Tag Archives: Datos Personales

15Sep/15

El final del dato personal: mantener o destruir

El tratamiento de los datos personales tiene tres fases diferenciadas, la etapa de recabo de datos, la de tratamiento propiamente dicho y por ultimo la de cancelación o finalización del tratamiento. Esta última etapa tiene gran importancia ya que debemos conocer qué significa este final y como actuar con los datos.

Normalmente cuando hablamos de final de algo, lo primero que nos viene a la cabeza es que ya se puede eliminar o destruir, pero este no es necesariamente el caso cuando tratamos datos personales por lo que vamos a analizar de forma resumida como finaliza el tratamiento y las acciones a tomar.

El final del tratamiento del dato puede venir por dos causas, que desaparezca la finalidad por la que fueron recabados o por petición expresa del afectado en el ejercicio de sus derechos. De esta manera el artículo 4 donde se establece uno de los principios fundamentales de la LOPD dice que

los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.”

De la lectura del texto nos queda la idea de que el factor fundamental que tenemos que tener en cuenta es la finalidad para la que se recabo el dato, una vez desaparezca la finalidad, el dato también. En principio parece sencillo pero como todo tiene sus excepciones y términos que no son lo que en principio una persona que no conoce en profundidad la Ley podría interpretar.

Cuando se nos habla de cancelar un dato personal, no se debe entender con ello la propia destrucción, sino que es un término más amplio al que podemos atribuir varios conceptos. Por un lado se puede entender como un mantenimiento del dato pero ‘sin uso’ y por otro la propia eliminación o destrucción.

La legislación en protección de datos no es ajena a las obligaciones, necesidades y responsabilidades impuestas por el ordenamiento jurídico a las empresas o autónomos como responsables del tratamiento, es por ello que en respuesta a estas necesidades ya sean fiscales, laborales, administrativas o a la rama que correspondan, la legislación en protección de datos prevé la posibilidad de mantener datos cuya finalidad ya ha desaparecido o cuya cancelación ha sido solicitada por el afectado. Este caso podríamos definirlo como una cancelación ‘de uso’, es decir, se me permite mantener los datos durante el tiempo que la legislación correspondiente me obliga para atender los posibles requerimientos de información de la Administración, pero no me permite utilizarlos para nada más, se podría decir que están apartados de la actividad esperando a agotar el plazo al que están sometidos por otra ley, para posteriormente ser destruidos.

Es importante resaltar que esto no supone un cheque en blanco para mantener datos, se deberá estar a lo dispuesto, y por los plazos establecidos, en las leyes que sean de aplicación al caso.

Finalmente, y ahora sí, una vez se hayan agotado los plazos los datos deberán ser destruidos. Recordar que la destrucción debe realizarse siempre utilizando medios que garanticen que la información no puede volver a ser recuperada por ningún medio, es decir, se deben utilizar siempre destructoras de papel, formateo de equipos o soportes, empresas de destrucción certificada, etc.

Áudea Seguridad de la Información, S.L.

Álvaro Aritio
Departamento Derecho TIC
www.audea.com

 

10Sep/15

Plataforma E-learning de Áudea

Os presentamos la nueva Plataforma E-learning de Áudea, creada a partir de dos sistemas de gestión de distribución libre MOODLE y SCORM, que también se conocen como LMS (Learning Management System).

La modalidad online nos ofrece una formación de alto nivel, accesible, cómoda, económica y flexible, y nos permite disponer al instante de todos los materiales necesarios para completar la formación.

La libertad de horarios que nos ofrece esta modalidad permite la deslocalización y además facilita la interacción tanto profesor-alumno como de los alumnos entre sí, permitiendo además la posibilidad de realizar simulaciones virtuales en entornos controlados y facilitar la posibilidad de mantener actualizados los contenidos.

Los cursos que disponemos actualmente son los siguientes:

  • Curso de Sensibilización LOPD
  • Curso de Sensibilización de Seguridad de la Información
  • Curso de Concienciación sobre el uso de Datos Personales
  • Curso de Experto en Protección de Datos
  • Curso de Sistema de Gestión de Seguridad de la Información – ISO/IEC 27001

Damos la posibilidad de ver un curso demostración para que pueda navegar a través de nuestro entorno y conocer su funcionalidad. Solicite usuario y contraseña en info@audea.com

Accede a la plataforma y comienza a formarte con nosotros!

 

Áudea Seguridad de la Información
Departamento de Marketing
www.audea.com

01Ene/15

Diferentes aspectos del tratamiento de los datos personales por los corredores de seguros y reaseguros

Diferentes aspectos del tratamiento de los datos personales por los corredores de seguros y reaseguros.

Las funciones de una correduría de seguros y reaseguros, y especialmente su papel de mediador entre el interesado y compañías aseguradoras, puede plantear ciertas dudas respecto si considerarlas como responsable o encargado de tratamiento, puesto que por un lado parecen ser responsables como las entidades que recaban los datos de los interesados y deciden sobre su finalidad y por el otro, se les encarga unos determinados servicios de mediación.

Las funciones y obligaciones de los corredores se limitarán en principio, a las de ofrecer información veraz y suficiente en la promoción, oferta y suscripción de las pólizas de seguro y en su actividad de asesoramiento. Es decir, sus obligaciones son, básicamente, de carácter informativo y asesor, no pudiendo imponer directa o indirectamente la celebración del contrato de seguro.

Para determinar la condición del corredor de seguros y reaseguros, la Ley 26/2006, de 17 julio de Mediación de seguros y reaseguros privados, en sus artículos 62 y 63 analiza esta figura jurídica desde el punto de vista de protección de datos de carácter personal.

