art. 103.1 CE.

18. Las mismas tachas merecen también los otros dos casos de restricciones que han sido impugnados por el Defensor del Pueblo, la relativa a la persecución de infracciones administrativas (art. 24.1 LOPD) y la garantí­a de intereses de terceros más dignos de protección (art. 24.2 LOPD).

El interés público en sancionar infracciones administrativas no resulta, en efecto, suficiente, como se evidencia en que ni siquiera se prevé como lí­mite para el simple acceso a los archivos y registros administrativos contemplados en el art. 105 b) CE. Por lo que la posibilidad de que, con arreglo al art. 24.1 LOPD, la Administración pueda sustraer al interesado información relativa al fichero y sus datos según dispone el art. 5.1 y 2 LOPD, invocando los perjuicios que semejante información pueda acarrear a la persecución de una infracción administrativa, supone una grave restricción de los derechos a la intimidad y a la protección de datos carente de todo fundamento constitucional. Y cabe observar que se trata, además, de una práctica que puede causar grave indefensión en el interesado, que puede verse impedido de articular adecuadamente su defensa frente a un posible expediente sancionador por la comisión de infracciones administrativas al negarle la propia Administración acceso a los datos que sobre su persona pueda poseer y que puedan ser empleados en su contra sin posibilidad de defensa alguna al no poder rebatirlos por resultarle ignotos al afectado. La propia LOPD establece en su art. 13 que los ciudadanos “tienen derecho a no verse sometidos a una decisión con efectos jurí­dicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad”. Criterios difí­cilmente compatibles con la denegación del derecho a ser informado del art. 5 LOPD acordada por la Administración Pública con el único fundamento de la persecución de una infracción administrativa.

Por último, el apartado 2 del art. 24 LOPD establece que los derechos de acceso a los datos (art. 15.1 y 2 LOPD) y los de rectificación y cancelación de los mismos (art. 16.1 LOPD) podrán denegarse también si, “ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante … intereses de terceros más dignos de protección”. Resulta evidente que tras lo ya dicho, a la vista de que este inciso permite al responsable del fichero público negar a un interesado el acceso, rectificación y cancelación de sus datos personales, y al margen de que esos intereses puedan identificarse con los derechos fundamentales de ese tercero o con cualquier otro interés que pudiere esgrimirse, semejante negativa conlleva abandonar a la decisión administrativa la fijación de un lí­mite al derecho fundamental a la protección de los datos de carácter personal sin ni siquiera establecer cuáles puedan ser esos intereses ni las circunstancias en las que quepa hacerlos valer para restringir de esa forma este derecho fundamental.

Circunstancia que no puede paliarse admitiendo que la interpretación adecuada del precepto sea la propuesta por el Abogado del Estado en atención a la literalidad de ambos preceptos. Pues más bien cabe entender que la restricción fundada en el interés público o de un tercero más digno de tutela que el derecho a la protección de datos personales del interesado lo es al ejercicio mismo de esos derechos de acceso, rectificación y cancelación de los datos que forman parte del contenido esencial de esos derechos fundamentales. Sin perjuicio de que su denegación en ese caso pueda ser impugnada ante el Director de la Agencia de Protección de Datos. Denegación cuya consecuencia será la prórroga del plazo legal para proceder a la cancelación y rectificación de esos datos personales, de lo que se infiere que la restricción no es en rigor al plazo para rectificar y cancelar, sino a los derechos mismos a que se rectifiquen y cancelen los datos.

Como en otra ocasión hemos aseverado, los motivos de limitación adolecen de tal grado de indeterminación que deja excesivo campo de maniobra a la discrecionalidad administrativa, incompatible con las exigencias de la reserva legal en cuanto constituye una cesión en blanco del poder normativo que defrauda la reserva de ley. Además, al no hacer referencia alguna a los presupuestos y condiciones de la restricción, resulta insuficiente para determinar si la decisión administrativa es o no el fruto previsible de la razonable aplicación de lo dispuesto por el legislador (SSTC 101/1991, FJ 3, y 49/1999, FJ 4). De suerte que la misma falta evidente de certeza y previsibilidad del lí­mite que el art. 24.2 LOPD impone al derecho fundamental a la protección de los datos personales (art. 18.4 CE), y la circunstancia de que, además, se trate de un lí­mite cuya fijación y aplicación no viene precisada en la LOPD, sino que se abandona a la entera discreción de la Administración Pública responsable del fichero en cuestión, aboca a la estimación en este punto del recurso interpuesto por el Defensor del Pueblo al resultar vulnerados los arts. 18.4 y 53.1 CE.

19. La necesidad de delimitar el objeto de nuestro pronunciamiento y su alcance nos impone precisar finalmente el contenido de nuestro fallo estimatorio del presente recurso de inconstitucionalidad, por cuanto la literalidad de las tachas formuladas por el Defensor del Pueblo se ha limitado a determinados incisos de los preceptos impugnados.

En primer lugar, si bien la tacha del Defensor del Pueblo se contrae al inciso “o por disposiciones de superior rango” del apartado 1 del art. 21, la declaración de inconstitucionalidad y nulidad se fundamenta, como se ha dicho en el FJ 15, en que la LOPD no ha fijado por sí­ misma, como le impone el art. 53.1 CE, los lí­mites al derecho a consentir la cesión de datos personales entre Administraciones Públicas para fines distintos a los que motivaron su recogida, sino que sólo ha identificado la norma que puede hacerlo en su lugar. Por lo que en coherencia con este fundamento no cabe circunscribir dicha declaración sólo al referido inciso sino al más amplio que incluye tanto las disposiciones de creación del fichero como el contenido literal del impugnado, extendiendo la inconstitucionalidad y nulidad a su totalidad, esto es “cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso”, así­ como a la conjunción disyuntiva “o” para no privar de sentido al supuesto regulado en el inciso final del art. 24.1 LOPD y que no ha sido objeto de impugnación.

Asimismo, la estimación del recurso en lo tocante a los incisos impugnados del art. 24.1 y 2 LOPD, ha de reflejarse en nuestro fallo declarando inconstitucionales y nulos los incisos del apartado 1 recurridos, y extendiendo la declaración en el caso del apartado 2 a toda su literalidad, pues si son contrarias a la Constitución por lesivas del art. 18.4 CE las dos restricciones previstas en su primera frase de este 2 apartado del art. 24 LOPD, su nulidad priva de sentido alguno lo dispuesto en la segunda, por lo que la más elemental lógica jurí­dica aconseja la expulsión del ordenamiento jurí­dico de todo el apartado (art. 39.1 LOTC).

F A L L O

En atención a todo lo expuesto, el Tribunal Constitucional, POR LA AUTORIDAD QUE LE CONFIERE LA CONSTITUCIÓN DE LA NACIÓN ESPAÑOLA,

Ha decidido

Estimar el presente recurso de inconstitucionalidad y, en consecuencia:

1º Declarar contrario a la Constitución y nulo el inciso “cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso o” del apartado 1 del art. 21 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

2º Declarar contrarios a la Constitución y nulos los incisos “impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones públicas” y “o administrativas” del apartado 1 del art. 24, y todo su apartado 2, de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Publí­quese esta Sentencia en el “Boletí­n Oficial del Estado”.

Dada en Madrid, a treinta de noviembre de dos mil.

Fuente: “http://www.tribunalconstitucional.es/STC2000/STC2000-292.htm”:http://www.tribunalconstitucional.es/STC2000/STC2000-292.htm


Ley orgánica de protección de datos de carácter personal (España)

Posted: mayo 21st, 2006 | Author: | Filed under: General, Google, Normas | No Comments »

*ESPAÑA – LEY ORGíNICA DE PROTECCIÓN DE DATOS DE CARíCTER PERSONAL*

LEY ORGíNICA 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.(B.O.E.14-12-99): Modificada por Ley 62/2003, de 30 de diciembre (B.O.E. 31/12/2003)

JUAN CARLOS I
REY DE ESPAÑA

A todos los que la presente vieren y entendieren

Sabed: Que las Cortes Generales han aprobado y Yo vengo en sancionar la siguiente Ley Orgánica.

TíTULO I
Disposiciones generales
Artí­culo 1. Objeto.
La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas fí­sicas, y especialmente de su honor e intimidad personal y familiar.
Artí­culo 2. ímbito de aplicación.
1.- La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte fí­sico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal
a.- Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.
b.- Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.
c.- Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.
2.- El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación:
a.- A los ficheros mantenidos por personas fí­sicas en el ejercicio de actividades exclusivamente personales o domésticas.
b.- A los ficheros sometidos a la normativa sobre protección de materias clasificadas.
c.- A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus caracterí­sticas generales y su finalidad a la Agencia de Protección de Datos.
3.- Se regirán por sus disposiciones especí­ficas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales:
a.- Los ficheros regulados por la legislación de régimen electoral.
b.- Los que sirvan a fines exclusivamente estadí­sticos, y estén amparados por la legislación estatal o autonómica sobre la función estadí­stica pública.
c.- Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del régimen del personal de las Fuerzas Armadas.
d.- Los derivados del Registro Civil y del Registro Central de penados y rebeldes.
e.- Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.
Artí­culo 3. Definiciones.
A los efectos de la presente Ley Orgánica se entenderá por:
a.- Datos de carácter personal: cualquier información concerniente a personas fí­sicas identificadas o identificables.
b.- Fichero todo conjunto organizado de datos de caracter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
c.- Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así­ como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
d.- Responsable del fichero o tratamiento: persona fí­sica o jurí­dica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
e.- Afectado o interesado: persona fí­sica titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artí­culo.
f.- Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
g.- Encargado del tratamiento: la persona fí­sica o jurí­dica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
h.- Consentimiento del interesado: toda manifestación de voluntad, libre, inequí­voca, especí­fica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
i.- Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.
j.- Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa especí­fica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, tí­tulo, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.

TíTULO II
Principios de la protección de datos
Artí­culo 4. Calidad de los datos.
1.- Los datos de carácter personal sólo se podrán recoger para su tratamiento, así­ como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explí­citas y legí­timas para las que se hayan obtenido.
2.- Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadí­sticos o cientí­ficos.
3.- Los datos de carácter personal serán exactos y puestos al dí­a de forma que respondan con veracidad a la situación actual del afectado.
4.- Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados sin perjuicio de las facultades que a los afectados reconoce el artí­culo 16.
5.- Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No serán conservados en forma que permita la identificación del interesado durante un perí­odo superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadí­sticos o cientí­ficos de acuerdo con la legislación especí­fica, se decida el mantenimiento í­ntegro de determinados datos.
6.- Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
7.- Se prohibe la recogida de datos por medios fraudulentos, desleales o ilí­citos.
Artí­culo 5. Derecho de información en la recogida de datos.
1.- Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequí­voco:
a.- De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b.- Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c.- De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d.- De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e.- De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
2.- Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
3.- No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.
4.- Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequí­voca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así­ como de lo previsto en las letras a), d) y e) del apartado 1 del presente artí­culo.
5.- No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines históricos, estadí­sticos o cientí­ficos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigí¼edad de los datos y a las posibles medidas compensatorias.
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así­ como de los derechos que le asisten.
Artí­culo 6. Consentimiento del afectado.
1.- El tratamiento de los datos de carácter personal requerirá el consentimiento inequí­voco del afectado, salvo que la ley disponga otra cosa.
2.- No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artí­culo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legí­timo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
3.- El consentimiento a que se refiere el artí­culo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
4.- En los casos en los que no sea necesario el consentimiento deL afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legí­timos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.
Artí­culo 7. Datos especialmente protegidos.
1.- De acuerdo con lo establecido en el apartado 2 del artí­culo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideologí­a, religión o creencias.

Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.
2.- Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideologí­a, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos polí­ticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea polí­tica, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.
3.- Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así­ lo disponga una ley o el afectado consienta expresamente.
4.- Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideologí­a, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
5.- Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras.
6.- No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artí­culo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté fí­sica o jurí­dicamente incapacitado para dar su consentimiento.
Artí­culo 8. Datos relativos a la salud.
Sin perjuicio de lo que se dispone en el artí­culo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.
Artí­culo 9. Seguridad de los datos.
1.- El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de í­ndole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnologí­a, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio fí­sico o natural.
2.- No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por ví­a reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
3.- Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artí­culo 7 de esta Ley.
Artí­culo 10. Deber de secreto.
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
Artí­culo 11. Comunicación de datos.
1.- Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legí­timas del cedente y del cesionario con el previo consentimiento del interesado.
2.- El consentimiento exigido en el apartado anterior no será preciso:
a.- Cuando la cesión está autorizada en una ley.
b.- Cuando se trate de datos recogidos de fuentes accesibles al público.
c.- Cuando el tratamiento responda a la libre y legí­tima aceptación de una relación jurí­dica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legí­tima en cuanto se limite a la finalidad que la justifique.
d.- Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e.- Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadí­sticos o cientí­ficos.
f.- Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
3.- Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.
4.- El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.
5.- Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.
6.- Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.
Artí­culo 12. Acceso a los datos por cuenta de terceros.
1.- No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
2.- La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artí­culo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
3.- Una vez cumplida la prestación contractual los datos de carácter personal deberán ser destruido, devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
4.- En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

TíTULO III

Derechos de las personas

Artí­culo 13. Impugnación de valoraciones.
1.- Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurí­dicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad.
2.- El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus caracterí­sticas o personalidad.
3.- En este caso, el afectado tendrá derecho a obtener información del responsable del fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto.
4.- La valoración sobre el comportamiento de los ciudadanos, basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado.
Artí­culo 14. Derecho de consulta al Registro General de Protección de Datos.
Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General será de consulta pública y gratuita.
Artí­culo 15. Derecho de acceso.
1.- El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así­ como las comunicaciones realizadas o que se prevén hacer de los mismos.
2.- La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos especí­ficos.
3.- El derecho de acceso a que se refiere este artí­culo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legí­timo al efecto, en cuyo caso podrán ejercitarlo antes.

Artí­culo 16. Derecho de rectificación y cancelación.
1.- El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez dí­as.
2.- Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley, y, en particular, cuando tales datos resulten inexactos o incompletos.
3.- La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.
4.- Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación.
5.- Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.

Artí­culo 17. Procedimiento de oposición, acceso, rectificación o cancelación.
1.- Los procedimientos para ejercitar el derecho de oposición, acceso, así­ como los de rectificación y cancelación serán establecidos reglamentariamente.
2.- No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, acceso, rectificación o cancelación.

Artí­culo 18. Tutela de los derechos.
1.- Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los interesados ante la Agencia de Protección de Datos, en la forma que reglamentariamente se determine.
2.- El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, acceso, rectificación o cancelación, podrá ponerlo en conocimiento de la Agencia de Protección de Datos o, en su caso, de* ¡ organismo competente de cada Comunidad Autónoma, que deberá asegurarse de la procedencia o improcedencia de la denegación.
3.- El plazo máximo en que debe dictarse la resolución expresa de tutela de derechos será de seis meses.
4.- Contra las resoluciones de la Agencia de Protección de Datos procederá recurso contencioso-administrativo.

Artí­culo 19. Derecho a indemnización.
1.- Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.
2.- Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas.
3.- En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.

TíTULO IV
Disposiciones sectoriales

CAPíTULO I
Ficheros de titularidad pública

Artí­culo 20. Creación, modificación o supresión.
1.- La creación, modificación o supresión de los ficheros de las Administraciones públicas sólo podrán hacerse por medio de disposición general publicada en el * «Boletí­n Oficial del Estado* » o Diario oficial correspondiente.
2.- Las disposiciones de creación o de modificación de ficheros deberán indicar:
a.- La finalidad del fichero y los usos previstos para el mismo.
b.- Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos.
c.- El procedimiento de recogida de los datos de carácter personal.
d.- La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo.
e.- Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a paí­ses terceros.
f.- Los órganos de las Administraciones responsables del fichero.
g.- Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición.
h.- Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.
3.- En las disposiciones que se dicten para la supresión de los ficheros, se establecerá el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción.

Artí­culo 21. Comunicación de datos entre Administraciones públicas.
1.- Los datos de carácter personal recogidos o elaborados por las Administraciones públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso, o cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadí­sticos o cientí­ficos.
2.- Podrán, en todo caso, ser objeto de comunicación los datos de carácter personal que una Administración pública obtenga o elabore con destino a otra.
3.- No obstante lo establecido en el artí­culo 11.2.b), la comunicación de datos recogidos de fuentes accesibles al público no podrá efectuarse a ficheros de titularidad privada, sino con el consentimiento del interesado o cuando una ley prevea otra cosa.
4.- En los supuestos previstos en los apartados 1 y 2 del presente artí­culo no será necesario el consentimiento del afectado a que se refiere el artí­culo 11 de la presente Ley.

Artí­culo 22. Ficheros de las Fuerzas y Cuerpos de Seguridad.
1.- Los ficheros creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarán sujetos al régimen general de la presente Ley.
2.- La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorí­as de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros especí­ficos establecidos al efecto, que deberán clasificarse por categorí­as en función de su grado de fiabilidad.
3.- La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos, a que hacen referencia los apartados 2 y 3 del artí­culo 7, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales.
4.- Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.
A estos efectos, se considerará especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad.

Artí­culo 23. Excepciones a los derechos de acceso, rectificación y cancelación.
1.- Los responsables de los ficheros que contengan los datos a que se refieren los apartados 2, 3 y 4 del artí­culo anterior podrán denegar el acceso, la rectificación o cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.
2.- Los responsables de los ficheros de la Hacienda Pública podrán, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarí­as y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras.
3.- El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos mencionados en los apartados anteriores podrá ponerlo en conocimiento del Director de la Agencia de Protección de Datos o del organismo competente de cada Comunidad Autónoma en el caso de ficheros mantenidos por Cuerpos de Policí­a propios de éstas, o por las Administraciones tributarí­as autonómicas, quienes deberán asegurarse de la procedencia o improcedencia de la denegación.