En el artículo 62. 1. c. se especifica que “A los efectos previstos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) los corredores de seguros y los corredores de reaseguros tendrán la condición de responsables del tratamiento respecto de los datos de las personas que acudan a ellos.”, que a su vez significa que las aseguradoras cesionarias y destinatarias de esta información, serían también responsables de los ficheros que recogiesen datos de los asegurados. En este sentido, también sería de aplicación el artículo 11. 2. c. de la LOPD que indica que “Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros” no será preciso el previo consentimiento del interesado, aunque las corredurías, por la propia naturaleza de los servicios que prestan, cuentan desde el principio con el consentimiento de las personas que solicitan sus servicios a comunicar sus datos a las entidades aseguradoras.

¿Pero qué pasará cuando la relación contractual entre el asegurado y la aseguradora se extingue, podrá la correduría mantener la información relativa a los asegurados o negociar la contratación de pólizas con otras compañías?

La condición de responsable del tratamiento de la correduría implica que una vez extinguida esta relación, no procederá a la devolución de los datos, tal y como se obliga al encargado de tratamiento en los términos del artículo 12 de la LOPD, sino que debe proceder a su cancelación, como señala el artículo 4.5 de la LOPD “Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.” Por lo que el corredor que haya dejado de ostentar la condición de mediador de seguros, debe de proceder a cancelar de su base de datos la información relativa al asegurado.

Respecto del consentimiento del interesado para tratar sus datos, el artículo 6.2 de la LOPD indica que “No será preciso el consentimiento… cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento…” por lo que tratándose en este caso de una relación negocial hay que entender que el consentimiento del interesado está implícito en esta relación. No obstante, el artículo 63 de la Ley 26/2006 en sus apartados 3 y 4 lo especifica aún más apuntando que “Los corredores de seguros podrán tratar los datos de las personas que se dirijan a ellos, sin necesidad de contar con su consentimiento:

a) Antes de que aquéllos celebren el contrato de seguro, con las finalidades de ofrecerles el asesoramiento independiente, profesional e imparcial al que se refiere esta Ley y de facilitar dichos datos a la entidad aseguradora o reaseguradora con la que fuese a celebrarse el correspondiente contrato.

b) Después de celebrado el contrato de seguro, exclusivamente para ofrecerles el asesoramiento independiente, profesional e imparcial al que se refiere esta Ley o a los fines previstos en su artículo 26.3.

Por consiguiente, para la utilización y tratamiento de los datos para cualquier otra finalidad distinta de las establecidas en las dos letras anteriores, los corredores de seguros deberán contar con el consentimiento inequívoco de los interesados. Resuelto el contrato de seguro en cuya mediación hubiera intervenido un corredor de seguros o un corredor de reaseguros, éste deberá proceder a la cancelación de los datos.

En definitiva, el corredor de seguros o reaseguros no podrá facilitar los datos del interesado a otra entidad distinta de aquélla con la que el interesado hubiera celebrado el contrato resuelto si no media su consentimiento inequívoco.

Es mucho más evidente que tampoco puede, sin el consentimiento del interesado permitirse la libertad de contratarle una nueva póliza con otra aseguradora, aunque esto pudiera suponer un beneficio para el interesado. Para poder contratar una nueva póliza de seguro o cualquier otro producto de aseguramiento es imprescindible mandato expreso del interesado a la correduría de seguros.

En consecuencia si un corredor de seguros, una vez resuelto el contrato entre el asegurado y la compañía aseguradora, quisiera mantener los datos del asegurado para destinarlos a otra finalidad y, en particular, para utilizarlos en la celebración de un nuevo contrato con otra compañía aseguradora, debería primero informar al interesado sobre el producto de aseguramiento y luego recabar su consentimiento inequívoco.

Asimismo, ésta ha sido la postura adoptada por la Agencia Española de Protección de Datos en relación a tratamientos de datos personales realizados por las corredurías de seguros o reaseguros y que ha expresado tanto en sus informes jurídicos como en sus resoluciones sancionadoras.

01Ene/15

La protección de datos de carácter personal y su incidencia en la relación laboral

La protección de datos de carácter personal y su incidencia en la relación laboral

La implantación de las nuevas tecnologías de la información y de la comunicación en el ámbito del Derecho del Trabajo tiene diversas connotaciones e incidencias. El tratamiento de datos aparece tanto en aspectos de control de la actividad empresarial, así como en el proceso de selección e identificación de aspectos personales, como puede ser algunos relativos a la salud del trabajador. En la gestión de RRHH la utilización o tratamiento de datos es una realidad incuestionable, un aspecto más de la organización empresarial.

Concurren por tanto diversas perspectivas, siendo la primera la dificultad la de trasplantar el régimen jurídico propio del derecho de protección de datos a las peculiaridades de la relación laboral. La segunda, la dificultad de delimitar jurídicamente el ámbito del derecho fundamental a la protección de datos, frente a otro derecho reconocido también constitucionalmente dentro del ejercicio de las facultades y potestades empresariales, y por tanto las posibles colisiones que puede tener con los derechos fundamentales de los ciudadanos y por ende de los trabajadores dentro del seno de la empresa.

Download the PDF file .

Descargar

01Ene/14

Aplicación Práctica del Derecho de Acceso a los Datos Personales

Aplicación Práctica del Derecho de Acceso a los Datos Personales
(La Sentencia del TS de 26 de enero de 2010)

Dentro del abanico de los derechos de protección de datos, aparece concretamente el de acceso a los mismos, recogido en el artículo 15 de la LOPD y que nos viene a decir que el titular de los datos puede y debe ejercer su derecho de acceso ante el responsable del fichero. Puede conocer también si han sido actualizados o no o bien si se quiere rectificarlos, pero éstos ya son otros derechos contemplados en el articulado y que no son objeto ahora mismo de comentario.

La sentencia que estudiamos aquí es un recurso de casación que interpuso la representación procesal de la Universidad Nacional de Educación a Distancia (en adelante UNED) para desestimar la sentencia recurrida de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional cuya cuestión controvertida no es mas que el derecho de acceso a los datos personales que parece ser ha sido infringido por una de las partes.