Artí­culo 24. Otras excepciones a los derechos de los afectados.
1.- Lo dispuesto en los apartados 1 y 2 del artí­culo 5 no será aplicable a la recogida de datos cuando la información al afectado impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones públicas o cuando afecte a la Defensa Nacional, a la seguridad pública o a la persecución de infracciones penales o administrativas.
2.- Lo dispuesto en el artí­culo 15 y en el apartado 1 del artí­culo 16 no será de aplicación si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección. Si el órgano administrativo responsable del fichero invocase lo dispuesto en este apartado, dictará resolución motivada e instruirá al afectado del derecho que le asiste a poner la negativa en conocimiento del Director de la Agencia de Protección de Datos o, en su caso, del órgano equivalente de las Comunidades Autónomas.

CAPíTULO II
Ficheros de titularidad privada

Artí­culo 25. Creación.
Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legí­timos de la persona, empresa o entidad titular y se respeten las garantí­as que esta Ley establece para la protección de las personas.

Artí­culo 26. Notificación e inscripción registral.
1.- Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.
2.- Por ví­a reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a paí­ses terceros.
3.- Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.
4.-

El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles.

En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.
5.- Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.

Artí­culo 27. Comunicación de la cesión de datos.
1.- El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar de ello a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario.
2.- La obligación establecida en el apartado anterior no existirá en el supuesto previsto en los apartados 2, letras c), d), e) y 6 del artí­culo 11, ni cuando la cesión venga impuesta por ley.

Artí­culo 28. Datos incluidos en las fuentes de acceso público.
1.- Los datos personales que figuren en el censo promocional, o las listas de personas pertenecientes a grupos de profesionales a que se refiere el artí­culo 3, j) de esta Ley deberán limitarse a los que sean estrictamente necesarios para cumplir la finalidad a que se destina cada listado. La inclusión de datos adicionales por las entidades responsables del mantenimiento de dichas fuentes requerirá el consentimiento del interesado, que podrá ser revocado en cualquier momento.
2.-

Los interesados tendrán derecho a que la entidad responsable del mantenimiento de los listados de los Colegios profesionales indique gratuitamente que sus datos personales no pueden utilizarse para fines de publicidad o prospección comercial.

Los interesados tendrán derecho a exigir gratuitamente la exclusión de la totalidad de sus datos personales que consten en el censo promocional por las entidades encargadas del mantenimiento de dichas fuentes.

La atención a la solicitud de exclusión de la información innecesaria o de inclusión de la objeción al uso de los datos para fines de publicidad o venta a distancia deberá realizarse en el plazo de diez dí­as respecto de las informaciones que se realicen mediante consulta o comunicación telemática y en la siguiente edición del listado cualquiera que sea el soporte en que se edite.
3.-

Las fuentes de acceso público que se editen en forma de libro o algún otro soporte fí­sico, perderán el carácter de fuente accesible con la nueva edición que se publique.

En el caso de que se obtenga telemáticamente una copia de la lista en formato electrónico, ésta perderá el carácter de fuente de acceso público en el plazo de un año, contado desde el momento de su obtención.
4.- Los datos que figuren en las guí­as de servicios de telecomunicaciones disponibles al público se regirán por su normativa especí­fica.

Artí­culo 29. Prestación de servicios de información sobre solvencia patrimonial y crédito.
1.- Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito sólo podrán tratar datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento.
2.- Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta dí­as desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley.
3.- En los supuestos a que se refieren los dos apartados anteriores, cuando el interesado lo solicite, el responsable del tratamiento le comunicará los datos, así­ como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos.
4.- Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos.

Artí­culo 30.Tratamientos con fines de publicidad y de prospección comercial.
1.- Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, utilizarán nombres y direcciones u otros datos de carácter personal cuando los mismos figuren en fuentes accesibles al público o cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento.
2.- Cuando los datos procedan de fuentes accesibles al público, de conformidad con lo establecido en el párrafo segundo del artí­culo 5.5 de esta Ley, en cada comunicación que se dirija al interesado se informará del origen de los datos y de la identidad del responsable del tratamiento, así­ como de los derechos que le asisten.
3.- En el ejercicio del derecho de acceso los interesados tendrán derecho a conocer el origen de sus datos de carácter personal, así­ como del resto de información a que se refiere el artí­culo 15.
4.- Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud.

Artí­culo3l. Censo promocional.
1.- Quienes pretendan realizar permanente o esporádicamente la actividad de recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial u otras actividades análogas, podrán solicitar del Instituto Nacional de Estadí­stica o de los órganos equivalentes de las Comunidades Autónomas una copia del censo promocional, formado con los datos de nombre, apellidos y domicilio que constan en el censo electoral.
2.- El uso de cada lista de censo promocional tendrá un plazo de vigencia de un año. Transcurrido el plazo citado, la lista perderá su carácter de fuente de acceso público.
3.- Los procedimientos mediante los que los interesados podrán solicitar no aparecer en el censo promocional se regularán reglamentarí­amente. Entre estos procedimientos, que serán gratuitos para los interesados, se incluirá el documento de empadronamiento. Trimestralmente se editará una lista actualizada del censo promocional, excluyendo los nombres y domicilios de los que así­ lo hayan solicitado.
4.- Se podrá exigir una contraprestación por la facilitación de la citada lista en soporte informático.

Artí­culo 32. Códigos tipo.
1.- Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública y privada, así­ como las organizaciones en que se agrupen, podrán formular códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así­ como las garantí­as, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la presente Ley y sus normas de desarrollo.
2.- Los citados códigos podrán contener o no reglas operacionales detalladas de cada sistema particular y estándares técnicos de aplicación.

En el supuesto de que tales reglas o estándares no se incorporen directamente al código, las instrucciones u órdenes que los establecieran deberán respetar los principios fijados en aquél.
3.- Los códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica profesional, debiendo ser depositados o inscritos en el Registro General de Protección de Datos y, cuando corresponda, en los creados a estos efectos por las Comunidades Autónomas, de acuerdo con el artí­culo 41. El Registro General de Protección de Datos podrá denegar la inscripción cuando considere que no se ajusta a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el Director de la Agencia de Protección de Datos requerir a los solicitantes para que efectúen las correcciones oportunas.

TíTULO V

Movimiento internacional de datos

Artí­culo33. Norma general.
1.- No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a paí­ses que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantí­as adecuadas.
2.- El carácter adecuado del nivel de protección que ofrece el paí­s de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categorí­a de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el paí­s de origen y el paí­s de destino final, las normas de derecho, generales o sectoriales, vigentes en el paí­s tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así­ como las normas profesionales y las medidas de seguridad en vigor en dichos paí­ses.

Artí­culo 34. Excepciones.

Lo dispuesto en el artí­culo anterior no será de aplicación:
a.- Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
b.- Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
c.- Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
d.- Cuando se refiera a transferencias dinerarias conforme a su legislación especí­fica.
e.- Cuando el afectado haya dado su consentimiento inequí­voco a la transferencia prevista.
f.- Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
g.- Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
h.- Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
i.- Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
j.- Cuando la transferencia se efectúe, a petición de persona con interés legí­timo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.
k.- Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

TíTULO VI
Agencia de Protección de Datos

Artí­culo35. Naturaleza y régimen jurí­dico.
1.- La Agencia de Protección de Datos es un ente de derecho público, con personalidad jurí­dica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones. Se regirá por lo dispuesto en la presente Ley y en un Estatuto propio, que será aprobado por el Gobierno.
2.- En el ejercicio de sus funciones públicas, y en defecto de lo que disponga la presente Ley y sus disposiciones de desarrollo, la Agencia de Protección de Datos actuará de conformidad con la Ley 30/1992, de 26 de noviembre, de Régimen Jurí­dico de las Administraciones Públicas y del Procedimiento Administrativo Común. En sus adquisiciones patrimoniales y contratación estará sujeta al derecho privado.
3.- Los puestos de trabajo de los órganos y servicios que integren la Agencia de Protección de Datos serán desempeñados por funcionarios de las Administraciones públicas y por personal contratado al efecto, según la naturaleza de las funciones asignadas a cada puesto de trabajo. Este personal está obligado a guardar secreto de los datos de carácter personal de que conozca en el desarrollo de su función.
4.- La Agencia de Protección de Datos contará, para el cumplimiento de sus fines, con los siguientes bienes y medios económicos:
a.- Las asignaciones que se establezcan anualmente con cargo a los Presupuestos Generales del Estado.
b.- Los bienes y valores que constituyan su patrimonio, así­ como los productos y rentas del mismo.
c.- Cualesquiera otros que legalmente puedan serle atribuidos.
5.- La Agencia de Protección de Datos elaborará y aprobará con carácter anual el correspondiente anteproyecto de presupuesto y lo remitirá al Gobierno para que sea integrado, con la debida independencia, en los Presupuestos Generales del Estado.

Artí­culo36. El Director.
1.- El Director de la Agencia de Protección de Datos dirige la Agencia y ostenta su representación. Será nombrado, de entre quienes componen el Consejo Consultivo, mediante Real Decreto, por un perí­odo de cuatro años.
2.-

Ejercerá sus funciones con plena independencia y objetividad y no estará sujeto a instrucción alguna en el desempeño de aquéllas.

En todo caso, el Director deberá oí­r al Consejo Consultivo en aquellas propuestas que éste le realice en el ejercicio de sus funciones.
3.- El Director de la Agencia de Protección de Datos sólo cesará antes de la expiración del perí­odo a que se refiere el apartado 1, a petición propia o por separación acordada por el Gobierno, previa instrucción de expediente, en el que necesariamente serán oí­dos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por delito doloso.
4.- El Director de la Agencia de Protección de Datos tendrá la consideración de alto cargo y quedará en la situación de servicios especiales si con anterioridad estuviera desempeñando una función pública. En el supuesto de que sea nombrado para el cargo algún miembro de la carrera judicial o fiscal, pasará asimismo a la situación administrativa de servicios especiales.

Artí­culo 37. Funciones.

Son funciones de la Agencia de Protección de Datos:
a.- Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.
b.- Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.
c.- Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley.
d.- Atender las peticiones y reclamaciones formuladas por las personas afectadas.
e.- Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal.
f.- Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones.
g.- Ejercer la potestad sancionadora en los términos previstos por el Tí­tulo VII de la presente Ley.
h.- Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.
i.- Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones.
j.- Velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la información adicional que el Director de la Agencia determine.
k.- Redactar una memoria anual y remitirla al Ministerio de Justicia.
l.- Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así­ como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.
m.- Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadí­stica Pública establece respecto a la recogida de datos estadí­sticos y al secreto estadí­stico, así­ como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadí­sticos y ejercer la potestad a la que se refiere el artí­culo 46
n.- Cuantas otras le sean atribuidas por normas legales o reglamentarias.
Artí­culo 38. Consejo Consultivo.

* El Director de la Agencia de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros
* Un Diputado, propuesto por el Congreso de los Diputados.
* Un Senador, propuesto por el Senado.
* Un representante de la Administración Central, designado por el Gobierno.
* Un representante de la Administración Local, propuesto por la Federación Española de Municipios y Provincias.
* Un miembro de la Real Academia de la Historia, propuesto por la misma.
* Un experto en la materia, propuesto por el Consejo Superior de Universidades.
* Un representante de los usuarios y consumidores, seleccionado del modo que se prevea reglamentariamente.
* Un representante de cada Comunidad Autónoma que haya creado una agencia de protección de datos en su ámbito territorial, propuesto de acuerdo con el procedimiento que establezca la respectiva Comunidad Autónoma.
* Un representante del sector de ficheros privados, para cuya propuesta se seguirá el procedimiento que se regule reglamentariamente.
* El funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias que al efecto se establezcan.

Artí­culo39. El Registro General de Protección de Datos.
1.- El Registro General de Protección de Datos es un órgano integrado en la Agencia de Protección de Datos.
2.- Serán objeto de inscripción en el Registro General de Protección de Datos
a.- Los ficheros de que sean titulares las Administraciones públicas.
b.- Los ficheros de titularidad privada.
c.- Las autorizaciones a que se refiere la presente Ley.
d.- Los códigos tipo a que se refiere el artí­culo 32 de la presente Ley.
e.- Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición.
3.- Por ví­a reglamentaria se regulará el procedimiento de inscripción de los ficheros, tanto de titularidad pública como de titularidad privada, en el Registro General de Protección de Datos, el contenido de la inscripción, su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás extremos pertinentes.

Artí­culo 40. Potestad de inspección.
1.-

Las autoridades de control podrán inspeccionar los ficheros a que hace referencia la presente Ley, recabando cuantas informaciones precisen para el cumplimiento de sus cometidos.

A tal efecto, podrán solicitar la exhibición o el enví­o de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así­ como inspeccionar los equipos fí­sicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde se hallen instalados.
2.-

Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior tendrán la consideración de autoridad pública en el desempeño de sus cometidos.

Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.
Artí­culo 41.Órganos correspondientes de las Comunidades Autónomas.
1.- Las funciones de la Agencia de Protección de Datos reguladas en el artí­culo 37, a excepción de las mencionadas en los apartados j), k) y l), y en los apartados f) y g) en lo que se refiere a las transferencias internacionales de datos, así­ como en los artí­culos 46 y 49, en relación con sus especí­ficas competencias serán ejercidas, cuando afecten a ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración Local de su ámbito territorial, por los órganos correspondientes de cada Comunidad, que tendrán la consideración de autoridades de control, a los que garantizarán plena independencia y objetividad en el ejercicio de su cometido.
2.- Las Comunidades Autónomas podrán crear y mantener sus propios registros de ficheros para el ejercicio de las competencias que se les reconoce sobre los mismos.
3.- El Director de la Agencia de Protección de Datos podrá convocar regularmente a los órganos correspondientes de las Comunidades Autónomas a efectos de cooperación institucional y coordinación de criterios o procedimientos de actuación. El Director de la Agencia de Protección de Datos y los órganos correspondientes de las Comunidades Autónomas podrán solicitarse mutuamente la información necesaria para el cumplimiento de sus funciones.
Artí­culo 42. Ficheros de las Comunidades Autónomas en materia de su exclusiva competencia.
1.- Cuando el Director de la Agencia de Protección de Datos constate que el mantenimiento o uso de un determinado fichero de las Comunidades Autónomas contraviene algún precepto de esta Ley en materia de su exclusiva competencia podrá requerir a la Administración correspondiente que se adopten las medidas correctoras que determine en el plazo que expresamente se fije en el requerimiento.
2.- Si la Administración pública correspondiente no cumpliera el requerimiento formulado, el Director de la Agencia de Protección de Datos podrá impugnar la resolución adoptada por aquella Administración.

TíTULO VII
Infracciones y sanciones
Artí­culo 43. Responsables.
1.- Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley.
2.- Cuando se trate de ficheros de los que sean responsables las Administraciones públicas se estará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en el artí­culo 46, apartado 2.
Artí­culo 44. Tipos de infracciones.
1.- Las infracciones se calificarán como leves, graves o muy graves.
2.- Son infracciones leves
a.- No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.
b.- No proporcionar la información que solicite la Agencia de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.
c.- No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.
d.- Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artí­culo 5 de la presente Ley.
e.- Incumplir el deber de secreto establecido en el artí­culo 10 de esta Ley, salvo que constituya infracción grave.
3.- Son infracciones graves
a.- Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el * «Boletí­n Oficial del Estado* » o Diario oficial correspondiente.
b.- Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legí­timo de la empresa o entidad.
c.- Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible.
d.- Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantí­as establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.
e.- El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.
f.- Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.
g.- La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así­ como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.
h.- Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por ví­a reglamentaria se determinen.
i.- No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así­ como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.
j.- La obstrucción al ejercicio de la función inspectora.
k.- No inscribir el fichero de datos de carácter personal en el Registro General de Protección Datos, cuando haya sido requerido para ello por el Director de la Agencia de Protección de Datos.
l.- Incumplir el deber de información que se establece en los artí­culos 5, 28 y 29 de esta Ley, cuando los datos hayan sido recabados de persona distinta del afectado.
4.- Son infracciones muy graves:
a.- La recogida de datos en forma engañosa y fraudulenta.
b.- La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.
c.- Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artí­culo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el apartado 3 del artí­culo 7 cuando no lo disponga una ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el apartado 4 del artí­culo 7.
d.- No cesar en el uso ilegí­timo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso.
e.- La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a paí­ses que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de Datos.
f.- Tratar los datos de carácter personal de forma ilegí­tima o con menosprecio de los principios y garantí­as que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.
g.- La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artí­culo 7, así­ como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.
h.- No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
i.- No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.

Artí­culo 45. Tipo de sanciones.
1.- Las infracciones leves serán sancionadas con multa de 100.000 a 10.000.000 de pesetas.
2.- Las infracciones graves serán sancionadas con multa de 10.000.000 a 50.000.000 de pesetas.
3.- Las infracciones muy graves serán sancionadas con multa de 50.000.000 a 100.000.000 de pesetas.
4.- La cuantí­a de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad a la reincidencia, a los daños y perjuicios causados a la personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
5.- Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad de* ¡ imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantí­a de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.
6.- En ningún caso podrá imponerse una sanción más grave que la fijada en la Ley para la clase de infracción en la que se integre la que se pretenda sancionar.
7.- El Gobierno actualizará periódicamente la cuantí­a de las sanciones de acuerdo con las variaciones que experimenten los í­ndices de precios.

Artí­culo 46. Infracciones de las Administraciones públicas.
1.- Cuando las infracciones a que se refiere el artí­culo 44 fuesen cometidas en ficheros de los que sean responsables las Administraciones públicas, el Director de la Agencia de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.
2.- El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones públicas.
3.- Se deberán comunicar a la Agencia las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
4.- El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores.
Artí­culo 47. Prescripción.
1.- Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año.
2.- El plazo de prescripción comenzará a contarse desde el dí­a en que la infracción se hubiera cometido.
3.- Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor.
4.- Las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año.
5.- El plazo de prescripción de las sanciones comenzará a contarse desde el dí­a siguiente a aquel en que adquiera firmeza la resolución por la que se impone la sanción.
6.- La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

Artí­culo 48. Procedimiento sancionador.
1.- Por ví­a reglamentaria se establecerá el procedimiento a seguir para la determinación de las infracciones y la imposición de las sanciones a que hace referencia el presente Tí­tulo.
2.- Las resoluciones de la Agencia de Protección de Datos u órgano correspondiente de la Comunidad Autónoma agotan la ví­a administrativa.

Artí­culo 49. Potestad de inmovilización de ficheros.
En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilí­cita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilí­cita de los datos. Si el requerimiento fuera desatendido, la Agencia de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas.

Disposición adicional primera. Ficheros preexistentes.

Los ficheros y tratamientos automatizados inscritos o no en el Registro General de Protección de Datos deberán adecuarse a la presente Ley Orgánica dentro del plazo de tres años, a contar desde su entrada en vigor. En dicho plazo, los ficheros de titularidad privada deberán ser comunicados a la Agencia de Protección de Datos y las Administraciones públicas, responsables de ficheros de titularidad pública, deberán aprobar la pertinente disposición de regulación del fichero o adaptar la existente.

En el supuesto de ficheros y tratamientos no automatizados, su adecuación a la presente Ley Orgánica, y la obligación prevista en el párrafo anterior deberán cumplimentarse en el plazo de doce años a contar desde el 24 de octubre de 1995, sin perjuicio del ejercicio de los derechos de acceso, rectificación y cancelación por parte de los afectados.

Disposición adicional segunda. Ficheros y Registro de Población de las Administraciones públicas.
1.- La Administración General del Estado y las Administraciones de las Comunidades Autónomas podrán solicitar al Instituto Nacional de Estadí­stica, sin consentimiento del interesado, una copia actualizada del fichero formado con los datos del nombre, apellidos, domicilio, sexo y fecha de nacimiento que constan en los padrones municipales de habitantes y en el censo electoral correspondientes a los territorios donde ejerzan sus competencias, para la creación de ficheros o registros de población.
2.- Los ficheros o registros de población tendrán como finalidad la comunicación de los distintos órganos de cada Administración pública con los interesados residentes en los respectivos territorios, respecto a las relaciones jurí­dico administrativas derivadas de las competencias respectivas de las Administraciones públicas.
Disposición adicional tercera. Tratamiento de los expedientes de las derogadas Leyes de Vagos y Maleantes y de Peligrosidad y Rehabilitación Social.

Los expedientes especí­ficamente instruidos al amparo de las derogadas Leyes de Vagos y Maleantes, y de Peligrosidad y Rehabilitación Social, que contengan datos de cualquier í­ndole susceptibles de afectar a la seguridad, al honor, a la intimidad o a la imagen de las personas, no podrán ser consultados sin que medie consentimiento expreso de los afectados, o hayan transcurrido cincuenta años desde la fecha de aquéllos.

En este último supuesto, la Administración General del Estado, salvo que haya constancia expresa del fallecimiento de los afectados, pondrá a disposición del solicitante la documentación, suprimiendo de la misma los datos aludidos en el párrafo anterior, mediante la utilización de los procedimientos técnicos pertinentes en cada caso.

Disposición adicional cuarta. Modificación del artí­culo 112.4 de la Ley General Tributaria.

El apartado cuarto del artí­culo 112 de la Ley General Tributarí­a pasa a tener la siguiente redacción:

* «4. La cesión de aquellos datos de carácter personal, objeto de tratamiento, que se debe efectuar a la Administración tributarí­a conforme a lo dispuesto en el artí­culo 111, en los apartados anteriores de este artí­culo o en otra norma de rango legal, no requerirá el consentimiento del afectado. En este ámbito tampoco será de aplicación lo que respecto a las Administraciones públicas establece el apartado 1 del artí­culo 21 de la Ley Orgánica de Protección de Datos de carácter personal.* »

Disposición adicional quinta. Competencias del Defensor del Pueblo y órganos autonómicos semejantes.
Lo dispuesto en la presente Ley Orgánica se entiende sin perjuicio de las competencias del Defensor del Pueblo y de los órganos análogos de las Comunidades Autónomas.

Disposición adicional sexta. Modificación del artí­culo 24.3 de la Ley de Ordenación y Supervisión de los Seguros Privados.

Se modifica el artí­culo 24.3, párrafo 2.º de la Ley 30/1995, de 8 de noviembre, de Ordenación y Supervisión de los Seguros Privados, con la siguiente redacción:

* «Las entidades aseguradoras podrán establecer ficheros comunes que contengan datos de carácter personal para la liquidación de siniestros y la colaboración estadí­stico actuarial con la finalidad de permitir la tarificación y selección de riesgos y la elaboración de estudios de técnica aseguradora. La cesión de datos a los citados ficheros no requerirá el consentimiento previo del afectado, pero sí­ la comunicación al mismo de la posible cesión de sus datos personales a ficheros comunes para los fines señalados con expresa indicación del responsable para que se puedan ejercitar los derechos de acceso, rectificación y cancelación previstos en la ley.

También podrán establecerse ficheros comunes cuya finalidad sea prevenir el fraude en el seguro sin que sea necesario el consentimiento del afectado. No obstante, será necesaria en estos casos la comunicación al afectado, en la primera introducción de sus datos, de quién sea el responsable del fichero y de las formas de ejercicio de los derechos de acceso, rectificación y cancelación.

En todo caso, los datos relativos a la salud sólo podrán ser objeto de tratamiento con el consentimiento expreso del afectado.* »

Disposición transitoria primera. Tratamientos creados por Convenios internacionales.
La Agencia de Protección de Datos será el organismo competente para la protección de las personas fí­sicas en lo que respecta al tratamiento de datos de carácter personal respecto de los tratamientos establecidos en cualquier Convenio Internacional del que sea parte España que atribuya a una autoridad nacional de control esta competencia, mientras no se cree una autoridad diferente para este cometido en desarrollo del Convenio.

Disposición transitoria segunda. Utilización del censo promocional.
Reglamenentariamente se desarrollarán los procedimientos de formación del censo promocional, de oposición a aparecer en el mismo, de puesta a disposición de sus solicitantes, y de control de las listas difundidas. El Reglamento establecerá los plazos para la puesta en operación del censo promocional.

Disposición transitoria tercera. Subsistencia de normas preexistentes.
Hasta tanto se lleven a efectos las previsiones de la disposición final primera de esta Ley, continuarán en vigor, con su propio rango, las normas reglamentarias existentes y, en especial, los Reales Decretos 428/1993, de 26 de marzo, 1332/1994, de 20 de junio, y 994/1999, de 11 de junio, en cuanto no se opongan a la presente Ley.

Disposición derogatoria única. Derogación normativa.

Queda derogada la “Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de los datos de carácter personal”:http://www.habeasdata.org/lortad.

Disposición final primera. Habilitación para el desarrollo reglamentario.

El Gobierno aprobará, o modificará, las disposiciones reglamentarias necesarias para la aplicación y desarrollo de la presente Ley.

Disposición final segunda. Preceptos con carácter de Ley ordinaria.
Los Tí­tulos IV, VI excepto el último inciso del párrafo 4 del artí­culo 36 y VII de la presente Ley, la disposición adicional cuarta, la disposición transitoria primera y la final primera tienen el carácter de Ley ordinaria.

Disposición final tercera. Entrada en vigor.

La presente Ley entrará en vigor en el plazo de un mes, contado desde su publicación en el * «Boletí­n Oficial del Estado* ».

Por tanto,

Mando a todos los españoles, particulares y autoridades, que guarden y hagan guardar esta Ley Orgánica.

Madrid, 13 de diciembre de 1999.

JUAN CARLOS R.

El Presidente del Gobierno,
JOSí‰ MARíA AZNAR LÓPEZ


Decisión de la Comisión Europea sobre la adecuación de la ley argentina al regimen europeo de protección de datos

Posted: mayo 20th, 2006 | Author: | Filed under: Documento, General, Unión Europea | No Comments »

Unión Europea – DECISIÓN DE LA COMISIÓN de 30 de junio de 2003 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo sobre la adecuación de la protección de los datos personales en Argentina.

Ver asimismo dictamen de la UE del “Grupo del art. 29″:http://ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_en.htm

El texto se incluye como un archivo PDF.


Ley 1845 de protección de datos personales de la Ciudad de Buenos Aires

Posted: mayo 16th, 2006 | Author: | Filed under: Argentina, General, Normas | No Comments »

LEY 1845

Fuente: “CEDOM”:http://www.cedom.gov.ar/es/legislacion/normas/leyes/html/ley1845.html
El texto se volvió a republicar “el dí­a 3 de agosto de 2006″:http://www.habeasdata.org/Ley1845_2 en el “Boletí­n Oficial de la Ciudad de Buenos Aires”:http://www.buenosaires.gov.ar/areas/leg_tecnica/?menu_id=14859

Proyecto original del “Dip. Marcos Peña”:http://www.diariodegestion.com.ar/index.php/marcospenia/2006/02/24/principales-proyectos-presentados/

LEY DE PROTECCION DE DATOS PERSONALES
TITULO I.-
DISPOSICIONES GENERALES

Artí­culo 1º: Objeto.-
La presente ley tiene por objeto regular, dentro del ámbito de la Ciudad de Buenos Aires, el tratamiento de datos personales referidos a personas fí­sicas o de existencia ideal, asentados o destinados a ser asentados en archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires, a los fines de garantizar el derecho al honor, a la intimidad y a la autodeterminación informativa, de conformidad a lo establecido por el artí­culo 16 de la Constitución de la Ciudad Buenos Aires.
Cuando los datos se refieran a información pública y no a datos personales será de aplicación la “ley 104 de la Ciudad de Buenos Aires”:http://www.habeasdata.org/Ley104_y_Reglamentacion.
En ningún caso se podrán afectar la base de datos ni las fuentes de información periodí­sticas.
Art. 2º: ímbito de Aplicación.-
A los fines de la presente ley se consideran incluidos dentro del Sector Público de la Ciudad de Buenos Aires a todos los archivos, registros, bases o bancos de datos de titularidad de los órganos pertenecientes a la administración central, descentralizada, de entes autárquicos, Empresas y Sociedades del Estado, sociedades anónimas con participación estatal mayoritaria, sociedades de economí­a mixta y todas aquellas otras organizaciones empresariales donde el Estado de la Ciudad de Buenos Aires tenga participación en el capital o en la formación de las decisiones societarias, del Poder Legislativo y del Judicial, en cuanto a su actividad administrativa, y de los demás órganos establecidos en el Libro II de la Constitución de la Ciudad de Buenos Aires
Art. 3º: Definiciones.-
A los fines de la presente ley se entiende por:
Datos personales: Información de cualquier tipo referida a personas fí­sicas o de existencia ideal, determinadas o determinables.
Datos sensibles: Aquellos datos personales que revelan origen racial o étnico, opiniones polí­ticas, convicciones religiosas o morales, afiliación sindical, información referente a la salud o a la vida sexual o cualquier otro dato que pueda producir, por su naturaleza o su contexto, algún trato discriminatorio al titular de los datos.
Archivos, Registros, Bases o Bancos de Datos: Indistintamente, designan al conjunto organizado de datos personales objeto de tratamiento, cualquiera sea la modalidad o forma de su recolección, almacenamiento, organización o acceso, incluyendo tanto los automatizados como los manuales.
Tratamiento de datos: Cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, registro, organización, elaboración, extracción, utilización, cotejo, supresión, y en general, el procesamiento de datos personales, así­ como también su cesión a terceros a través de todo tipo de comunicación, consulta, interconexión, transferencia, difusión, o cualquier otro medio que permita el acceso a los mismos.
Titular de datos: Persona fí­sica o de existencia ideal cuyos datos sean objeto de tratamiento.
Responsable del Archivo, Registro, Base o Banco de Datos: Persona fí­sica o de existencia ideal del sector público de la Ciudad de Buenos Aires que sea titular de un archivo, registro, base o banco de datos.
Encargado del Tratamiento: Persona fí­sica o de existencia ideal, autoridad pública, dependencia u organismo que, solo o conjuntamente con otros, realice tratamientos de datos personales por cuenta del Responsable del archivo, registro, base o banco de datos.
Usuario de Datos: Persona fí­sica que, en ocasión del trabajo y cumpliendo sus tareas especí­ficas, tenga acceso a los datos personales incluidos en cualquier archivo, registro, base o banco de datos del Sector Público de la Ciudad de Buenos Aires.
Fuentes de Acceso Público Irrestricto: Exclusivamente, se entienden por tales a los boletines, diarios o repertorios oficiales, los medios de comunicación escritos, las guí­as telefónicas en los términos previstos por su normativa especí­fica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, tí­tulo, profesión, actividad, grado académico, dirección o cualquier otro dato que indique de su pertenencia al grupo.
TITULO II
DEL REGIMEN DE LOS ARCHIVOS, REGISTROS, BASES O BANCOS DE DATOS
Art. 4º: Creación de archivos, registros, bases o bancos de datos
1) La creación y mantenimiento de archivos, registros, bases o bancos de datos debe responder a un propósito general y usos especí­ficos lí­citos y socialmente aceptados. Los archivos de datos no pueden tener finalidades contrarias a las leyes o a la moral pública.
2) La formación de archivos de datos será lí­cita cuando se encuentren debidamente inscriptos, observando en su operación los principios que establece la presente ley y las reglamentaciones que se dicten en su consecuencia.
3) Las normas sobre creación, modificación o supresión de archivos, registros, bases o bancos de datos pertenecientes a organismos públicos deberán publicarse en el Boletí­n Oficial de la Ciudad de Buenos Aires e indicar:

a) Caracterí­sticas y finalidad del archivo;
b) Personas respecto de las cuales se pretenda obtener datos y el carácter facultativo u obligatorio de su suministro por parte de aquéllas;
c) Procedimiento de obtención y actualización de los datos;
d) Estructura básica del archivo, informatizado o no, y la descripción de la naturaleza de los datos personales que contendrán;
e) Las cesiones, transferencias o interconexiones previstas;
f) Órgano responsables del archivo, precisando dependencia jerárquica en su caso;
g) Dependencia ante la cual los ciudadanos pueden ejercer los derechos reconocidos por la presente Ley.

4) En las disposiciones que se dicten para la supresión de los archivos, registros, bases o bancos de datos se establecerá el destino de los mismos o las medidas que se adopten para su destrucción.
5) Cuando se traten datos personales recolectados a través de Internet, los sitios interactivos de la Ciudad de Buenos Aires deberán informar al titular de los datos personales los derechos que esta ley y la ley nacional les otorgan mediante una Polí­tica de Privacidad ubicada en un lugar visible de la página web.
Art. 5º: Tratamiento de datos personales efectuados por terceros
Cuando el responsable de un archivo, registro, base o banco de datos decida encargar a un tercero la prestación de servicios de tratamiento de datos personales, deberá requerir previamente la autorización del organismo de control, a cuyo efecto deberá fundar los motivos que justifican dicho tratamiento.
Los tratamientos de datos personales por terceros que sean aprobados por el organismo de control no podrán aplicarse o utilizarse con un fin distinto al que figure en la norma de creación de archivos, registros, bases o bancos de datos.
Los contratos de prestación de servicios de tratamiento de datos personales deberán contener los niveles de seguridad exigidos por la ley, así­ como también las obligaciones que surgen para los locatarios en orden a la confidencialidad y reserva que deben mantener sobre la información obtenida y cumplir con todas las provisiones de la presente ley a los fines de evitar una disminución en el nivel de protección de los datos personales.

TITULO III
PRINCIPIOS GENERALES DE LA PROTECCION DE DATOS PERSONALES
Art. 6º: Calidad de los datos.-
Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido.
La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la presente ley.
Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas con aquéllas que motivaron su obtención.
Los datos deben ser exactos y actualizarse en el caso de que ello fuere necesario para responder con veracidad a la situación de su titular.
Los datos total o parcialmente inexactos, o que sean incompletos, deben ser suprimidos y sustituidos, o en su caso completados, por el responsable o usuario del archivo, registro, base o banco de datos cuando se tenga conocimiento de la inexactitud o carácter incompleto de la información de que se trate, sin perjuicio de los derechos del titular establecidos en el artí­culo 13 de la presente ley.
Los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular.
Los datos personales deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados, sin necesidad de que lo requiera el titular de los mismos.
Art. 7* °: Consentimiento.-
1) El tratamiento de datos personales se considera ilí­cito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias.
El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al titular de datos, en forma adecuada a su nivel social y cultural, de la información a que se refiere el artí­culo 18º inciso b) de la presente ley.
2) El consentimiento puede ser revocado por cualquier medio y en cualquier momento. Dicha revocación no tendrá efectos retroactivos.
3) No será necesario el consentimiento cuando:
Los datos personales se recaben para el ejercicio de funciones propias de los poderes de la Ciudad de Buenos Aires, o en virtud de una obligación legal;
Los datos personales se obtengan de fuentes de acceso público irrestricto;
Se trate de datos personales relativos a la salud de las personas y su tratamiento sea necesario por razones de salud pública y emergencia establecidas por autoridad competente y debidamente fundadas;
Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio;
Art. 8º: Datos Sensibles.-
* · 1) Ninguna persona puede ser obligada a proporcionar datos sensibles. En particular no se podrá solicitar a ningún individuo datos sensibles como condición para su ingreso o promoción dentro del Sector Público de la Ciudad de Buenos Aires.
* · 2) Los datos sensibles sólo pueden ser tratados cuando medien razones de interés general autorizadas por ley. También podrán ser tratados con finalidades estadí­sticas o cientí­ficas, siempre y cuando no puedan ser identificados sus titulares.
* · 3) Queda prohibida la formación de archivos, registros, bases o bancos de datos que almacenen información que directa o indirectamente revele datos sensibles, salvo que la presente ley o cualquier otra expresamente disponga lo contrario o medie el consentimiento libre, previo, expreso, informado y por escrito del titular de los datos.
* · 4) Los datos relativos a antecedentes penales o contravencionales o infracciones administrativas sólo pueden ser objeto de tratamiento por parte de las autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas.
Art. 9* °: Datos relativos a la salud.-
Los establecimientos sanitarios dependientes de la Ciudad de Buenos Aires y los profesionales vinculados a las ciencias de la salud que presten servicios en los mismos, pueden recolectar y tratar los datos personales relativos a la salud fí­sica o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional.
Art. 10º: Cesión de datos.-
1) Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legí­timo del cedente y del cesionario y con el previo consentimiento del titular de los datos , al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo.
2) Al consentimiento para la cesión de datos personales le son aplicables las disposiciones previstas en el artí­culo 7º de la presente ley.
3) El consentimiento no es exigido cuando:

a) Así­ lo disponga expresamente una ley especial referida a cuestiones sensibles, en particular sobre salud pública, emergencias y seguridad.
b) En los supuestos previstos en el artí­culo 7* ° inciso 3 de la presente ley;
c) Se realice entre órganos del Sector Público de la Ciudad de Buenos Aires en forma directa, en la medida del cumplimiento de sus respectivas competencias;
d) Se trate de datos personales relativos a la salud, y sea necesario por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados;
e) Se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables.
f) Cuando la información sea requerida por un magistrado del Poder Judicial, el Defensor del Pueblo o el Ministerio Público, en el marco de una causa judicial en particular.
4) El cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate.