Por tanto, conocemos que se trata de un recurso de casación interpuesto como bien se sabe ante el Tribunal Supremo, cuyas partes legitimadas son por un lado: la representación procesal de la UNED como recurrente y la parte recurrida, el Abogado del Estado.

En lo concerniente a la disputa interpretativa ,el origen de la controversia se encuentra en la reclamación que hizo en 2004 un particular (el solicitante) ante la Agencia Española de Protección de Datos (en adelante la AEPD) pidiendo una reclamación de responsabilidad patrimonial de la Administración por daños que se derivaban de la comunicación no consentida de datos personales a terceros y por otro lado la solicitud de acceso a los datos personales.

También se alega por parte del particular la elección de medios de acceso que según él es para el propio solicitante. Creo que ésta es la parte mas relevante de la sentencia pues nos preguntamos si es cierto que ha habido violación del artículo 15 de la LOPD en lo que a medios de acceso se refiere o si la parte recurrente en casación concede este derecho de acceso.

Precisamente situándonos desde la perspectiva de la UNED,son 3 los motivos que se presentan en el recurso:el primero de ellos,basándonos en el artículo 88.3 de la LJCA,por el que el recurrente creyó que la sentencia recurrida de la AN debió mencionar que en la web de la UNED se daba la posibilidad al alumnado de acceder a sus datos personales mediante una clave que la universidad da a acada uno de ellos.Como veremos posteriormente este motivo no es admitido por el alto tribunal.

El segundo de los motivos es en base al artículo 88.1 d de la LJCA por el que la recurrente considera que se trata de una reclamación de responsabilidad patrimonial de la Administración en consecuencia infracción del artículo 70 de la LRJ-PAC y no estamos ante una solicitud de acceso a los datos personales.

El tercero y último de los motivos de los que se compone este recurso de casación es al hilo también del mismo artículo 88.1 d de la LJCA por el que se considera infracción del artículo 15 de la LOPD, pues el solicitante no tiene facultad de elegir el medio de acceso a sus datos personales.

Entrando ya en el núcleo del comentario, vemos y analizamos cómo el Tribunal Supremo señala el motivo segundo como el mas importante, el primero es descartado por completo y no lo admite. La propia sentencia señala en su fundamento de derecho tercero:“el motivo primero no puede ser admitido ,pues está incorrectamente formulado. El apartado tercero del artículo 88 de la LJCA en que se basa, no configura uno de los tipos de motivos tasados en que puede fundarse el recurso de casación….”.También señala que:” es incorrecto que la recurrente aduzca como un motivo de casación autónomo la circunstancia de que la sentencia impugnada no haga referencia expresa a que todo alumno de la UNED tiene posibilidad de acceso permanente a sus datos personales por vía informática”.

         Todavía en este primer motivo ,a mi modo de ver, parece que la AEPD va a darle la razón a la recurrente pero termina diciendo que no se puede exonerar de responsabilidad a ésta debido a que no se le ha dado la posibilidad al solicitante de elegir por qué medios va a acceder a sus datos personales. Creo sin lugar a dudas que no existe infracción del derecho de acceso a los datos, pues es la UNED la que permite mediante las claves personales a las que he hecho mención anteriormente, el tener conocimiento de toda la información que sobre el alumno hay en la web de la universidad y que por supuesto como bien menciona la sentencia es de mala fé:“reprochar a otro no haber hecho algo que en realidad, ya ha hecho”. Parece ser que la UNED según la propia AEPD tenía que haberle dicho al solicitante qué medios quería para acceder a los datos.

       El segundo de los motivos es el que me parece mas importante, no solo por el hecho de que es admitido por el TS, sino porque aquí se presenta el debate de sí es posible en un solo escrito ,venir recogido dos o mas solicitudes diversas. Ciertamente, el alto tribunal considera que:“la recurrente no tiene razón en sostener que el escrito de x de 9 de Febrero de 2004 no era solicitud de acceso a sus datos personales, sino solo una reclamación de responsabilidad patrimonial de la Administración”.

       Estamos de acuerdo con la decisión que da el Tribunal Supremo  en lo atinente a que aun dando como válido la propia solicitud de acceso a los datos personales de por sí resultaba justificada, pues ya se daba la posibilidad al alumno de acceder a éstos. Es mas, es la propia AEPD en su escrito de 2004 la que no explica concretamente que medio de acceso quería el solicitante. Basta tan solo con la posibilidad real de acceso como para descargar de responsabilidad a la propia UNED. El fundamento cuarto así lo aclara:“no se trata solo de que el solicitante dispusiera de la posibilidad permanente de acceso a sus datos personales por vía informática, sino que en su escrito de 9 de Febrero de 2004 no especificó mediante qué concreto medio de acceso quería que su derecho fuese satisfecho; y en estas circunstancias, afirmar que se le denegó el acceso en el plazo legalmente previsto resulta sencillamente una abusiva deformación de la realidad”.

El tercer motivo del recurso de casación no se analiza ;se deriva de lo anteriormente comentado: que el solicitante disponía de los medios de acceso.

Finalmente, el fallo de la sentencia es la anulación de la resolución de la AEPD y también de la sentencia de la AN, sin imposición de costas.

     Pedro Jesús Macías Torres

                            Sevilla-Febrero 2.010.

01Ene/14

Requerimientos de copias de seguridad de ficheros que contengan datos personales

Requerimientos de copias de seguridad de ficheros que contengan datos personales

Los requerimientos de copias de seguridad que exige la normativa sobre Protección de Datos se encuentran contenidos en los siguientes artículos del Reglamento:

“Nivel básico”

“Artículo 14. Copias de respaldo y recuperación.

1. El responsable de fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

2. Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberá garantizar su reconstrucción en el estado en el que se encontraban al tiempo de producirse la pérdida o destrucción.

3. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos”

“Nivel alto”

Artículo 24. Registro de accesos.

1. De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

3. Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos.

4. El período mínimo de conservación de los datos registrados será de dos años.

5. El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.

Artículo 25. Copias de respaldo y recuperación.

Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento.”

En la práctica, lo que el reglamento exige es una clara política de copias de seguridad para el entorno profesional, que imposibilite un accidente en relación a la posible desaparición de ficheros que contengan datos personales. Para el nivel básico de datos, se establece que “deberán realizarse copias de respaldo al menos semanalmente” de los datos, salvo que “no se haya producido ninguna modificación” de los mismos. Esto implica que no basta con tener los datos en soportes magnéticos, como el disco duro del ordenador, sino que hace necesario el establecimiento de soluciones hardware o software que hagan que dichos datos se encuentren en otro lugar distinto al principal (lugar no en el sentido geográfico de la palabra: sino que exista, simplemente, otra copia de los datos que no solo sea, por ejemplo, el ordenador de la oficina). Y, como ya hemos visto, dicha copia debe de hacerse como mínimo semanalmente. Para el nivel alto de datos, se establece un periodo mínimo de conservación de los registros de acceso a datos de dos años, además de la obligación para el Responsable de Seguridad de la revisión de dichos accesos al menos una vez al mes y que las copias de seguridad de los datos han de descansar en un lugar -ahora sí- geográfico distinto al principal. Para la correcta conservación de los registros de accesos, se requerirá, igualmente, unas adecuadas medidas de copias de seguridad donde éstas se puedan conservar. En el documento de seguridad correspondiente se deberán describir los procedimientos de copias de seguridad que se establezcan. Recomendamos que sea el administrador o el Responsable de Seguridad -si lo hubiere, sino, obligatoriamente, el Responsable del Fichero- la persona que describa dichos procedimientos. A continuación, detallamos algunas soluciones informáticas a nivel de hardware que nos ofrece el mercado. Para implementar esta medida, es interesante la consulta al profesional de su negocio que tenga un perfil de conocimientos técnicos-informáticos mas altos (administrador de la red, por citar un ejemplo).

Sistemas de copias de seguridad

La publicación “Pc-actual”, realizó hace unos meses un estudio sobre los distintos medios hardware para copias de seguridad existentes. Destacaba lo siguiente:

Unidades CD-RW

Son la mejor opción a la hora de copiar archivos personales y en aquellos entornos profesionales donde se necesite grabar poca información y con una frecuencia no demasiado alta. Las principales ventajas con las que cuentan es que se trata de soluciones económicas, con un soporte de grabación igualmente barato, no requieren unos conocimientos informáticos elevados para su utilización y pueden ser recuperadas desde casi cualquier pc. Por el contrario, lo que puede echar para atrás es la limitación en su capacidad (650 o 700 MB), una velocidad de grabación inferior a otras unidades y una menor flexibilidad, sobre todo en el caso de que nos decidamos por discos cd-r, que sólo podremos grabar una vez. Con tales características, pensamos que es la mejor opción por lo económico tanto del soporte como de los consumibles. Además, han aparecido nuevos cds con hasta 900 MB de capacidad.

Unidades ZIP

Su baza es que resultan cómodos, ya que se manejan de la misma forma que un disco duro, y su velocidad es bastante adecuada. No obstante, debido a los años que ya llevan en el mercado, se las considera algo desfasadas. Su última revisión permitió que alcanzaran los 250 MB de capacidad máxima, una cifra que puede ser insuficiente para los usuarios más exigentes. Otro punto en contra hay que buscarlo en el precio de sus consumibles, es decir, los discos de tecnología magnética sobre los que se almacenan los datos. Uno viene a costar alrededor de 16 euros, lo que arroja un precio por megabyte muy superior al que nos puede dar un disco cd-rw, que ronda los 3 euros con una capacidad de 700 MB.

Unidades Magnético Ópticas

Estamos ante la alternativa preferida por aquellos profesionales que deban hacer copias de seguridad de su estación de trabajo, ya que su capacidad de almacenamiento es muy elevada y su fiabilidad y velocidad de lectura son excelentes. En un disco de tamaño similar a los disquetes de 3,5 pulgadas pueden guardar hasta 2.3 GB. Igualmente, hay que valorar que, al tratarse de un sistema magneto-óptico, el soporte no está expuesto al desgaste propio del uso continuado, al margen que su coste por megabyte se reduce al rondar su precio los 15 euros por disco. No obstante, la desventaja está en su precio, ya que, dependiendo de si se trata de una unidad interna, externa, Usb, SCSI, Ide o Firewire, deberemos desembolsarnos entre 240 y 480 euros

Otras Alternaticas

Aunque son los soportes de almacenamientos más populares, no son, ni mucho menos, los únicos. El grupo se completaría con las unidades de cinta desarrolladas para grandes entornos profesionales, pero también con nuevos productos como el Peerless, el Jaz de Iomega, o el LS-120. todos ellos atienden a los distintos perfiles de usuario a los que se dirigen, ya sea por precio, por capacidad o por prestaciones, y comparten un mismo problema: su escasa estandarización o la falta de una gran base instalada. Así, nos resultarán realmente útiles para nuestro propio uso, pero difíciles de compartir con otra persona, además de que sus consumi9bles no son sencillos de conseguir en el mercado. Como alternativa a estos sistemas, últimamente ha aparecido una nueva unidad de almacenamiento removible: las memorias flash usb. Estas memorias con forma de llavero, cuentan con capacidades de entre 16 y 512 MB, y son compatibles con plataformas windows y mac.

En cuanto a soluciones software, recomendamos la visita a http://www.kriptopolis.com, donde en la sección “descargas” podremos encontrar dichas soluciones para las copias de seguridad de los ficheros que contengan datos personales. Y es que si no tenemos buenos programas que acompañen a las soluciones hardware antes mentadas, tendremos una solución que no podremos utilizar debidamente.