Art. 11º: Transferencia interprovincial.-
1) Es prohibida la transferencia de datos personales a cualquier provincia o municipio cuya administración pública no proporcione niveles de protección adecuados a los establecidos por la Ley Nacional 25.326 y la presente ley.
2) La prohibición no regirá en los siguientes supuestos:
Colaboración judicial interjurisdiccional; Intercambio de datos de carácter médico, cuando así­ lo exija el tratamiento del afectado, o una investigación epidemiológica, en tanto se realice en los términos del inciso 3, apartado e) del artí­culo anterior; Transferencias bancarias, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable; Intercambio de información entre los respectivos organismos provinciales o nacionales dentro del marco de sus competencias, a requerimiento de la autoridad judicial y en el marco de una causa; Cuando la transferencia tenga por objeto la lucha contra el crimen organizado, el terrorismo y el narcotráfico, y se realice a requerimiento de la autoridad judicial y en el marco de una causa; Consentimiento del titular de los datos.

Art. 12º: Transferencia internacional.-
1) Es prohibida la transferencia de datos personales de cualquier tipo con paí­ses u organismos internacionales o supranacionales, que no aseguren que los datos personales contarán con una protección adecuada a la proporcionada por la presente Ley.
2) La prohibición no regirá en los siguientes supuestos:

Colaboración judicial internacional;
Intercambio de datos de carácter médico, cuando así­ lo exija el tratamiento del afectado, o una investigación epidemiológica, en tanto se realice en los términos del inciso 3, apartado e) del artí­culo 10º de la presente ley;
Transferencias bancarias, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable;
Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Argentina sea parte y se realice a requerimiento de la autoridad judicial y en el marco de una causa;
Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico, y se realice a requerimiento de la autoridad judicial y en el marco de una causa.
Consentimiento del titular de los datos.

TITULO IV
DERECHOS DE LOS TITULARES DE DATOS PERSONALES

Art. 13º: Asisten al titular de datos personales los siguientes derechos:

a) Derecho de información:
Toda persona puede solicitar al organismo de control información relativa a la existencia de archivos, registros, bases o bancos de datos de titularidad del Sector Público de la Ciudad de Buenos Aires, su finalidad, identidad y domicilio de sus responsables.
b) Derecho de acceso:
El titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar y obtener información relativa a los datos personales referidos a su persona que se encuentre incluidos en los archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires.
Asimismo, y del mismo modo, el titular de los datos podrá exigir que se le informe acerca de la identidad de las personas a las que se le hubieran cedido datos relativos a su persona, del origen de los datos incluidos en el archivo, registro, base o banco de datos consultado, y de la lógica utilizada en los tratamientos automatizados de datos que se hubieran realizado.
El responsable del archivo, registro, base o banco de datos consultado debe proporcionar la información solicitada, sin restricciones ni requisitos de ningún tipo, en un plazo no mayor de diez (10) dí­as hábiles. El plazo se podrá prorrogar en forma excepcional por otros diez (10) dí­as hábiles de mediar circunstancias que hagan difí­cil reunir la información solicitada. En su caso, el órgano requerido debe comunicar, antes del vencimiento del plazo de diez (10) dí­as, las razones por las cuales hará uso de la prórroga excepcional.
Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe, éste se estimara insuficiente, quedará expedita la acción de protección de datos personales prevista en la presente Ley.
El derecho de acceso sólo puede ser ejercido en forma gratuita a intervalos no inferiores a dos meses, salvo que se acredite un interés legí­timo al efecto, en cuyo caso podrá ejercerse en cualquier momento.
La información que el responsable del archivo, registro, base o banco de datos deba brindar al titular de los datos, deberá ser amplia y versar sobre la totalidad de la información referida a su persona que se encuentre almacenada en el archivo, registro, base o banco de datos consultado, aún cuando el requerimiento del titular sólo comprenda un aspecto de sus datos personales.
La información, a opción del titular de los datos, podrá suministrarse por escrito, por medios electrónicos, telefónicos, de imagen u otro medio idóneo a tal fin.
c) Derecho de rectificación, actualización o supresión:
Toda persona tiene derecho a que los datos personales a ella referidos sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad.
El responsable del archivo, registro, base o banco de datos debe proceder a la rectificación, supresión o actualización de los datos personales, realizando las operaciones necesarias a tal fin en el plazo máximo de cinco (5) dí­as hábiles de recibido el reclamo presentado por el titular de los datos, o advertido el error o falsedad.
El incumplimiento de esta obligación dentro del término acordado en el inciso precedente, habilitará al interesado a promover sin más la acción de protección de datos personales prevista en la presente Ley.
En el supuesto de cesión de datos personales a terceros, el responsable del archivo, registro, base o banco de datos cedente debe notificar la rectificación, actualización o supresión al cesionario dentro del quinto dí­a hábil de efectuado el tratamiento del dato, debiendo el cesionario tomar cuenta de ello dentro del plazo de dos dí­as de recibida la notificación.
La supresión no procede cuando pudiese causar perjuicios a derechos o intereses legí­timos de terceros, o cuando existiera una obligación legal de conservar los datos.
Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable o usuario del banco de datos deberá o bien bloquear el archivo, registro, base o banco de datos, o consignar al proveer información relativa al titular de los datos que hubiera solicitado la rectificación, actualización o supresión, la circunstancia de que dicha información se encuentra sometida a revisión.
El responsable del archivo, registro, base o banco de datos, no podrá exigir contraprestación alguna para el ejercicio de los derechos de supresión, rectificación y actualización.

Art. 14º:
El titular de los datos podrá ejercer los derechos que se le reconocen en esta ley por sí­ o a través de sus representantes legales o convencionales. Se encuentran facultados del mismo modo los sucesores de las personas fí­sicas.
Art. 15º: Excepciones.-
El responsable de un archivo, registro, base o banco de datos puede denegar el acceso, rectificación, actualización, pedido de confidencialidad o supresión solicitada por el titular del dato, en función del orden o la seguridad pública, o de la protección de los derechos o intereses de terceros cuando así­ lo disponga una autoridad judicial a partir de una medida cautelar inscripta.
Asimismo, si al responder al requerimiento del titular del dato existieran medidas cautelares judiciales o administrativas, inscriptas, vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones del control de la salud o del medio ambiente, la investigación de delitos y la verificación de sanciones administrativas.
La resolución que deniegue el ejercicio de los derechos reconocidos por la presente ley debe ser dispuesta por un funcionario de jerarquí­a equivalente o superior a Director General, en forma fundada explicitando la medida que ampara la negativa y notificada al titular del dato.
Sin perjuicio de lo establecido en los incisos anteriores, se debe brindar acceso a los archivos, registros, bases o bancos de datos en la oportunidad en que el titular de los datos tenga que ejercer su derecho de defensa.
TITULO V
OBLIGACIONES RELACIONADAS CON LOS DATOS PERSONALES ASENTADOS EN ARCHIVOS, REGISTROS, BASES O BANCOS DE DATOS
Art. 16º: Confidencialidad.-
El responsable del archivo, registro, base o banco de datos, el encargado del tratamiento y los usuarios de datos están obligados al secreto profesional respecto de los datos personales sujetos a tratamiento. y a guardar dicho secreto, una vez finalizadas las funciones o actividades en virtud de las cuales dichos datos fueron sometidos a tratamiento.
En el caso del encargado del tratamiento y de los usuarios de datos, tal deber subsistirá aun después de finalizada su relación con el Responsable del archivo, registro, base o banco de datos.
El deber de secreto podrá ser relevado por resolución judicial cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública.
Art. 17º: Seguridad.-
El tratamiento de datos personales se sujetará a las medidas de seguridad establecidas en la correspondiente normativa nacional.

El responsable del archivo, registro, base o banco de datos, el encargado del tratamiento y los usuarios de datos deben adoptar todas las medidas técnicas y de organización necesarias y adecuadas que impidan la adulteración, pérdida, destrucción y el tratamiento o acceso no autorizado a los datos incluidos en sus archivos, registros, bases o bancos de datos. Dichas medidas deberán garantizar un nivel de seguridad apropiado en relación con la tecnologí­a aplicada y sus avances, con la naturaleza de los datos tratados y con los riesgos propios del tratamiento.
Art. 18º: Obligaciones del Responsable del archivo, registro, base o banco de datos.-
Constituyen obligaciones del Responsable del archivo, registro, base o banco de datos, las siguientes:
a) Requerir y obtener el consentimiento del titular de los datos personales, previo a su obtención y tratamiento, en los términos del artí­culo 7 de la presente Ley.
b) Informar al titular de los datos, en forma expresa y clara, y bajo pena de nulidad, previamente a recabar información referida a su persona, acerca de:

La existencia del archivo, registro, base o banco de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable;
La finalidad para la que serán tratados y quienes pueden ser sus destinatarios o categorí­as de destinatarios.
El carácter obligatorio o facultativo de la respuesta a las preguntas que le sean formuladas.
Las consecuencias que se deriven de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos.
La facultad y modo de ejercer los derechos de acceso, rectificación, actualización y supresión de los datos que le confiere la presente Ley.
Detalle sobre los órganos de aplicación de la presente ley.
Respetar en todo momento los principios generales de la protección de datos personales.
Proceder en forma inmediata a la rectificación, actualización o supresión, de los datos personales cuando fueran total o parcialmente inexactos, incompletos, o desactualizados.
Registrar sus archivos, registros, bases o bancos de datos en el Registro de Datos creado por el organismo de control.
Art. 19º: Obligaciones del Encargado del Tratamiento de Datos
Le asisten al encargado de tratamiento de datos personales los mismos deberes y obligaciones exigidas al responsable del archivo, registro, base o banco de datos tanto respecto de la confidencialidad y reserva que debe mantener sobre la información obtenida, como del respeto y cumplimiento a los principios generales de la protección de datos personales.
El encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento y no podrá, bajo ningún concepto, ceder los datos personales sometidos a tratamiento, ni aun para su conservación.
Art. 20º: Obligaciones del Usuario de datos
Todas las personas que actúen, trabajen, o presten servicios de cualquier tipo en o para algún órgano del Sector Público de la Ciudad de Buenos Aires sólo podrán tratar los datos personales incorporados en los archivos, registros, bases o bancos de datos de titularidad del órgano para o en el que desempeñen su tarea, cuando así­ lo disponga el responsable del archivo, registro, base o banco de datos de que se trate o en virtud de una obligación legal.
Quedan sujetos, al igual que los encargados del tratamiento a los mismos deberes y obligaciones exigidos al responsable del archivo, registro, base o banco de datos, tanto respecto de la confidencialidad y reserva que debe mantener sobre la información obtenida, como del respeto y cumplimiento a los principios generales de la protección de datos personales.
El usuario de datos sólo podrá ceder los datos personales sometidos a tratamiento siguiendo expresas instrucciones del responsable del tratamiento.
Art. 21º: Valoraciones
Son nulos e inválidos los actos y decisiones administrativos que impliquen una valoración del comportamiento o de la personalidad de las personas fundada en el tratamiento de sus datos personales. Asiste al titular de los datos el derecho a impugnar tales actos y decisiones, sin perjuicio de las demás acciones que le pudieran corresponder.
El titular de los datos personales siempre tendrá derecho a conocer la lógica del proceso de decisión automatizada explicado en términos simples y adecuados a su nivel social y cultural.

TITULO VI
CONTROL

Art. 22º: Organismo de Control
Desí­gnase a la Defensorí­a del Pueblo de la Ciudad de Buenos Aires como organismo de control de la presente Ley.
Art. 23º: Registro de Datos Personales.
Créase en el ámbito de la Defensorí­a del Pueblo de la Ciudad de Buenos Aires el Registro de Datos Personales, que tendrá las siguientes funciones:
Autorizar y habilitar la creación, uso y funcionamiento de los archivos, registros, bases y bancos de datos personales del Sector Público de la Ciudad de Buenos Aires de conformidad con lo preceptuado en la presente ley.
Establecer los requisitos y procedimientos que deberán cumplimentar los archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires relativos al proceso de recolección de datos, diseño general del sistema, incluyendo los mecanismos de seguridad y control necesarios, equipamiento técnico, mecanismos adoptados para garantizar los derechos de acceso, supresión, rectificación y actualización así­ como demás extremos pertinentes.
Llevar un Registro de los archivos, registros, bases o bancos datos creados por el Sector Público de la Ciudad de Buenos Aires. A tal fin, establecerá el procedimiento de inscripción, su contenido, modificación, cancelación, y la forma en que los ciudadanos podrá presentar sus reclamos, de conformidad con lo establecido en el art.4 inc.3 de la presente Ley.
Garantizar el acceso gratuito al público de toda la información contenida en su Registro.
Velar por el cumplimiento de las disposiciones de la presente ley y por el respeto de los derechos al honor, la autodeterminación informativa y la intimidad de las personas.
Formular advertencias, recomendaciones, recordatorios y propuestas a los responsables, usuarios y encargados de archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires, a los efectos de lograr una completa adecuación y cumplimiento a los principios contenidos en la presente Ley.
Proponer la iniciación de procedimientos disciplinarios contra quien estime responsable de la comisión de infracciones al régimen establecido por la presente Ley.
Recibir denuncias.
Formular denuncias y reclamos judiciales por sí­, cuando tuviere conocimiento de manifiestos incumplimientos de lo estipulado en la presente ley por parte de los responsables, usuarios y/o encargados de los archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires.
Representar a las personas titulares de los datos, cuando éstos se lo requiriesen, a fin de hacer efectivo el derecho de acceso, rectificación, supresión y actualización, cuando correspondiere, por ante el archivo, registro, base o banco de datos.
Asistir al titular de los datos, cuando éste se lo requiera, en los juicios que, en virtud de lo establecido en la presente ley, entable por ante los tribunales de la Ciudad de Buenos Aires.
Elaborar informes sobre los proyectos de Ley de la Ciudad de Buenos Aires que de alguna forma tengan impacto en el derecho a la privacidad y protección de los datos personales.
Elevar un informe anual a la Legislatura sobre el desarrollo de la protección de los datos personales en la Ciudad de Buenos Aires.
Colaborar con la Dirección Nacional de Protección de Datos Personales y con los correspondientes organismos de control provinciales en cuantas acciones y actividades sean necesarias para aumentar el nivel de protección de los datos personales en el Sector Público de la Ciudad de Buenos Aires.
Cuantas otras le sean atribuidas por normas legales o reglamentarias.
Art. 24º: Cualquier persona podrá conocer la existencia de archivos, registros, bases o bancos de datos personales, su finalidad, la identidad y domicilio del responsable, destinatarios y categorí­as de destinatarios, condiciones de organización, funcionamiento, procedimientos aplicables, normas de seguridad, garantí­as para el ejercicio de los derechos del titular de los datos así­ como toda otra información registrada.
El organismo de control procederá, ante el pedido de un interesado o de oficio ante la sospecha de una ilegalidad, a verificar el cumplimiento de las disposiciones legales y reglamentarias en orden a cada una de las siguientes etapas del uso y aprovechamiento de datos personales:
a) legalidad de la recolección o toma de información personal;
b) legalidad en el intercambio de datos y en la transmisión a terceros o en la interrelación entre ellos;
c) legalidad en la cesión propiamente dicha;
d) legalidad de los mecanismos de control interno y externo del archivo, registro, base o banco de datos.
TITULO VII
INFRACCIONES
Art. 25º:
Se consideran infracciones las siguientes:
Realizar el tratamiento de datos desconociendo los principios establecidos en los Tí­tulos III y IV del presente cuerpo normativo.
Incumplir las obligaciones descriptas en el Tí­tulo V.
No proceder a solicitud del titular de los datos, o del Organismo de Control a la supresión, rectificación y actualización de los datos personales en los supuestos, tiempo y forma establecidos en esta ley.
Obstaculizar o impedir el derecho de acceso reconocido en esta ley al titular o al Organismo de Control en los supuestos, tiempo y forma que la misma estipula.
Ceder datos personales en infracción a los requisitos que se establecen en la presente ley.
Crear archivos, registros, bases o bancos de datos, ponerlos en funcionamiento y/o iniciar el tratamiento de datos personales sin el cumplimiento de los requisitos establecidos en esta ley.
No cumplimentar los demás extremos o requisitos que esta ley establece, así­ como aquellos que el organismo de control establezca en ejercicio de su competencia.
Obstruir las funciones que por esta ley se le reconocen al organismo de control.
Tratar los datos de carácter personal de un modo que lesione, violente o desconozca los derechos a la privacidad, autodeterminación informativa, imagen, identidad, honor así­ como cualquier otro derecho de que sean titulares las personas fí­sicas o de existencia ideal.
La reglamentación determinará las condiciones y procedimientos para la aplicación de las sanciones previstas, las que deberán graduarse en relación a la gravedad y extensión de la violación y de los perjuicios derivados de la infracción, garantizando el principio del debido proceso

TITULO VIII.
SANCIONES.