 

01Ene/14

Cargos de los ficheros de datos personales

Cargos de los ficheros de datos personales

Hasta 3 tipos de cargos relacionados con los ficheros de datos personales se pueden distinguir en la Ley y el Reglamento:

Responsable del fichero

En todos los niveles de seguridad. El principal encargado, sujeto a la normativa sancionadora. Deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal en los términos establecidos en el Reglamento. Autoriza la ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero. Elaborará el Documento de Seguridad. Adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias a que daría lugar su incumplimiento. Se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al Sistema de Información. Establecerá los procedimientos de identificación y autenticación para dicho acceso. Establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. Será quien únicamente pueda autorizar la salida fuera de los locales en que esté ubicado el fichero de soportes informáticos que contengan datos de carácter personal. Verificará la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de datos. Designará uno o varios responsables de seguridad. Adoptará las medidas correctas necesarias en función de lo que se diga en el informe de auditoría. Establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al Sistema de Información y la verificación de que esté autorizado. Autorizará por escrito la ejecución de los procedimientos de recuperación.

Encargado del Tratamiento

Se conecta con la figura del tercero que accede a los datos. Igualmente, sujeto a la normativa sancionadora. En todos los niveles de seguridad. Debe cumplir con las Medidas de Seguridad pertinentes, a tenor de tipo de dato al que acceda.

Responsable de Seguridad

Coordina todas las acciones de seguridad. Nombrado por el Responsable de Seguridad, pueden ser la misma persona y sólo es obligatorio para los niveles medio y alto. No está sujeto a la normativa de responsabilidad sancionadora de la Ley. Pueden ser uno o varios. Coordinará y controlará las medidas definidas en el Documento de Seguridad. No tiene delegada la responsabilidad que le corresponde al responsable del fichero. Analizará los informes de auditoría. Elevará las conclusiones del análisis al responsable del fichero. Controlará los mecanismos que permiten el registro de accesos. Revisará periódicamente la información de control registrada

Cada uno de ellos deberá estar perfectamente identificado en los documentos de seguridad. Todos están obligados por Ley (artículo 10) al secreto profesional de los datos. La vulneración del deber de secreto constituye infracción leve, grave o muy grave a tenor de la naturaleza de los datos almacenados que, en función de su mayor o menor relación con las exigencias de privacidad, requieren Medidas de Seguridad distintas.

17Abr/13

Iniciativa 01367-2013-PLO-SE Ley Orgánica sobre Protección de Datos de Carácter Personal

 

Proyecto de Ley Orgánica sobre Protección de Datos de Carácter Personal

Exposición de Motivos

La amplia gama de derechos protegidos que contempla nuestra Constitución, la convierte en uno de los instrumentos más garantistas que ha regido la nación dominicana. Ella comprende inclusive aquellos derechos fundamentales de tercera generación que hoy día significan una protección a los derechos colectivos que antes no existía.

Dentro del ámbito de esta protección de derechos individuales se encuentra el mandato constitucional de legislar sobre el derecho a la intimidad y al honor personal contenido en el artículo 44. Pero este derecho posee la peculiaridad de desdoblarse en varios ámbitos de aplicación que ameritan por igual una protección efectiva.

Uno de esos ámbitos lo es la protección contenida en el numeral 2 de tan importante artículo y que refiere al derecho de toda persona de acceder a la información y datos que de ella o sus bienes existan en cualquier registro, sea oficial o privado; conocer el destino y uso que se haga de ellos y la posibilidad de exigir judicialmente la actualización, oposición al tratamiento, rectificación o destrucción de aquellas informaciones que afecten sus

derechos. En definitiva, se trata sobre la protección de datos de carácter personal.

La protección de datos de carácter personal surge de la necesidad de adecuar los marcos normativos a la realidad de la sociedad actual: la sociedad de la información. Así lo establece la jurista dominicana, Rosalía Sosa: “el derecho a la protección de los datos personales de las personas se contrapone a la erosión y degradación que afectan a los derechos fundamentales ante determinados usos de la tecnología.”

Es por ello que la propia Constitución establece cuales son los principios que deben regir en cuanto al manejo de este tipo de datos, a saber: calidad, licitud, lealtad, seguridad y finalidad. Todo ello para proteger este ámbito de la intimidad que hoy día se encuentra vulnerable ante los masivos flujos de información que están al alcance de todos.

El principio de calidad implica que los datos de carácter personal que sean almacenados deben ser exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado; la licitud establece que los datos no pueden tener finalidades contrarias a las leyes y/o al orden público; por su parte, el principio de lealtad impone la prohibición de recoger los datos por medios fraudulentos o desleales; el principio de seguridad impone a los responsables de almacenar este tipo de datos, adoptar e implementar las medidas de índole técnica, organizativa y de seguridad necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento, consulta o acceso no autorizado; por último, el principio de finalidad implica que el tratamiento de este tipo de datos sólo se haga cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para los que se hayan obtenido.

Respondiendo a esta realidad y al mandato Constitucional hemos desarrollado la presente propuesta de Ley Orgánica sobre Protección de Datos de Carácter Personal.

Este proyecto ha sido elaborado siguiendo, en primer término, los parámetros constitucionales, y en segundo lugar, los lineamientos de otras legislaciones similares que colocarán a la República Dominicana a la par con países como Chile y España que ya cuentan con este tipo de normativa de avanzada.

De esta forma, el objeto del proyecto es garantizar la protección de los datos de carácter personal asentados en archivos, bancos de datos o cualquier otro medio de almacenamiento que sean objeto de tratamiento por parte de terceros, sean estos archivos de carácter público o privado, para que no sean objeto de un uso indiscriminado ni contrario a los principios establecidos por la Constitución dominicana.

De igual modo, se establece la tutela de los derechos de las personas titulares de la información y los medios con que cuentan para reclamar su respeto, tomando en cuenta el procedimiento de hábeas data ya establecido en la Ley Orgánica 137-11 del Tribunal Constitucional y de los Procedimientos Constitucionales.

Se crea, igualmente, la Agencia Dominicana de Protección de Datos con la finalidad de velar por el cumplimiento de esta normativa y regular y vigilar el manejo de datos de carácter personal dentro del ámbito nacional.

También se establece un sistema de sanciones administrativas para aquellas personas o entidades que incurran en infracciones y vulneren los derechos de los titulares de la información.

El proyecto como ya hemos dicho representa un avance hacia el Estado Social y Democrático de Derecho que establece nuestra Constitución en donde la protección del Estado debe llegar a todos los ámbitos de la vida de los ciudadanos, no en pro de un sistema intervencionista sino en pro de un sistema garantista.

 

Félix Bautista

, Senador Provincia San Juan

LEY ORGANICA SOBRE PROTECCION DE DATOS DE CARÁCTER PERSONAL

 

EL CONGRESO NACIONAL

 

En Nombre de la República

 

CONSIDERANDO PRIMERO: Que el derecho a la intimidad y al honor personal es un derecho fundamental establecido en la Constitución

de la República y reconocido por todas las convenciones y tratados internacionales sobre derechos humanos;

 

CONSIDERANDO SEGUNDO: Que la intimidad comprende el ámbito privado de la vida de una persona vedado para todas las demás que le rodean así como la información, datos y situaciones que en ese ámbito se genere, la cual

debe gozar igualmente de la protección adecuada ante a la injerencia de terceros no autorizados;

 

CONSIDERANDO TERCERO: Que toda persona tiene, el derecho de decidir sobre la utilización de los datos que sobre ella y sus bienes existan pudiendo acceder a los mismos de manera libre y demandar la actualización, rectificación o destrucción de tales datos cuando no sean acordes a la realidad o resultes lesivos para sus derechos;

 

CONSIDERANDO CUARTO: Que la Constitución de la República establece en su artículo 44.2 establece que “toda persona tiene el derecho a acceder a la información y a los datos que sobre ella o sus bienes reposen en los registros oficiales o privados, así como conocer el destino y el uso que se haga de los mismos, con las limitaciones fijadas por la ley. El tratamiento de los datos e informaciones personales o sus bienes deberá hacerse respetando los principios de calidad, licitud, lealtad, seguridad y finalidad. Podrá solicitar ante la autoridad judicial competente la actualización, oposición al tratamiento, rectificación o destrucción de aquellas informaciones que afecten ilegítimamente sus derechos”;

 

VISTOS:

La Constitución de la República;

La Declaración Universal de Derechos Humanos, del 10 de diciembre del año 1948;

El Pacto Internacional de Derechos Civiles y Políticos, del 23 de marzo del año 1976, ratificado por República Dominicana mediante Resolución 684, de fecha 27 de octubre de 1977;

La Convención Interamericana de Derechos Humanos, del 22 de noviembre del año 1969, ratificada por República Dominicana mediante Resolución nº 739 del 25 de diciembre del año 1977;

Ley 8-92 que pone bajo la dependencia de la Junta Central Electoral, la Dirección General de la Cédula de Identificación Personal y las Oficinas y Agencias Expedidoras de Cédulas, la Oficina Central del Estado Civil y las Oficialías del Estado Civil, del 18 de marzo del año 1992;

Ley 275-97 Electoral del 21 de diciembre del año 1997;

Ley 19-01 que crea el defensor del Pueblo, del 1 de febrero del año 2001;

Ley 42-01 General de Salud, del 8 de marzo del año 2001;

Ley 76-02 que estable el Código Procesal Penal de la República Dominicana, del 19 de julio del año 2002;

Ley 136-03 que crea el Código para el Sistema de Protección y los derechos Fundamentales de Niños, Niñas y Adolescentes, del 7 de agosto del año 2003;

Ley 200-04 General de Libre Acceso a la Información Pública, del 28 de julio del año 2004;

Ley 288-05 que crea las Sociedades de Intermediación Crediticia y de Protección al Titular de la Información, del 18 de agosto del año 2005;

Ley 176-07 del Distrito Nacional y los Municipios, del 12 de julio del año 2007;

Ley 481-08 General de Archivos de la República Dominicana, del 25 de noviembre del año 2008;

Ley 137-11 Orgánica del Tribunal Constitucional y los Procedimientos Constitucionales, del 9 de marzo del año 2011.

 

Ha dado la siguiente ley:

 

CAPÍTULO I.- DISPOSICIONES INICIALES

 

Sección I.- Del Objeto, Alcance, Ámbito de Aplicación, Restricciones y Principios

 

Artículo 1. Objeto.

La presente ley tiene por objeto garantizar y proteger el tratamiento y a toda modalidad de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos registrados en cualquier soporte conocido o por conocer sean de titularidad privada o pública.

 

Artículo 2. Alcance.

La presente ley es de aplicación a los datos de carácter personal registrados en cualquier soporte que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos en los ámbitos público y privado dentro del territorio dominicano.

 

Artículo 3. Ámbito de Aplicación.

Esta ley rige todo tratamiento de datos de carácter personal:

1) Cuando el tratamiento sea efectuado en territorio dominicano en el marco de las actividades de un establecimiento del responsable del tratamiento.

2) Cuando al responsable del tratamiento no establecido en territorio dominicano, le sea de aplicación la legislación dominicana en aplicación de normas de Derecho Internacional Público.

3) Cuando el responsable del tratamiento de datos o el usuario de los mismos no esté establecido en territorio dominicano y utilice en el tratamiento de datos por medios situados en territorio dominicano.

4) Los archivos de datos personales regulados por la legislación de régimen electoral.

5) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación dominicana sobre la función estadística pública.

6) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación del personal de las Fuerzas Armadas.

7) Los derivados del Registro Civil y del Sistema de Información Criminal de la Procuraduría General de la república.

8) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia, asimismo como las empresas de vigilancia y seguridad privada de conformidad con la legislación sobre la materia. No obstante el responsable de los archivos de datos personales comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia Dominicana de Protección de Datos.

 

Artículo 4. Restricciones.

El régimen de protección de los datos de carácter personal que se establece en la presente ley no será de aplicación:

1) A los archivos de datos personales mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

2) A los archivos de datos personales sometidos a la normativa sobre protección de materias clasificadas.