Art. 26º: Responsabilidad
Los responsables, usuarios, encargados o cesionarios de archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires que en forma arbitraria obstruyan el ejercicio de los derechos que la presente ley le reconoce a los ciudadanos serán considerados incursos en falta grave.
En caso de comisión de alguna de las infracciones previstas en el art. 25 de esta ley, en la Ley Nacional Nº 25.326, su reglamentación y/o sus modificaciones, y sin perjuicio de las responsabilidades administrativas; de la responsabilidad por daños y perjuicios y/o de las sanciones penales que pudieran corresponder, el organismo de control dictará resolución recomendando al órgano del cual dependa jerárquicamente el archivo, registro, base o banco de datos en el que se hubiera verificado la infracción:

1) La adopción de las medidas que proceda adoptar para que cesen o se corrijan los efectos de la infracción. Dicha resolución se comunicará al responsable del archivo, registro, base o banco de datos, al órgano del cual dependa jerárquicamente, al titular del dato y, cuando corresponda, a los encargados del tratamiento y cesionarios de los datos personales.
2) La aplicación de las pertinentes sanciones administrativas a los responsables de la infracción individualizando al responsable, los hechos y los perjudicados.
c) En caso de comisión de alguna de las infracciones previstas en el art. 25 de esa ley por parte de un tercero encargado de realizar tratamientos de datos personales en virtud a un contrato celebrado de acuerdo a lo previsto por el art. 5º de esta Ley, de acuerdo al tipo de infracción de que se trate, serán de aplicación con respecto al contratista infractor, las sanciones establecidas por la Ley Nacional Nº 25.326, su reglamentación y/o sus modificaciones.
d) Cumplida la recomendación del Organismo de Control, el Poder Ejecutivo deberá abrir un sumario administrativo para determinar si existió o no una infracción a la presente ley y dicha conclusión deberá ser informada a la Defensorí­a del Pueblo.
Art. 27º: Inmovilización de archivos, registros, bases o bancos de datos
En los supuestos constitutivos de infracción contemplados en los incisos e) y f) del artí­culo 25º de la presente Ley, el organismo de control podrá requerir al órgano del cual dependa jerárquicamente el archivo, registro, base o banco de datos en el que se hubiera cometido la infracción, la cesación en la utilización o cesión ilí­cita de los datos personales y, en caso de corresponder, la inmovilización del archivo, registro, base o banco de datos hasta tanto se restablezcan los derechos de los titulares de datos afectados.

TITULO IX
ACCION DE PROTECCION DE DATOS

Art. 28º: Procedencia.
La acción de protección de los datos personales o de hábeas data, de conformidad con lo dispuesto por el art. 16 de la Constitución de la Ciudad de Buenos Aires procederá:
a) para tomar conocimiento de los datos personales almacenados en archivos, registros o bancos de datos del Sector Público de la Ciudad de Buenos Aires, su fuente, origen, finalidad o uso que del mismo se haga.
b) en los casos en que se presuma la falsedad, inexactitud, desactualización de la información de que se trata, o el tratamiento de datos en infracción de la ley 25.326 o la presente ley, para exigir su rectificación, supresión, confidencialidad o actualización.
c) en los casos de incumplimiento de las disposiciones previstas en la presente ley.
El ejercicio de este derecho no afecta el secreto de la fuente de información periodí­stica.
Cuando el pedido de acceso sea relativo a información pública y no a datos personales, será de aplicación la Ley 104 de la Ciudad de Buenos Aires.
Art. 29º: Legitimación activa.
La acción de protección de los datos personales o de hábeas data podrá ser ejercida por el afectado, sus tutores o curadores y los sucesores de las personas fí­sicas, sean en lí­nea directa o colateral hasta el segundo grado, por sí­ o por intermedio de apoderado.
Cuando la acción sea ejercida por personas de existencia ideal, deberá ser interpuesta por sus representantes legales, o apoderados que éstas designen al efecto.
En el proceso podrá intervenir en forma coadyuvante el organismo de control designado por esta Ley.
Art. 30º: Legitimación pasiva.
La acción procederá respecto de los responsables y/o encargados de tratamiento de archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires, a elección del titular de los datos.
Art. 31º: Jurisdicción y Procedimiento aplicable.
La acción de protección de datos tramitará según las disposiciones de la presente ley y supletoriamente por el procedimiento que corresponde a la acción de amparo ante el fuero contencioso administrativo de la Ciudad de Buenos Aires, las disposiciones del Código Procesal Contencioso, Administrativo y Tributario de la Ciudad de Buenos Aires relativas al procedimiento sumarí­simo.
Art. 32º: Requisitos de la demanda.
1) La demanda deberá interponerse por escrito, individualizando con la mayor precisión posible el nombre y domicilio del archivo, registro o banco de datos y, en su caso, el nombre del responsable y/o encargado y/o usuario del mismo y el organismo del cual, eventualmente, dependan.
2) El accionante deberá alegar las razones por las cuales entiende que en el archivo, registro o banco de datos individualizado obra información referida a su persona, en los casos del art. 28 inc. b); los motivos por los cuales considera que la información que le atañe resulta discriminatoria, falsa o inexacta y justificar que se han cumplido los recaudos que hacen al ejercicio de los derechos que le reconoce la presente ley. Deberá acompañar con el escrito de demanda la prueba documental que funde su pedido.
3) El accionante podrá solicitar que mientras dure el procedimiento, el registro o banco de datos asiente que la información cuestionada está sometida a un proceso judicial.
4) El Juez podrá disponer el bloqueo provisional del archivo en lo referente al dato personal motivo del juicio cuando sea manifiesto el carácter discriminatorio, falso o inexacto de la información de que se trate.
5) A los efectos de requerir información al archivo, registro o banco de datos involucrado, el criterio judicial de apreciación de las circunstancias requeridas en los puntos 1 y 2 debe ser amplio.
Art. 33º: Trámite
1) Interpuesta la acción, el Juez deberá pronunciarse en el término de tres dí­as sobre su procedencia formal, pudiendo dar vista al fiscal. Esta vista no suspende el curso del plazo.
2) Admitida la acción el juez requerirá al archivo, registro o banco de datos la remisión de la información concerniente al accionante. Podrá asimismo solicitar informes sobre el soporte técnico de datos, documentación de base relativa a la recolección y cualquier otro aspecto que resulte conducente a la resolución de la causa que estime procedente.
3) El plazo para contestar el informe no podrá ser mayor de cinco dí­as hábiles, el que podrá ser ampliado prudencialmente por el juez.
Art. 34º: Confidencialidad de la información.
Cuando el responsable y/o encargado y/o usuario de un archivo, registro o banco de datos público se oponga a la remisión del informe solicitado con invocación de las excepciones al derecho de acceso, rectificación o supresión, autorizadas por la presente ley o por una ley especí­fica; deberá acreditar los extremos que hacen aplicable la excepción legal. En tales casos, el juez podrá tomar conocimiento personal y directo de los datos solicitados asegurando el mantenimiento de su confidencialidad.
El juez de la causa evaluará con criterio restrictivo toda oposición al enví­o de la información sustentada en las causales mencionadas. La resolución judicial que insista con la remisión de dato será apelable dentro del segundo dí­a de notificada. El recurso se interpondrá fundado. La apelación será denegada o concedida en ambos efectos dentro del segundo dí­a. En caso de ser concedida será elevada a la Cámara de Apelaciones dentro del mismo dí­a
.
Art. 35º: Contestación del informe
Al contestar el informe, el responsable y/o encargado y/o usuario del archivo, registro o banco de datos deberá expresar las razones por las cuales incluyó la información cuestionada y aquellas por las que no evacuó el pedido efectuado por el interesado, de conformidad a lo establecido en los artí­culos 13 a 15 de la ley.
Art. 36º: Ampliación de la demanda.
Contestado el informe, el actor podrá, en el término de tres dí­as, ampliar el objeto de la demanda solicitando la supresión, rectificación, confidencialidad o actualización de sus datos personales, en los casos que resulte procedente a tenor de la presente ley, ofreciendo en el mismo acto la prueba pertinente. De esta presentación se dará traslado al demandado por el término de tres dí­as.
En caso de que el requerido manifestara que no existe en el registro o banco de datos información sobre el accionante y este acreditará por algún medio de prueba que tomó conocimiento de ello, podrá solicitar las medidas cautelares que estime corresponder de conformidad con las prescripciones del Código Contencioso Administrativo y Tributario.
Art. 37º: Sentencia
1) Vencido el plazo para la contestación del informe o contestado el mismo, y en el supuesto del artí­culo 36, luego de contestada la ampliación, y habiendo sido producida en su caso la prueba, el juez dictará sentencia.
2) En el caso de estimarse procedente la acción, se especificará si la información debe ser suprimida, rectificada, actualizada o declarada confidencial, estableciendo un plazo para su cumplimiento.
3) El rechazo de la acción no constituye presunción respecto de la responsabilidad en que hubiera podido incurrir el accionante.
4) Sólo serán apelables para ambas partes la sentencia definitiva, y en caso del accionante, también la que declare la inadmisibilidad formal de la acción.
5) En cualquier caso, la sentencia deberá ser comunicada al organismo de control designado por esta Ley, que deberá llevar un registro al efecto e incluir el caso en el informe anual previsto por el art. 23º, inciso n).
6) En caso de incumplirse con la sentencia, y sin perjuicio de su ejecución forzosa, el Juez podrá disponer, a pedido de parte, la aplicación de sanciones conminatorias o astreintes.
TITULO X
DISPOSICIONES PARTICULARES.

Art. 38º: Prestación de servicios sobre solvencia patrimonial y de crédito.
Los organismos, empresas o dependencias del Sector Público de la Ciudad de Buenos Aires que se dediquen a la prestación de servicios de información sobre solvencia patrimonial y de crédito quedan sujetos al régimen de la presente ley y, en lo que a la prestación de dichos servicios se refiere, a las disposiciones especí­ficas de la Ley Nacional Nº 25.326, la que resulte más favorable al titular del dato registrado.
Art. 39: Privacidad laboral en el ámbito del Sector Público de la Ciudad de Buenos Aires.
Se entiende por correo electrónico toda correspondencia, mensaje, archivo, dato u otra información electrónica que se transmite a una o más personas por medio de una red de interconexión entre computadoras o dispositivos equiparables.
Cuando el correo electrónico sea provisto por un organismo del Sector Público de la Ciudad de Buenos Aires a sus dependientes en función de una relación laboral, se entenderá que la titularidad del mismo corresponde al empleador, independientemente del nombre y clave de acceso que sean necesarias para su uso.
El empleador se encuentra facultado para acceder y controlar toda la información que circule por dicho correo electrónico laboral, como asimismo a prohibir su uso para fines personales.
El ejercicio de estas facultades por parte del empleador, así­ como las condiciones de uso y acceso al correo electrónico laboral, deberá ser notificado por escrito al trabajador, al momento de poner a su disposición el correo electrónico o en cualquier oportunidad posterior, como requisito previo a su ejercicio.
El empleador deberá asimismo notificar fehacientemente a sus dependientes, la polí­tica establecida respecto del acceso y uso de correo electrónico personal, así­ como del uso de Internet en el lugar de trabajo.
El incumplimiento de las órdenes emanadas del superior con respecto a la polí­tica de uso de correo electrónico y de Internet en lugar de trabajo según lo previsto en esta norma, será sancionado de conformidad con lo dispuesto en los arts. 10 y 47 de la ley 471 (Ley de Relaciones Laborales en la Administración Pública de la Ciudad Autónoma de Buenos Aires).
Art. 40: Comuní­quese, etc.

DISPOSICIONES TRANSITORIAS:

PRIMERA: En un plazo de ciento ochenta (180) dí­as a contar desde la vigencia de la presente ley se procederá a la reglamentación de la presente Ley.
SEGUNDA: En un plazo de ciento ochenta (180) dí­as a contar desde la reglamentación, los responsables de archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires que realicen las actividades que por esta ley se regulan, deberán proceder a obtener la respectiva habilitación y a su consecuente inscripción en el Registro de Datos Personales.

LEY N* ° 1.845

Sanción: 24/11/2005

Vetada: Decreto Nº 1.914 del 29/12/2005

Publicación: BOCBA N* ° 2351 del 04/01/2006

DECRETO N* ° 1.914

Buenos Aires, 29 de diciembre de 2005.

Visto, el Expediente N* ° 87.270/05 por el cual tramita la Ley N* ° 1.845, y

CONSIDERANDO:

Que la Legislatura de la Ciudad Autónoma de Buenos Aires en su sesión de fecha 24 de noviembre de 2005 sancionó la ley indicada en el visto, la cual tiene por objeto regular, dentro del ámbito de la Ciudad de Buenos Aires, el tratamiento de datos personales referidos a personas fí­sicas o de existencia ideal, asentados o destinados a ser asentados en archivos, registros, bases o bancos de datos del sector público de la Ciudad de Buenos Aires, con el fin de garantizar el derecho al honor, a la intimidad y a la autodeterminación informativa, de conformidad a lo establecido por el artí­culo 16 de la Constitución de la Ciudad de Buenos Aires;

Que la precitada norma constitucional establece que “Toda persona tiene mediante una acción de amparo, libre acceso a todo registro, archivo o banco de datos que conste en organismos públicos o en los privados destinados a proveer informes, a fin de conocer cualquier asiento sobre su persona, su fuente, origen, finalidad o uso que del mismo se haga. También puede requerir su actualización, rectificación, confidencialidad o supresión, cuando esa información lesione o restrinja algún derecho. El ejercicio de este derecho no afecta el secreto de la fuente de información periodí­stica”;

Que en primer lugar corresponde señalar que la ley sancionada no alcanza a los archivos, registros, bases o bancos de datos del sector privado, quedando los mismos regulados bajo el régimen de la Ley Nacional N* ° 25.326;

Que la norma en su artí­culo 22 instituye como organismo de control de la ley, a la Defensorí­a del Pueblo de la Ciudad de Buenos Aires, creada por Ley N* ° 3 (B.O.C.B.A. N* ° 394), que reviste el carácter de “-¦órgano unipersonal e independiente con autonomí­a funcional y autarquí­a financiera-¦” (conf. art. 137 Constitución de la Ciudad de Buenos Aires);

Que el artí­culo 23 dispone la creación de un Registro de Datos Personales en el ámbito del citado organismo, el cual tiene como funciones entre otras las de:
“Autorizar y habilitar la creación, uso y funcionamiento de los archivos, registros, bases y bancos de datos personales del sector público de la Ciudad de Buenos Aires de conformidad con lo preceptuado en la presente ley.” (párrafo 2* °) “…Establecer los requisitos y procedimientos que deberán cumplimentar los archivos, registros, bases o bancos de datos del sector público de la Ciudad de Buenos Aires relativos al proceso de recolección de datos, diseño general del sistema, incluyendo los mecanismos de seguridad y control necesarios, equipamiento técnico, mecanismos adoptados para garantizar los derechos de acceso, supresión, rectificación y actualización así­ como demás extremos pertinentes” (párrafo 3* °) “…Colaborar con la Dirección Nacional de Protección de Datos Personales y con los correspondientes organismos de control provinciales en cuantas acciones y actividades sean necesarias para aumentar el nivel de protección de los datos personales en el sector público de la Ciudad de Buenos Aires.” (párrafo penúltimo);

Que la gestión de gobierno en general hace indispensable la utilización de herramientas registrales o de bases de datos conforme lo permite el desarrollo tecnológico alcanzado, por lo que buena parte del instrumental que utilizan los tres poderes de Gobierno se nutre de la generación de bases de datos que, compartiendo con el espí­ritu de la ley, necesariamente deben ser controladas para evitar un avance estatal sobre la privacidad y derechos que la Constitución de la Ciudad garantiza a las personas que habitan en nuestro territorio, independientemente de la protección que otorga la Constitución y Ley Nacional;

Que no obstante lo expuesto, del análisis de los párrafos 2* °, 3* ° y penúltimo del referido artí­culo se advierte que la norma ha conferido a la Defensorí­a del Pueblo de la Ciudad de Buenos Aires facultades propias del Poder Ejecutivo que exceden la natural esfera de control que debe ejercer el citado organismo, para incursionar en las correspondientes a la administración activa, relacionadas con la implementación y ejecución de las polí­ticas gubernamentales;

Que las estipulaciones del mismo, al otorgar facultades ejecutivas al órgano de control -la Defensorí­a del Pueblo de la Ciudad de Buenos Aires-, a través de la creación del Registro de Datos Personales que funcionarí­a en su órbita, devienen exorbitantes, toda vez que el referido registro concentra la capacidad de autorizar y habilitar la creación, uso y funcionamiento de los archivos, registros, bases y bancos de datos personales del sector público de la Ciudad; estableciendo los requisitos y procedimientos que deberán cumplimentar dichos archivos, registros, bases y bancos de datos personales, relativos al proceso de recolección de datos, diseño general del sistema, mecanismos de seguridad y control, etc.;

Que en este aspecto, la ley que se analiza avanza sobre la competencia natural del órgano ejecutivo, al atribuir a la Defensorí­a del Pueblo de la Ciudad de Buenos Aires la capacidad de dictar la normativa reglamentaria, vulnerando de esta manera flagrantemente lo normado por el art. 102 de la Constitución de la Ciudad de Buenos Aires, que ha otorgado en forma expresa dicha atribución al Poder Ejecutivo;

Que según surge del artí­culo referido el registro que se crea, no sólo determinarí­a eventualmente qué conformación técnica deberí­an tener los registros o bases de datos del sector público de la Ciudad, sino que además deberí­a habilitar su funcionamiento;