3) A los archivos de datos personales establecidos para la investigación de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del archivo de datos personales comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia Dominicana de Protección de Datos.

4) A los archivos de datos personales referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los archivos de datos personales o tratamientos que contengan datos de éste con la finalidad de notificar el fallecimiento, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos.

5) A los tratamientos de datos referidos a personas jurídicas, ni a los archivos de datos personales que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.

 

Artículo 5. Principios.

Los principios que fundamentan la presente ley son:

1) Licitud de los Archivos de Datos Personales. Los archivos de datos personales no pueden tener finalidades contrarias a las leyes y/o al orden público, siendo debidamente registrados y apegados a los principios establecidos en esta ley y los reglamentos que se dicten en desarrollo de la misma.

2) Calidad de los Datos. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado y sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

3) Derecho de Información. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco, de la existencia y finalidad del

archivo de datos personales; de la finalidad de la recogida de los datos y del tratamiento, así como de los destinatarios de la información; del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas; de las consecuencias de la obtención de los datos, de la negativa a suministrarlos o de la inexactitud de los mismos; de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; y de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

4) Consentimiento del Afectado. El tratamiento de los datos de carácter personal requerirá el consentimiento libre, informado e inequívoco del afectado, salvo que la ley disponga otra cosa. El consentimiento deberá constar, ya por escrito, ya por otro medio que permita evidenciar el mismo, de acuerdo a las circunstancias y el canal de comunicación y podrá ser revocado cuando exista causa justificada para ello.

5) Seguridad de los Datos. El responsable del archivo de datos personales, y en su caso, el encargado del tratamiento, deberán adoptar e implementar las medidas de índole técnica, organizativa y de seguridad necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento, consulta o acceso no autorizado.

6) Deber de Secreto. El responsable del archivo de datos personales y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del archivo de datos personales o, en su caso, con el responsable del mismo, salvo que sea relevado del deber de secreto por resolución judicial y cuando medien razones fundadas relativas a la seguridad pública, la defensa

nacional o la salud pública.

7) Lealtad. Se impone la prohibición de recoger los datos por medios fraudulentos, desleales o ilícitos.

8) Finalidad de los datos. Los datos sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para los que se hayan obtenido.

 

Sección II

.- Definiciones

 

Artículo 6. Definiciones.

A los efectos de la presente ley y su aplicación, se asumen los siguientes conceptos:

1) Afectado o Interesado: Persona física titular de los datos que sean objeto del tratamiento, con independencia de su domicilio legal o país de residencia.

2) Archivo de Datos Personales: Conjunto organizado de datos de carácter personal, que sean objeto de tratamiento o procesamiento, automatizado o no, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Los mismos podrán ser de titularidad privada o de titularidad pública.

3) Archivos de Datos de Titularidad Privada: Son aquellos archivos de datos personales de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los archivos de los que sean responsables las corporaciones de derecho público, en cuanto dichos archivos no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica.

4) Archivos de Datos de Titularidad Pública: Son aquellos archivos de datos personales de los que sean responsables los órganos de la administración pública, así como las entidades u organismos vinculados o dependientes de la misma y las entidades autónomas y descentralizadas del Estado siempre que su finalidad sea el ejercicio de potestades de derecho público.

5) Cancelación: Procedimiento en virtud del cual el responsable del tratamiento cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de la administración pública, jueces y tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.

6) Cesión o Comunicación de Datos: Tratamiento de datos que supone su revelación a una persona distinta del afectado o interesado.

7) Consentimiento del Interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consiente el tratamiento de datos personales que le conciernen.

8) Datos Especialmente Protegidos: Datos de carácter personal que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

9) Datos de Carácter Personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

10) Datos de Carácter Personal Relacionados con la Salud: Cualquier información concerniente a la salud pasada, presente y futura, física o mental, de un individuo.

11) Destinatario o Cesionario: Persona física o jurídica, pública o privada u órgano administrativo, al que se revelen los datos. Podrán ser también destinatarios los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

12) Encargado del Tratamiento: La persona física o jurídica, privada o pública, que realice el tratamiento de los datos personales por cuenta del responsable del tratamiento.

13) Exportador de Datos Personales: Persona física o jurídica, pública o privada, u órgano administrativo situado en territorio dominicano que realice, conforme a lo dispuesto en esta Ley, una transferencia de datos de carácter personal a un país tercero.

14) Fuentes Accesibles al Público: Aquellos archivos de datos personales cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.

15) Importador de Datos Personales: Persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero.

16) Persona Identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social.

17) Procedimiento de Disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

18) Responsable del Tratamiento: Toda persona, privada o pública, titular del archivo de datos personales que decide la finalidad, el contenido, los medios del tratamiento y el uso de la información obtenida con el tratamiento de los datos personales.

19) Tercero: Persona física o jurídica, pública o privada u órgano administrativo distinto del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento. Podrán ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

20) Transferencia Internacional de Datos: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio de la República Dominicana, sin importar el soporte, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del archivo de datos personales establecido en territorio dominicano.

21) Tratamiento de Datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, registro, extracción, grabación, ordenación, conservación, elaboración, almacenamiento, modificación, vinculación, evaluación, consulta, utilización, bloqueo, cancelación o supresión y, en general el procesamiento de datos, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

22) Salario Mínimo: será el salario mínimo nacional más bajo percibido por los trabajadores del sector privado no sectorizado de empresas industriales, comerciales y de servicios, fijado por el Comité Nacional de Salarios del Ministerio de Estado de Trabajo de la República Dominicana.

 

CAPÍTULO II

.- DISPOSICIONES GENERALES

 

Sección I.- De los Derechos de las Personas y su Ejercicio

 

Artículo 7. Impugnación de Valoraciones.

Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad. El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.

Párrafo I. En caso de que suceda, el afectado tendrá derecho a obtener información del responsable del archivo de datos personales sobre el programa y los criterios de valoración utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto.