Que de no observarse el artí­culo 23 en los párrafos señalados, la Defensorí­a del Pueblo deberí­a autorizar, sólo a modo de ejemplo el funcionamiento de las constancias de datos del Padrón de Contribuyentes y el Registro de Contribuyentes de la Dirección General de Rentas, las bases de prestatarios de servicios de taxis y remises; el Sistema de Seguimiento de Juicios de la Procuración General (SISEJ); las bases de permisionarios en cementerios; el Registro íšnico de Proveedores (RUP), todas las bases de datos del Registro Civil, el sistema único de mesa de entradas (SUME), etc.;

Que ello implicarí­a supeditar todo el funcionamiento de la administración a la autorización de un órgano de control independiente, la Defensorí­a del Pueblo;

Que si bien se comparte el espí­ritu de la ley sancionada, en cuanto al necesario control que debe instrumentarse en esta materia sobre la actividad administrativa del subsector estatal, e independientemente del poder de gobierno que esté a cargo de su implementación, corresponde señalar que tanto la actividad de reglamentación del sistema, como la de habilitación de los registros o bases, atribuida a un “Registro” creado en la órbita de la Defensorí­a del Pueblo, podrí­a subvertir el orden constitucional;

Que en idéntico sentido resultan objetables los párrafos 1* ° y 2* ° del artí­culo 5* ° de la norma, toda vez que los mismos establecen que: “Cuando el responsable de un archivo, registro, base o banco de datos decida encargar a un tercero la prestación de servicios de tratamiento de datos personales, deberá requerir previamente la autorización del organismo de control, a cuyo efecto deberá fundar los motivos que justifican dicho tratamiento. Los tratamientos de datos personales por terceros que sean aprobados por el organismo de control no podrán aplicarse o utilizarse con un fin distinto al que figure en la norma de creación de archivos, registros, bases o bancos de datos…”;

Que por otra parte el artí­culo 30 determina la legitimación pasiva de la Acción de Protección de Datos, estableciendo que “La acción procederá respecto de los responsables y/o encargados de tratamiento de archivos, registros, bases o bancos de datos del sector público de la Ciudad de Buenos Aires, a elección del titular de los datos”;

Que dicho artí­culo resulta objetable en este punto, puesto que es indudable que la acción deberá ser dirigida contra los organismos determinados en el art. 2* ° de la norma y no contra cada uno de los funcionarios de las áreas intervinientes;

Que sobre la base de tales consideraciones y a efectos de propiciar la revisión del proyecto de ley por parte de la Legislatura en los aspectos que han merecido observación, corresponde ejercer mecanismo excepcional del veto, respecto de los artí­culos 5º, párrafos primero y segundo; 23, párrafos segundo, tercero y penúltimo, y 30 de la Ley N* ° 1.845;

Por ello, en uso de las facultades conferidas por los artí­culos 102, 104 y 88 de la Constitución de la Ciudad de Buenos Aires;

El JEFE DE GOBIERNO
DE LA CIUDAD AUTÓNOMA DE BUENOS AIRES
DECRETA:

Artí­culo 1* °.- Vétase parcialmente la Ley N* ° 1.845, sancionada por la Legislatura de la Ciudad Autónoma de Buenos Aires en su sesión de fecha 24 de noviembre de 2005, en sus artí­culos 5º, párrafos primero y segundo, 23, párrafos segundo, tercero y penúltimo; y 30.

Artí­culo 2* °.- El presente decreto es refrendado por el señor Jefe de Gabinete.

Artí­culo 3* °.- Dése al Registro, publí­quese en el Boletí­n Oficial de la Ciudad de Buenos Aires, comuní­quese a la Legislatura de la Ciudad Autónoma de Buenos Aires, por intermedio de la Dirección General de Asuntos Polí­ticos y Legislativos, y para su conocimiento y demás efectos pase a la Secretarí­a Jefe de Gabinete. Cumplido, archí­vese. TELERMAN (a/c) – Fernández


Disposición DNPDP 7/2005 – Clasificación de Infracciones

Posted: mayo 5th, 2006 | Author: | Filed under: Argentina, General, Normas | No Comments »

Disposición 7/2005
Apruébanse la “Clasificación de Infracciones” y la “Graduación de las sanciones” a aplicar ante violaciones a las normas de la Ley Nº 25.326 y de las reglamentaciones dictadas en su consecuencia. Derógase la Disposición Nº 1/2003.

VISTO las competencias atribuidas a esta DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES por la Ley Nº 25.326 y su reglamentación aprobada por Decreto Nº 1558/01, la Disposición DNPDP Nº 1 del 25 de junio de 2003, y

CONSIDERANDO:

Que entre las atribuciones asignadas a la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES se encuentra la de imponer las sanciones administrativas que en su caso correspondan por violación a las normas de la Ley Nº 25.326 y de las reglamentaciones dictadas en su consecuencia.

Que en virtud de ello, oportunamente se dictó la Disposición DNPDP Nº 1/2003, la que estableció una clasificación de las infracciones en “leves”, “graves” y “muy graves” y una graduación de la sanción administrativa de multa a aplicar ante las infracciones que pudieran comprobarse, determinada dentro de los parámetros de monto fijados en el artí­culo 31 de la citada norma legal.

Que la misma normativa prevé que el órgano de control también podrá aplicar otras sanciones tales como apercibimiento, suspensión y clausura o cancelación del archivo, registro o banco de datos.

Que la experiencia ha demostrado, a pesar del breve perí­odo en que la mencionada Disposición se ha encontrado vigente, que resulta menester incorporar en el régimen sancionatorio por ella previsto, también a las otras sanciones que contempla el artí­culo 31 de la Ley Nº 25.326, con el objeto de otorgar a la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES un adecuado margen de actuación al momento de determinar la cuantí­a de las sanciones a aplicar, oportunidad en la que deberá considerar los criterios previstos en el segundo párrafo del artí­culo 31 del Decreto Reglamentario Nº 1558/ 01.

Que asimismo es oportuno incorporar nuevos hechos u omisiones que implican transgresiones a la normativa de protección de datos personales.

Que en consecuencia, cabe entonces reformular el régimen de infracciones y sanciones vigente, continuando en la postura antes sustentada al dictar la misma, de contar con un listado de carácter meramente enunciativo y por ende no taxativo, de aquellas conductas que se consideran violatorias de la Ley Nº 25.326 y su reglamentación.

Que a los fines indicados precedentemente serí­a conveniente aplicar a los casos de “infracciones leves” las sanciones de “hasta DOS (2) apercibimientos” y/o “multa de PESOS UN MIL ($ 1.000.-) a PESOS TRES MIL ($ 3.000.- ); a las “infracciones graves”, las sanciones de “hasta CUATRO (4) apercibimientos”, “suspensión de UNO (1) a TREINTA (30) dí­as” y/ o “multa de PESOS TRES MIL UNO ($ 3.001.- ) a PESOS CINCUENTA MIL ($ 50.000.-) y finalmente, a los casos de “infracciones muy graves” las sanciones de “hasta SEIS (6) apercibimientos”, “suspensión de TREINTA Y UN (31) a TRESCIENTOS SESENTA Y CINCO (365) dí­as”, “clausura o cancelación del archivo, registro o banco de datos” y/o “multa de PESOS CINCUENTA MIL UNO ($50.001.- ) a PESOS CIEN MIL ($ 100.000.-).

Que asimismo, resulta conveniente que la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES organice y mantenga actualizado un registro de los responsables de la comisión de las infracciones contempladas en la presente medida, en particular con el objeto de establecer antecedentes individuales para la evaluación de la cuantí­a de las sanciones, especialmente respecto del rubro reincidencia.

Que la DIRECCION GENERAL DE ASUNTOS JURIDICOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS y la PROCURACION DEL TESORO DE LA NACION han tomado la intervención que les compete.

Que la presente medida se dicta en uso de las facultades conferidas en el artí­culo 29 inciso b) y f) de la Ley Nº 25.326.

Por ello,

EL DIRECTOR NACIONAL DE PROTECCION DE DATOS PERSONALES

DISPONE:

Artí­culo 1º -” Derógase la Disposición DNPDP Nº 1 del 25 de junio de 2003.

Art. 2º -” Apruébase la “Clasificación de Infracciones” y la “Graduación de las Sanciones”, que como ANEXOS I y II, respectivamente, forman parte integrante de la presente medida.

Art. 3º -” Créase el Registro de Infractores Ley Nº 25.326, el que tendrá como objetivos:

a) organizar y mantener actualizado, con las constancias provenientes de las actuaciones labradas en el marco del procedimiento de denuncias ante la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, un registro de los responsables de la comisión de las infracciones contempladas en el ANEXO I de la presente medida.

b) hacer constar, en el legajo que se instrumente al respecto, la calidad de la falta cometida, la sanción aplicada, el grado de acatamiento de la misma, los recursos planteados, la decisión final recaí­da, la calidad de reincidente y todo otro elemento de juicio que sea de interés para la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.

Art. 4º -” La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES será el órgano responsable del archivo creado en el artí­culo precedente y ante sus dependencias deberán ejercerse los derechos de acceso, rectificación o supresión.

Art. 5º -” Comuní­quese, publí­quese, dése a la DIRECCION NACIONAL DEL REGISTRO OFICIAL y archí­vese. -” Juan A. Travieso.

ANEXO I

CLASIFICACION DE LAS INFRACCIONES

1.- Serán consideradas INFRACCIONES LEVES, sin perjuicio de otras que a juicio de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES también las constituyan:

a) No atender la solicitud de acceso, rectificación o supresión de los datos personales objeto de tratamiento cuando legalmente proceda.

b) No proporcionar la información que solicite la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES en el ejercicio de las competencias que tiene atribuidas.

c) No solicitar la inscripción de las bases de datos personales tanto públicas como privadas cuyo registro sea obligatorio en los términos exigidos por la Ley Nº 25.326 y normas complementarias.

d) Recoger datos de carácter personal sin proporcionar a los titulares de los mismos la información que señala el artí­culo 6º de Ley Nº 25.326 o sin recabar su consentimiento libre, expreso e informado en los casos en que ello sea exigible.

e) Incumplir el deber de secreto establecido en el artí­culo 10 de la Ley Nº 25.326, salvo que constituya la infracción grave prevista en el punto 2, apartado d) o la infracción muy grave contemplada en el punto 3, apartado g) o el delito contemplado en el artí­culo 157 bis, inciso 2) del Código Penal.

f) No respetar el principio de gratuidad previsto en el artí­culo 19 de la Ley Nº 25.326.

g) Mantener por más tiempo que el establecido legalmente, el registro, archivo o cesión de los datos significativos para evaluar la solvencia económico- financiera de los titulares de los datos.

h) Tratar, dentro de la prestación de servicios de información crediticia, datos personales patrimoniales que excedan la información relativa a la solvencia económica y al crédito del titular de tales datos.

i) Tratar, en los archivos, registros o bancos de datos con fines publicitarios, datos que excedan la calidad de aptos para establecer perfiles con fines promocionales o hábitos de consumo.

j) No cesar en el uso ilegí­timo de los tratamientos de datos de carácter personal cuando sea requerido por el titular. Entiéndese incluida en este supuesto la negativa a retirar o bloquear el nombre y dirección de correo electrónico de los bancos de datos destinados a publicidad cuando su titular lo solicite de conformidad con lo previsto en el último párrafo del artí­culo 27 de la Ley Nº 25.326.

k) Proceder al tratamiento de datos de carácter personal que no reúnan las calidades de ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido.

2.- Serán consideradas INFRACCIONES GRAVES, sin perjuicio de otras que a juicio de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES también las constituyan:

a) Tratar los datos de carácter personal en forma ilegí­tima o con menosprecio de los principios y garantí­as establecidos en Ley Nº 25.326 y normas reglamentarias.

b) Realizar acciones concretas tendientes a impedir u obstaculizar el ejercicio por parte del titular de los datos del derecho de acceso o negarse a facilitarle la información que sea solicitada.

c) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones, actualizaciones o supresiones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la Ley Nº 25.326 ampara y haya sido intimado previamente por la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.

d) Vulnerar el deber de guardar el deber de confidencialidad exigido por el artí­culo 10 de la Ley Nº 25.326 sobre los datos de carácter personal incorporados a registros, archivos, bancos o bases de datos.

e) Mantener bases de datos locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por ví­a reglamentaria se determinen.

f) Obstruir el ejercicio de la función de inspección y fiscalización a cargo de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.

g) No inscribir la base de datos de carácter personal en el registro correspondiente, cuando haya sido requerido para ello por la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.

h) No cesar en el uso ilegí­timo de los tratamientos de datos de carácter personal cuando sea requerido para ello por la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.

i) Recoger datos de carácter personal mediante ardid o engaño.

3.- Serán consideradas INFRACCIONES MUY GRAVES, sin perjuicio de otras que a juicio de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES también las constituyan:

a) Conformar un archivo de datos cuya finalidad sea contraria a las leyes o a la moral pública.

b) Transferir datos personales de cualquier tipo a paí­ses u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados, salvo las excepciones legales previstas en el artí­culo 12, inciso 2, de la Ley Nº 25.326, sin haber cumplido los demás recaudos legales previstos en la citada ley y su reglamentación.

c) Ceder ilegí­timamente los datos de carácter personal fuera de los casos en que tal accionar esté permitido.

d) Recolectar y tratar los datos sensibles sin que medien razones de interés general autorizadas por ley o tratarlos con finalidades estadí­sticas o cientí­ficas sin hacerlo en forma disociada.

e) Formar archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles, salvo en los casos expresamente previstos en el artí­culo 7º, inciso 3), de la Ley Nº 25.326.

f) Tratar los datos de carácter personal de forma ilegí­tima o con menosprecio de los principios y garantí­as reconocidos en nuestra Carta Magna, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.

g) Vulnerar el deber de guardar secreto sobre los datos sensibles, así­ como de los que hayan sido recabados y tratados para fines penales y contravencionales.

ANEXO II

GRADUACION DE LAS SANCIONES

1. Ante la comisión de INFRACCIONES LEVES se podrán aplicar hasta DOS (2) APERCIBIMIENTOS y/o una MULTA de PESOS UN MIL ($ 1.000,00) a PESOS TRES MIL ($ 3.000,00).

2. En el caso de las INFRACCIONES GRAVES la sanción a aplicar será de hasta CUATRO (4) APERCIBIMIENTOS, SUSPENSION DE UNO (1) a TREINTA (30) DIAS y/o MULTA de PESOS TRES MIL UNO ($ 3.001,00) a PESOS CINCUENTA MIL ($50.000,00).

3. En el caso de INFRACCIONES MUY GRAVES se aplicarán hasta SEIS (6) APERCIBIMIENTOS, SUSPENSION DE TREINTA Y UNO (31) a TRESCIENTOS SESENTA Y CINCO (365) DIAS, CLAUSURA o CANCELACION DEL ARCHIVO, REGISTRO O BANCO DE DATOS y/o MULTA de PESOS CINCUENTA MIL UNO ($ 50.001,00) a PESOS CIEN MIL ($ 100.000,00).

4. Superados los SEIS (6) APERCIBIMIENTOS no podrá aplicarse nuevamente este tipo de sanción.

5. Las sanciones previstas precedentemente serán de aplicación a los responsables o usuarios de archivos, registros, bases o bancos de datos públicos y privados destinados a dar informes, se hubieren inscripto o no en el registro correspondiente, ello sin perjuicio de las responsabilidades administrativas que pudieran corresponder a los responsables o usuarios de bancos de datos públicos; de la responsabilidad por daños y perjuicios derivados de la inobservancia de la presente ley y de las sanciones penales que correspondan.

6. La aplicación y cuantí­a de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

7. La reincidencia se configura cuando quien habiendo sido sancionado por una de las infracciones previstas en la Ley Nº 25.326 y/o su reglamentación, incurriera en otra de similar naturaleza dentro del término de TRES (3) años, a contar desde la aplicación de la sanción.

8. La falta de pago de las multas aplicadas hará exigible su cobro por ejecución fiscal, constituyendo suficiente tí­tulo ejecutivo el testimonio autenticado de la resolución condenatoria firme.


Decreto 1558/2001 – Reglamentación de la ley de protección de datos personales

Posted: mayo 2nd, 2006 | Author: | Filed under: Argentina, General, Normas | No Comments »

Decreto 1558/2001
Apruébase la reglamentación de la ley 25.326. Principios generales relativos a la protección de datos. Derechos de los titulares de los datos. Usuarios y responsables de archivos, registros y bancos de datos. Control. Sanciones.

Bs. As., 29/11/2001

VISTO el expediente Nº 128.949/01 del registro del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, la Ley Nº 25.326, y
CONSIDERANDO:
Que el artí­culo 45 de la mencionada Ley establece que el PODER EJECUTIVO NACIONAL deberá reglamentar la misma y establecer el órgano de control a que se refiere su artí­culo 29 dentro de los CIENTO OCHENTA (180) dí­as de su promulgación.

Que el artí­culo 46 de la Ley citada establece que la reglamentación fijará el plazo dentro del cual los archivos de datos destinados a proporcionar informes existentes al momento de la sanción de dicha Ley deberán inscribirse en el Registro a que se refiere su artí­culo 21 y adecuarse a lo que dispone el régimen establecido en dicha norma.

Que el artí­culo 31, inciso 2, de la ley 25.326 dispone que la reglamentación determinará las condiciones y procedimientos para la aplicación de sanciones, en los términos que dicha norma establece.

Que la DIRECCION GENERAL DE ASUNTOS JURIDICOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, la DIRECCION GENERAL DE ASUNTOS JURIDICOS de la SUBSECRETARIA DE ASUNTOS LEGALES de la SECRETARIA LEGAL Y TECNICA de la PRESIDENCIA DE LA NACION y la PROCURACION DEL TESORO DE LA NACION han tomado la intervención que les compete.

Que la presente medida se dicta en uso de las facultades conferidas por el artí­culo 99, inciso 2) de la CONSTITUCION NACIONAL.

Por ello,

EL PRESIDENTE DE LA NACION ARGENTINA

DECRETA:

Artí­culo 1º -” Apruébase la reglamentación de la ley 25.326 de Protección de los Datos Personales, que como anexo I forma parte del presente.

Art. 2º -” Establécese en CIENTO OCHENTA (180) dí­as el plazo previsto en el artí­culo 46 de la ley 25.326.

Art. 3º -” Inví­tase a las Provincias y a la CIUDAD AUTONOMA DE BUENOS AIRES a adherir a las normas de exclusiva aplicación nacional de esta reglamentación.

Art. 4º -” Comuní­quese, publí­quese, dése a la Dirección Nacional del Registro Oficial y archí­vese. -”DE LA RUA. -” Chrystian G. Colombo. -” Jorge E. De La Rúa.

ANEXO I

REGLAMENTACION DE LA ley 25.326

CAPITULO I

DISPOSICIONES GENERALES

ARTICULO 1º.- A los efectos de esta reglamentación, quedan comprendidos en el concepto de archivos, registros, bases o bancos de datos privados destinados a dar informes, aquellos que exceden el uso exclusivamente personal y los que tienen como finalidad la cesión o transferencia de datos personales, independientemente de que la circulación del informe o la información producida sea a tí­tulo oneroso o gratuito.

ARTICULO 2º.- Sin reglamentar.

CAPITULO II

PRINCIPIOS GENERALES RELATIVOS A LA PROTECCION DE DATOS

ARTICULO 3º.- Sin reglamentar.

ARTICULO 4º.- Para determinar la lealtad y buena fe en la obtención de los datos personales, así­ como el destino que a ellos se asigne, se deberá analizar el procedimiento efectuado para la recolección y, en particular, la información que se haya proporcionado al titular de los datos de acuerdo con el artí­culo 6º de la ley 25.326.

Cuando la obtención o recolección de los datos personales fuese lograda por interconexión o tratamiento de archivos, registros, bases o bancos de datos, se deberá analizar la fuente de información y el destino previsto por el responsable o usuario para los datos personales obtenidos.

El dato que hubiera perdido vigencia respecto de los fines para los que se hubiese obtenido o recolectado debe ser suprimido por el responsable o usuario sin necesidad de que lo requiera el titular de los datos.

La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES efectuará controles de oficio sobre el cumplimiento de este principio legal, y aplicará las sanciones pertinentes al responsable o usuario en los casos que correspondiere.

La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES procederá, ante el pedido de un interesado o de oficio ante la sospecha de una ilegalidad, a verificar el cumplimiento de las disposiciones legales y reglamentarias en orden a cada una de las siguientes etapas del uso y aprovechamiento de datos personales:

a) legalidad de la recolección o toma de información personal;

b) legalidad en el intercambio de datos y en la transmisión a terceros o en la interrelación entre ellos;

c) legalidad en la cesión propiamente dicha;

d) legalidad de los mecanismos de control interno y externo del archivo, registro, base o banco de datos.

ARTICULO 5º.- El consentimiento informado es el que está precedido de una explicación, al titular de los datos, en forma adecuada a su nivel social y cultural, de la información a que se refiere el artí­culo 6º de la Ley Nº 25.326.

La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES establecerá los requisitos para que el consentimiento pueda ser prestado por un medio distinto a la forma escrita, el cual deberá asegurar la autorí­a e integridad de la declaración.

El consentimiento dado para el tratamiento de datos personales puede ser revocado en cualquier tiempo. La revocación no tiene efectos retroactivos.

A los efectos del artí­culo 5º, inciso 2 e), de la Ley Nº 25.326 el concepto de entidad financiera comprende a las personas alcanzadas por la Ley Nº 21.526 y a las empresas emisoras de tarjetas de crédito, los fideicomisos financieros, las exentidades financieras liquidadas por el BANCO CENTRAL DE LA REPUBLICA ARGENTINA y los sujetos que expresamente incluya la Autoridad de Aplicación de la mencionada Ley.

No es necesario el consentimiento para la información que se describe en los incisos a), b), c) y d) del artí­culo 39 de la Ley Nº 21.526.

En ningún caso se afectará el secreto bancario, quedando prohibida la divulgación de datos relativos a operaciones pasivas que realicen las entidades financieras con sus clientes, de conformidad con lo dispuesto en los artí­culos 39 y 40 de la Ley Nº 21.526.

ARTICULO 6º.- Sin reglamentar.

ARTICULO 7º.- Sin reglamentar.

ARTICULO 8º.- Sin reglamentar.

ARTICULO 9º.- La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES promoverá la cooperación entre sectores públicos y privados para la elaboración e implantación de medidas, prácticas y procedimientos que susciten la confianza en los sistemas de información, así­ como en sus modalidades de provisión y utilización.

ARTICULO 10.- Sin reglamentar.

ARTICULO 11.- Al consentimiento para la cesión de los datos le son aplicables las disposiciones previstas en el artí­culo 5º de la ley 25.326 y el artí­culo 5º de esta reglamentación.

En el caso de archivos o bases de datos públicas dependientes de un organismo oficial que por razón de sus funciones especí­ficas estén destinadas a la difusión al público en general, el requisito relativo al interés legí­timo del cesionario se considera implí­cito en las razones de interés general que motivaron el acceso público irrestricto.

La cesión masiva de datos personales de registros públicos a registros privados sólo puede ser autorizada por ley o por decisión del funcionario responsable, si los datos son de acceso público y se ha garantizado el respeto a los principios de protección establecidos en la Ley Nº 25.326. No es necesario acto administrativo alguno en los casos en que la ley disponga el acceso a la base de datos pública en forma irrestricta. Se entiende por cesión masiva de datos personales la que comprende a un grupo colectivo de personas.

La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES fijará los estándares de seguridad aplicables a los mecanismos de disociación de datos.

El cesionario a que se refiere el artí­culo 11, inciso 4, de la Ley Nº 25.326, podrá ser eximido total o parcialmente de responsabilidad si demuestra que no se le puede imputar el hecho que ha producido el daño.

ARTICULO 12.- La prohibición de transferir datos personales hacia paí­ses u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados, no rige cuando el titular de los datos hubiera consentido expresamente la cesión.

No es necesario el consentimiento en caso de transferencia de datos desde un registro público que esté legalmente constituido para facilitar información al público y que esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legí­timo, siempre que se cumplan, en cada caso particular, las condiciones legales y reglamentarias para la consulta.

Facúltase a la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES a evaluar, de oficio o a pedido de parte interesada, el nivel de protección proporcionado por las normas de un Estado u organismo internacional. Si llegara a la conclusión de que un Estado u organismo no protege adecuadamente a los datos personales, elevará al PODER EJECUTIVO NACIONAL un proyecto de decreto para emitir tal declaración. El proyecto deberá ser refrendado por los Ministros de Justicia y Derechos Humanos y de Relaciones Exteriores, Comercio Internacional y Culto.

El carácter adecuado del nivel de protección que ofrece un paí­s u organismo internacional se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categorí­a de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración de tratamiento o de los tratamientos previstos, el lugar de destino final, las normas de derecho, generales o sectoriales, vigentes en el paí­s de que se trate, así­ como las normas profesionales, códigos de conducta y las medidas de seguridad en vigor en dichos lugares, o que resulten aplicables a los organismos internacionales o supranacionales.

Se entiende que un Estado u organismo internacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurí­dico vigente, o de sistemas de autorregulación, o del amparo que establezcan las cláusulas contractuales que prevean la protección de datos personales.

CAPITULO III

DERECHOS DE LOS TITULARES DE DATOS

ARTICULO 13.- Sin reglamentar.

ARTICULO 14.- La solicitud a que se refiere el artí­culo 14, inciso 1, de la ley 25.326, no requiere de fórmulas especí­ficas, siempre que garantice la identificación del titular. Se puede efectuar de manera directa, presentándose el interesado ante el responsable o usuario del archivo, registro, base o banco de datos, o de manera indirecta, a través de la intimación fehaciente por medio escrito que deje constancia de recepción. También pueden ser utilizados otros servicios de acceso directo o semidirecto como los medios electrónicos, las lí­neas telefónicas, la recepción del reclamo en pantalla u otro medio idóneo a tal fin. En cada supuesto, se podrán ofrecer preferencias de medios para conocer la respuesta requerida.

Si se tratara de archivos o bancos de datos públicos dependientes de un organismo oficial destinados a la difusión al público en general, las condiciones para el ejercicio del derecho de acceso podrán ser propuestas por el organismo y aprobadas por la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, la cual deberá asegurar que los procedimientos sugeridos no vulneren ni restrinjan en modo alguno las garantí­as propias de ese derecho.

El derecho de acceso permitirá:

a) conocer si el titular de los datos se encuentra o no en el archivo, registro, base o banco de datos;

b) conocer todos los datos relativos a su persona que constan en el archivo;

c) solicitar información sobre las fuentes y los medios a través de los cuales se obtuvieron sus datos;

d) solicitar las finalidades para las que se recabaron;

e) conocer el destino previsto para los datos personales;

f) saber si el archivo está registrado conforme a las exigencias de la Ley Nº 25.326.

Vencido el plazo para contestar fijado en el artí­culo 14, inciso 2 de la Ley Nº 25.326, el interesado podrá ejercer la acción de protección de los datos personales y denunciar el hecho ante la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES a los fines del control pertinente de este organismo.

En el caso de datos de personas fallecidas, deberá acreditarse el ví­nculo mediante la declaratoria de herederos correspondiente, o por documento fehaciente que verifique el carácter de sucesor universal del interesado.

ARTICULO 15.- El responsable o usuario del archivo, registro, base o banco de datos deberá contestar la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado, debiendo para ello valerse de cualquiera de los medios autorizados en el artí­culo 15, inciso 3, de la Ley Nº 25.326, a opción del titular de los datos, o las preferencias que el interesado hubiere expresamente manifestado al interponer el derecho de acceso.

La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES elaborará un formulario modelo que facilite el derecho de acceso de los interesados.

Podrán ofrecerse como medios alternativos para responder el requerimiento, los siguientes:

a) visualización en pantalla;

b) informe escrito entregado en el domicilio del requerido;

c) informe escrito remitido al domicilio denunciado por el requirente;

d) transmisión electrónica de la respuesta, siempre que esté garantizada la identidad del interesado y la confidencialidad, integridad y recepción de la información;

e) cualquier otro procedimiento que sea adecuado a la configuración e implantación material del archivo, registro, base o banco de datos, ofrecido por el responsable o usuario del mismo.

ARTICULO 16.- En las disposiciones de los artí­culos 16 a 22 y 38 a 43 de la Ley Nº 25.326 en que se menciona a algunos de los derechos de rectificación, actualización, supresión y confidencialidad, se entiende que tales normas se refieren a todos ellos.

En el caso de los archivos o bases de datos públicas conformadas por cesión de información suministrada por entidades financieras, administradoras de fondos de jubilaciones y pensiones y entidades aseguradoras, de conformidad con el artí­culo 5º, inciso 2, de la ley 25.326, los derechos de rectificación, actualización, supresión y confidencialidad deben ejercerse ante la entidad cedente que sea parte en la relación jurí­dica a que se refiere el dato impugnado. Si procediera el reclamo, la entidad respectiva debe solicitar al BANCO CENTRAL DE LA REPUBLICA ARGENTINA, a la SUPERINTENDENCIA DE ADMINISTRADORAS DE FONDOS DE JUBILACIONES Y PENSIONES o a la SUPERINTENDENCIA DE SEGUROS DE LA NACION, según el caso, que sean practicadas las modificaciones necesarias en sus bases de datos. Toda modificación debe ser comunicada a través de los mismos medios empleados para la divulgación de la información.

Los responsables o usuarios de archivos o bases de datos públicos de acceso público irrestricto pueden cumplir la notificación a que se refiere el artí­culo 16, inciso 4, de la Ley Nº 25.326 mediante la modificación de los datos realizada a través de los mismos medios empleados para su divulgación.

ARTICULO 17.- Sin reglamentar.

ARTICULO 18.- Sin reglamentar.

ARTICULO 19.- Sin reglamentar.

ARTICULO 20.- Sin reglamentar.

CAPITULO IV

USUARIOS Y RESPONSABLES DE ARCHIVOS, REGISTROS Y BANCOS DE DATOS

ARTICULO 21.- El registro e inscripción de archivos, registros, bases o bancos de datos públicos, y privados destinados a dar información, se habilitará una vez publicada esta reglamentación en el Boletí­n Oficial.

Deben inscribirse los archivos, registros, bases o bancos de datos públicos y los privados a que se refiere el artí­culo 1º de esta reglamentación.

A los fines de la inscripción de los archivos, registros, bases y bancos de datos con fines de publicidad, los responsables deben proceder de acuerdo con lo establecido en el artí­culo 27, cuarto párrafo, de esta reglamentación.

ARTICULO 22.- Sin reglamentar.

ARTICULO 23.- Sin reglamentar.

ARTICULO 24.- Sin reglamentar.

ARTICULO 25.- Los contratos de prestación de servicios de tratamiento de datos personales deberán contener los niveles de seguridad previstos en la Ley Nº 25.326, esta reglamentación y las normas complementarias que dicte la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, como así­ también las obligaciones que surgen para los locatarios en orden a la confidencialidad y reserva que deben mantener sobre la información obtenida.

La realización de tratamientos por encargo deberá estar regulada por un contrato que vincule al encargado del tratamiento con el responsable o usuario del tratamiento y que disponga, en particular:

a) que el encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento;

b) que las obligaciones del artí­culo 9º de la Ley Nº 25.326 incumben también al encargado del tratamiento.

ARTICULO 26.- A los efectos del artí­culo 26, inciso 2, de la ley 25.326, se consideran datos relativos al cumplimiento o incumplimiento de obligaciones los referentes a los contratos de mutuo, cuenta corriente, tarjetas de crédito, fideicomiso, leasing, de créditos en general y toda otra obligación de contenido patrimonial, así­ como aquellos que permitan conocer el nivel de cumplimiento y la calificación a fin de precisar, de manera indubitable, el contenido de la información emitida.

En el caso de archivos o bases de datos públicos dependientes de un organismo oficial destinadas a la difusión al público en general, se tendrán por cumplidas las obligaciones que surgen del artí­culo 26, inciso 3, de la Ley Nº 25.326 en tanto el responsable de la base de datos le comunique al titular de los datos las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido difundidas durante los últimos SEIS (6) meses.

Para apreciar la solvencia económico-financiera de una persona, conforme lo establecido en el artí­culo 26, inciso 4, de la ley 25.326, se tendrá en cuenta toda la información disponible desde el nacimiento de cada obligación hasta su extinción. En el cómputo de CINCO (5) años, éstos se contarán a partir de la fecha de la última información adversa archivada que revele que dicha deuda era exigible. Si el deudor acredita que la última información disponible coincide con la extinción de la deuda, el plazo se reducirá a DOS (2) años. Para los datos de cumplimiento sin mora no operará plazo alguno para la eliminación.

A los efectos del cálculo del plazo de DOS (2) años para conservación de los datos cuando el deudor hubiere cancelado o extinguido la obligación, se tendrá en cuenta la fecha precisa en que se extingue la deuda.

A los efectos de dar cumplimiento a lo dispuesto por el artí­culo 26, inciso 5, de la ley 25.326, el BANCO CENTRAL DE LA REPUBLICA ARGENTINA deberá restringir el acceso a sus bases de datos disponibles en Internet, para el caso de información sobre personas fí­sicas, exigiendo el ingreso del número de documento nacional de identidad o código único de identificación tributaria o laboral del titular de los datos, obtenidos por el cesionario a través de una relación contractual o comercial previa.

ARTICULO 27.- Podrán recopilarse, tratarse y cederse datos con fines de publicidad sin consentimiento de su titular, cuando estén destinados a la formación de perfiles determinados, que categoricen preferencias y comportamientos similares de las personas, siempre que los titulares de los datos sólo se identifiquen por su pertenencia a tales grupos genéricos, con más los datos individuales estrictamente necesarios para formular la oferta a los destinatarios.

Las cámaras, asociaciones y colegios profesionales del sector que dispongan de un Código de Conducta homologado por la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, al que por estatuto adhieran obligatoriamente todos sus miembros, junto con la Autoridad de Aplicación, implementarán, dentro de los NOVENTA (90) dí­as siguientes a la publicación de esta reglamentación, un sistema de retiro o bloqueo a favor del titular del dato que quiera ser excluido de las bases de datos con fines de publicidad. El retiro podrá ser total o parcial, bloqueando exclusivamente, a requerimiento del titular, el uso de alguno o algunos de los medios de comunicación en particular, como el correo, el teléfono, el correo electrónico u otros.

En toda comunicación con fines de publicidad que se realice por correo, teléfono, correo electrónico, Internet u otro medio a distancia a conocer, se deberá indicar, en forma expresa y destacada, la posibilidad del titular del dato de solicitar el retiro o bloqueo, total o parcial, de su nombre de la base de datos. A pedido del interesado, se deberá informar el nombre del responsable o usuario del banco de datos que proveyó la información.

A los fines de garantizar el derecho de información del artí­culo 13 de la Ley Nº 25.326, se inscribirán únicamente las cámaras, asociaciones y colegios profesionales del sector que dispongan de un Código de Conducta homologado por la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, al que por estatuto adhieran obligatoriamente todos sus miembros. Al inscribirse, las cámaras, asociaciones y colegios profesionales deberán acompañar una nómina de sus asociados indicando nombre, apellido y domicilio.

Los responsables o usuarios de archivos, registros, bancos o bases de datos con fines de publicidad que no se encuentren adheridos a ningún Código de Conducta, cumplirán el deber de información inscribiéndose en el Registro a que se refiere el artí­culo 21 de la Ley Nº 25.326.

Los datos vinculados a la salud sólo podrán ser tratados, a fin de realizar ofertas de bienes y servicios, cuando hubieran sido obtenidos de acuerdo con la Ley Nº 25.326 y siempre que no causen discriminación, en el contexto de una relación entre el consumidor o usuario y los proveedores de servicios o tratamientos médicos y entidades sin fines de lucro. Estos datos no podrán transferirse a terceros sin el consentimiento previo, expreso e informado del titular de los datos. A dicho fin, este último debe recibir una noticia clara del carácter sensible de los datos que proporciona y de que no está obligado a suministrarlos, junto con la información de los artí­culos 6º y 11, inciso 1, de la Ley Nº 25.326 y la mención de su derecho a solicitar el retiro de la base de datos.

ARTICULO 28.- Los archivos, registros, bases o bancos de datos mencionados en el artí­culo 28 de la Ley Nº 25.326 son responsables y pasibles de las multas previstas en el artí­culo 31 de la ley citada cuando infrinjan sus disposiciones.

CAPITULO V

CONTROL

ARTICULO 29.

1. Créase la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, en el ámbito de la SECRETARIA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, como órgano de control de la Ley Nº 25.326.

El Director tendrá dedicación exclusiva en su función, ejercerá sus funciones con plena independencia y no estará sujeto a instrucciones.

2. La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES se integrará con un Director Nacional, Nivel “A” con Función Ejecutiva I, designado por el PODER EJECUTIVO NACIONAL, por el plazo de CUATRO (4) años, debiendo ser seleccionado entre personas con antecedentes en la materia, a cuyo fin facúltase al Ministro de Justicia y Derechos Humanos, o a quien lo sustituya en sus funciones, a efectuar la designación correspondiente, como excepción a lo dispuesto por el ANEXO I del Decreto Nº 993/91 y sus modificatorios.

La Dirección contará con el personal jerárquico y administrativo que designe el Ministro de Justicia y Derechos Humanos aprovechando los recursos humanos existentes en la ADMINISTRACIÓN PUBLICA NACIONAL. El personal estará obligado a guardar secreto respecto de los datos de carácter personal de los que tome conocimiento en el desarrollo de sus funciones.

En el plazo de TREINTA (30) dí­as hábiles posteriores a la asunción de su cargo, el Director Nacional presentará un proyecto de estructura organizativa y reglamentación interna, para su aprobación por el PODER EJECUTIVO NACIONAL y publicación en el Boletí­n Oficial.

3. La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES se financiará a través de:

a) lo que recaude en concepto de tasas por los servicios que preste;

b) el producido de las multas previstas en el artí­culo 31 de la Ley Nº 25.326;

c) las asignaciones presupuestarias que se incluyan en la Ley de Presupuesto de la Administración Nacional a partir del año 2002.

Transitoriamente, desde la entrada en vigencia de la presente reglamentación y hasta el 31 de diciembre de 2001, el costo de la estructura será afrontado con el crédito presupuestario correspondiente al MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS para el año 2001, sin perjuicio de lo dispuesto en los subincisos a) y b) del párrafo anterior.

4. La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES contará con un Consejo Consultivo, que se desempeñará “ad honorem”, encargado de asesorar al Director Nacional en los asuntos de importancia, integrado por:

a) un representante del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS;

b) un magistrado del MINISTERIO PUBLICO FISCAL con especialidad en la materia;

c) un representante de los archivos privados destinados a dar información designado por la Cámara que agrupe a las entidades nacionales de información crediticia;

d) un representante de la FEDERACION DE ENTIDADES EMPRESARIAS DE INFORMACIONES COMERCIALES DE LA REPUBLICA ARGENTINA;

e) un representante del BANCO CENTRAL DE LA REPUBLICA ARGENTINA;

f) un representante de las empresas dedicadas al objeto previsto en el artí­culo 27 de la Ley Nº 25.326, designado por las Cámaras respectivas de común acuerdo, unificando en una persona la representación;

g) un representante del CONSEJO FEDERAL DEL CONSUMO;

h) un representante del IRAM, Instituto Argentino de Normalización, con especialización en el campo de la seguridad informática;

i) un representante de la SUPERINTENDENCIA DE SEGUROS DE LA NACION;

j) un representante de la Comisión Bicameral de Fiscalización de los Organos y Actividades de Seguridad Interior e Inteligencia del HONORABLE CONGRESO DE LA NACION.

Inví­tase a las entidades mencionadas en el presente inciso a que designen los representantes que integrarán el Consejo Consultivo.

5. Son funciones de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, además de las que surgen de la Ley Nº 25.326:

a) dictar normas administrativas y de procedimiento relativas a los trámites registrales y demás funciones a su cargo, y las normas y procedimientos técnicos relativos al tratamiento y condiciones de seguridad de los archivos, registros y bases o bancos de datos públicos y privados;

b) atender las denuncias y reclamos interpuestos en relación al tratamiento de datos personales en los términos de la Ley Nº 25.326;

c) percibir las tasas que se fijen por los servicios de inscripción y otros que preste;

d) organizar y proveer lo necesario para el adecuado funcionamiento del Registro de archivos, registros, bases o bancos de datos públicos y privados previsto en el artí­culo 21 de la Ley Nº 25.326;

e) diseñar los instrumentos adecuados para la mejor protección de los datos personales de los ciudadanos y el mejor cumplimiento de la legislación de aplicación;

f) homologar los códigos de conducta que se presenten de acuerdo a lo establecido por el artí­culo 30 de la Ley Nº 25.326, previo dictamen del Consejo Consultivo, teniendo en cuenta su adecuación a los principios reguladores del tratamiento de datos personales, la representatividad que ejerza la asociación y organismo que elabora el código y su eficacia ejecutiva con relación a los operadores del sector mediante la previsión de sanciones o mecanismos adecuados.

ARTICULO 30.- La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES alentará la elaboración de códigos de conducta destinados a contribuir, en función de las particularidades de cada sector, a la correcta aplicación de las disposiciones nacionales adoptadas por la Ley Nº 25.326 y esta reglamentación.

Las asociaciones de profesionales y las demás organizaciones representantes de otras categorí­as de responsables o usuarios de archivos, registros, bases o bancos de datos públicos o privados, que hayan elaborado proyectos de códigos éticos, o que tengan la intención de modificar o prorrogar códigos nacionales existentes, podrán someterlos a consideración de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, la cual aprobará el ordenamiento o sugerirá las correcciones que se estimen necesarias para su aprobación.

CAPITULO VI

SANCIONES

ARTICULO 31.

1. Las sanciones administrativas establecidas en el artí­culo 31 de la Ley Nº 25.326 serán aplicadas a los responsables o usuarios de archivos, registros, bases o bancos de datos públicos, y privados destinados a dar información, se hubieren inscripto o no en el registro correspondiente.

La cuantí­a de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceros, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuricidad y de culpabilidad presentes en la concreta actuación infractora. Se considerará reincidente a quien habiendo sido sancionado por una infracción a la Ley Nº 25.326 o sus reglamentaciones incurriera en otra de similar naturaleza dentro del término de TRES (3) años, a contar desde la aplicación de la sanción.

2. El producido de las multas a que se refiere el artí­culo 31 de la Ley Nº 25.326 se aplicará al financiamiento de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.

3. El procedimiento se ajustará a las siguientes disposiciones: a) La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES iniciará actuaciones administrativas en caso de presuntas infracciones a las disposiciones de la Ley Nº 25.326 y sus normas reglamentarias, de oficio o por denuncia de quien invocare un interés particular, del Defensor del Pueblo de la Nación o de asociaciones de consumidores o usuarios.

b) Se procederá a labrar acta en la que se dejará constancia del hecho denunciado o verificado y de la disposición presuntamente infringida.

En la misma acta se dispondrá agregar la documentación acompañada y citar al presunto infractor para que, dentro del plazo de CINCO (5) dí­as hábiles, presente por escrito su descargo y ofrezca las pruebas que hacen a su derecho.

Si se tratare de un acta de inspección, en que fuere necesaria una comprobación técnica posterior a los efectos de la determinación de la presunta infracción y que resultare positiva, se procederá a notificar al presunto responsable la infracción verificada, intimándolo para que en el plazo de CINCO (5) dí­as hábiles presente por escrito su descargo. En su primera presentación, el presunto infractor deberá constituir domicilio y acreditar personerí­a.

La constancia del acta labrada conforme a lo previsto en este artí­culo, así­ como las comprobaciones técnicas que se dispusieren, constituirán prueba suficiente de los hechos así­ comprobados, salvo en los casos en que resultaren desvirtuados por otras pruebas.

c) Las pruebas se admitirán solamente en caso de existir hechos controvertidos y siempre que no resulten manifiestamente inconducentes. Contra la resolución que deniegue medidas de prueba sólo se concederá recurso de reconsideración. La prueba deberá producirse dentro del término de DIEZ (10) dí­as hábiles, prorrogables cuando haya causas justificadas, teniéndose por desistidas aquellas no producidas dentro de dicho plazo por causa imputable al infractor.

Concluidas las diligencias sumariales, se dictará la resolución definitiva dentro del término de VEINTE (20) dí­as hábiles.

ARTICULO 32.- Sin reglamentar.

CAPITULO VII

ACCION DE PROTECCION DE LOS DATOS PERSONALES

ARTICULOS 33 a 46.- Sin reglamentar.


Reflexiones del Profesor Spiros Simitis en su visita a Buenos Aires

Posted: abril 20th, 2006 | Author: | Filed under: Conferencias, General, Público en general, Unión Europea | No Comments »

*Reflexiones del Profesor Spiros Simitis en su visita a Buenos Aires en el “cuarto Seminario Internacional sobre Protección de Datos Personales”:http://www.habeasdata.org/SimitisSeminario, el dí­a 27 de marzo de 2006*
“por Pablo A. Palazzi”:http://www.habeasdata.org/pablopalazzi

*1. Introducción*
En el cuarto Seminario Internacional sobre Protección de Datos Personales organizado por la “Dirección Nacional de Protección de Datos”:http://www2.jus.gov.ar/dnpdp/index.html, el dí­a 27 de marzo de 2006, disertó en Buenos Aires el profesor y especialista en protección de datos “Dr. Spiros Simitis”:http://de.wikipedia.org/wiki/Spiros_Simitis. He aquí­ un breve resumen de su exposición con nuestros comentarios.

El profesor Spiros Simitis fue comisionado del Land de Hesse (el primer estado que aprobó la primera ley de protección de datos del mundo y de importante influencia en el resto) en materia de protección de datos a partir del año 1975. También es profesor de Derecho civil y de derecho laboral en la Universidad de Frankfurt, y director del Research Center for the Protection of Personal Data de la misma universidad.

*2. Origenes y estado actual del derecho a la protección de datos personales*
La charla comenzó señalando el origen literario del problema, con alusiones a “1984″:http://www.ucm.es/info/bas/utopia/html/1984.htm de Orwell y la obra de “Huxley”:http://es.wikipedia.org/wiki/Aldous_Huxley . También recordó la naturaleza fundamental de estos derechos y la necesidad de reconocerlos. Comparó a Argentina con Polonia, Hungrí­a y España, paí­ses que en su momento no pudieron legislar esta materia por falta de un gobierno democrático.

Simitis señaló que todo comenzó en junio de 1969, cuando un diario alemán publicó un artí­culo en el cual se advertí­a sobre los peligros que la informática planteaba a los derechos de los ciudadanos. El artí­culo concluí­a planteando la necesidad de una ley. El Primer Ministro del estado de Hesse leyó este artí­culo e inmediatamente ordenó la creación de una comisión que elaborarí­a una ley que tratara el problema de las bases de datos públicas que contení­an datos de todos los ciudadanos (contrariamente a lo que sucede cuando se crea una comisión, en Alemania esa comisión terminó la ley). En ese entonces, el gobierno apoyaba la existencia de un banco de datos centralizado que contuviera la información de los ciudadanos. La publicidad del gobierno citaba el siguiente ejemplo: -Si Ud. maneja en la ruta y tiene un accidente y se encuentra inconsciente, con un solo acceso al ordenador será posible conocer sus antecedentes, su historia clí­nica, sus enfermedades, etc. Las chances de sobrevivir se incrementarán significativamente …-.

A raí­z de esta nota periodí­stica, el tema se instauró en la opinión pública y el 7 de octubre de 1970, el estado alemán de Hesse ya tení­a su ley aprobada. Surgí­a así­ la primera ley de protección de datos del mundo.

Luego contó como las leyes de protección de datos se fueron reproduciendo en Europa y en otros paí­ses del mundo y resumió los principios fundamentales en los siguientes:
1) cualquier regulación de protección de datos personales es una respuesta del derecho a los avances de la tecnologí­a;
2) no importa quien ni cómo realiza un tratamiento de datos personales, lo que debe importar es que cuando hay datos personales deben entrar a jugar las reglas diseñadas para contener o limitar estos tratamientos y dar derechos al titular de los datos sobre esos datos;
3) el tratamiento de datos personales debe ser la excepción, no la regla, es decir, quien trata datos personales debe estar legitimado de alguna forma para hacerlo, ya sea por el consentimiento del titular de los datos o por una ley que lo autorice a tal efecto
4) este procesamiento de datos personales debe ser lo mas transparente posible y a tales fines se debe informar al titular de los datos personales de la finalidad del procesamiento de sus datos y registrar la base de datos ante la autoridad de contralor;
5) una adecuada protección de los datos personales obliga a establecer una autoridad de contralor independiente.

El profesor Simitis señaló que actualmente la protección de los datos personales se concibe como una barrera al intento de monopolizar al individuo y usar sus datos personales acumulados en ordenadores como medio de determinar e influenciar en su comportamiento.

Trece años después de la ley del Land de Hesse, la Corte constitucional Alemana aprobó su conocida sentencia sobre la ley del censo, reconociendo por primera vez el derecho a la autodeterminación informativa. El tribunal en aquel fallo sentenció que la persona que no sabe quién tiene sus datos y con qué finalidad, renuncia a ejercer sus derechos. El tribunal constitucional alemán calificó al mencionado derecho como un derecho fundamental de los ciudadanos.

Unos años mas adelante, la Unión Europea aprobó la “Directiva de Protección de Datos Personales”:http://www.habeasdata.org/DirectivaEuropeaPDP, que armonizó las legislaciones de los entonces quince estados miembros. Luego vino la Constitución europea que reconoce al derecho a la protección de datos personales el rango de derecho fundamental. Esto, según Simitis, tiene dos significados: 1) la protección de datos personales será un derecho fundamental para todo las actividades que realicen la Unión Europea y sus estados miembros y 2) para el tema de las transferencias internacionales de datos personales.

*3. Los nuevos desafí­os*
Las reflexiones del Profesor Simitis luego se orientaron a los conceptos actuales de la protección de datos y su evolución. El derecho de la protección de datos nació como una reacción a la tecnologí­a. En 1970 se pensaba en servidores centralizados de datos personales con enormes bases de datos únicas conteniendo toda la información de los ciudadanos. Ese era el “problema”:http://www.mpp-rdg.mpg.de/pdf_dat/burkert.pdf que la ley de Hesse buscó resolver. En esa época solo el gobierno contaba con los medios para esta gran capacidad de procesamiento. El sector privado no disponí­a de semejantes ordenadores. Simitis explicó que en pocos años este procesamiento se descentralizó, sólo una década después ya habí­a laptops, luego aparecen Internet y la computación distribuida y el ordenador personal al alcance de todos e incluido en toda clase de dispositivos (palms, celulares, relojes, etc). La tecnologí­a fue demostrando que en pocos años las leyes originales de protección de datos eran absurdas y anticuadas. Por eso Simitis concluye que hoy en dí­a en materia de protección de datos se legisla para una fracción muy corta de tiempo. La ley de Hesse exigí­a que el comisionado de protección de datos informara de los cambios al Parlamento y esto se usó para actualizar la ley. Lo mismo ocurre en Noruega, donde el Parlamento obligó a que la ley de protección de datos se revisara cada cuatro años.

Estos cambios fueron avanzando y Simitis refiere que hoy en dí­a los mayores tratamientos de datos personales se realizan en el sector privado. Se ejemplifican con los informes comerciales, el marketing, las tarjetas de crédito, las tarjetas de fidelidad, el uso de RFID en supermercados, viajes, hoteles, gastos, cuentas, etc… Casi todos los actos que realizamos hoy en dí­a en la sociedad quedan registrados y de alguna manera pueden ser recuperados. Nada se salva… De allí­ la importancia de tener leyes de protección de datos..

Simitis explica que todas estas bases de datos han hecho que para el gobierno ya no sea necesario que el propio Estado junte la información en un solo gran banco de datos. Ahora la recolección la realiza el sector privado en numerosos bancos de datos dispersos entre sí­, y cuando el Estado la necesita, le alcanza con solicitarla con alguna justificación relacionada con el interés público. El ejemplo que nos da el profesor Simitis es lo que ocurrió con los atentados del 11 de septiembre. Toda la información necesaria la tení­a el sector privado. Al estado le alcanzaba con juntar todos estos datos pero no necesitaba una gran base de datos centralizada (algún autor los ha bautizado como “Big Brother little helpers”:http://papers.ssrn.com/sol3/papers.cfm?abstract_id=582302 ) y no fue casual que “fuera el sector privado el que le ofreció al Estado”:http://multinationalmonitor.org/mm2001/01november/nov01interviewhofnagle.html luego de los atentados edificar todo el sistema de hardware y software para tener acceso a todas estas bases de datos.

*4. Conclusiones*
Para terminar, fue placentero escuchar a uno de los mas conocidos especialistas en protección de datos personales disertar en Argentina sobre la historia y fundamentos de la protección de datos personales.

Sobre todo resulta importante que una autoridad como Simitis explique porqué resulta necesario adoptar leyes de protección de datos personales, que regulan la forma en que los terceros deben cumplir con los deberes relativos al manejo de información personal.

(c)2006 Pablo Palazzi – Algunos Derechos reservados