Párrafo II. La valoración sobre el comportamiento de los ciudadanos basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado.

 

Artículo 8. Nulidad.

Los actos que resulten contrarios a lo dispuesto en el artículo precedente serán nulos de pleno derecho.

 

Artículo 9. Derecho de consulta al Registro General de Protección de Datos.

Cualquier persona puede conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal sobre su persona, sus finalidades y la identidad del responsable del tratamiento. El Registro General es de consulta pública y gratuita.

 

Artículo 10. Condiciones generales para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

Los derechos de acceso, rectificación, cancelación y oposición son personales y son ejercidos por el afectado, acreditando su identidad, del modo previsto en el artículo siguiente.

Párrafo I. Cuando el afectado se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de estos derechos, pueden ser ejercidos por su representante legal, en cuyo caso es necesario que acredite tal condición mediante la aportación de copia de su Cedula de Identidad y Electoral o pasaporte en caso de extranjeros, y la representación conferida por aquél.

Párrafo II. Cuando el responsable del archivo de datos personales sea un órgano de la administración pública o de la administración de justicia, puedeacreditarse la representación por cualquier medio válido en derecho que deje constancia fidedigna, o mediante declaración en comparecencia personal del interesado.

 

Artículo 11. Independencia de los derechos de acceso, rectificación, cancelación y oposición.

Los derechos de acceso, rectificación, cancelación y oposición son derechos independientes. No puede entenderse que el ejercicio de ninguno de ellos sea requisito previo para el ejercicio de otro.

 

Articulo 12. Derecho de Acceso.

El interesado tiene derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal, obrantes tanto en los archivos de datos personales públicos, como privados, sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.

Párrafo. El derecho de acceso a que se refiere este artículo sólo puede ser ejercido a intervalos no inferiores a tres (3) meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá ejercerlo antes.

 

Artículo 13. Procedimientos de acceso.

La información mencionada en el artículo anterior puede obtenerse mediante los siguientes procedimientos a elección del Interesado:

1) La consulta de los datos por medio de su visualización; o,

2) La indicación de los Datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, por medios electrónicos, telefónicos, de imagen u otro idóneo a tal fin, en forma legible o inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.

Párrafo. La información debe ser suministrada en forma clara, amplia y versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales; exentos de codificaciones y en su caso acompañado de una explicación; en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen. En ningún caso el informe podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado.

 

Artículo 14. Plazo.

El responsable del tratamiento tiene la obligación de hacer efectivo el derecho de acceso del Interesado en un plazo máximo de diez (10) días laborables a contar desde la recepción de la solicitud de acceso del Interesado. Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe, éste se estimara insuficiente, quedará expedita la acción para recabar la tutela de la Agencia Dominicana de Protección de Datos, sin perjuicio de cualquier otra acción que le pueda corresponder.

 

Artículo 15. Derechos de rectificación y cancelación.

Los Interesados tienen derecho a que sean rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos, debiendo en tal caso ser cancelados y sustituidos de oficio por el responsable del archivo de datos personales, por los correspondientes datos rectificados o completados, sin perjuicio de las facultades reconocidas a los afectados.

Párrafo. Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable del archivo de datos debe bloquear el archivo o consignar al proveer información relativa al mismo la circunstancia de que se encuentra sometida a revisión.

 

Artículo 16. Cancelación.

Los datos de carácter personal deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

Párrafo I. Reglamentariamente se determina el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.

Párrafo II. No pueden ser conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

 

Artículo 17. Bloqueo de datos.

La cancelación da lugar al bloqueo de los datos, conservándose únicamente a disposición de los Poderes del Estado, de la Administración Pública, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión. En todo caso, la supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos.

 

Artículo 18. Notificación de rectificación o cancelación.

Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento debe notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que debe también proceder a la rectificación y cancelación siendo en todo caso el responsable del tratamiento responsable ante la Agencia Dominicana de Protección de Datos y los interesados en caso de que el cesionario no cancele dichos datos de carácter personal, sin perjuicio de las responsabilidades que el responsable del tratamiento pueda repetir en tal cesionario, en su caso.

 

Artículo 19. Plazo.

El responsable del tratamiento tiene la obligación de hacer efectivo el derecho de rectificación o cancelación del Interesado en el plazo de diez (10) días laborables a contar desde la recepción de la solicitud de rectificación y/o cancelación del Interesado.

 

Artículo 20. Cancelación.

La cancelación por el Interesado de sus datos de carácter personal no será de aplicación respecto del tratamiento de dichos por el responsable del tratamiento a los exclusivos efectos de ejercer aquellas acciones que en derecho procediesen frente al Interesado o, en su caso, de defenderse ante las acciones ejercitadas por el Interesado. Dichos datos de carácter personal no pueden ser tratados por el responsable del tratamiento más que con la finalidad aquí señalada, siendo eficaz la cancelación respecto a cualquier tratamiento distinto del aquí expresamente mencionado.

Párrafo. El incumplimiento de esta obligación dentro del término referido en este artículo, habilitará al interesado para recabar la tutela de la Agencia Dominicana de Protección de Datos, sin perjuicio de cualquier otra acción que le pueda corresponder.

 

Artículo 21. Derecho de oposición.

El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos:

1) Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario.

2) Cuando se trate de archivos de datos personales que tengan por finalidad la realización de actividades de publicidad y prospección comercial, en los términos previstos en esta Ley, cualquiera que sea la empresa responsable de su creación.

3) Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal destinado a evaluar determinados aspectos de su personalidad, tales como su rendimiento laboral, crédito, fiabilidad o conducta, salvo que esté previsto en una Ley, o resulte del marco de la celebración o ejecución de un contrato a petición del interesado, siempre que se le otorgue la posibilidad de alegar lo que estimara pertinente, a fin de defender su derecho o interés.

En tales supuestos, el responsable del archivo de datos personales debe excluir del tratamiento los datos relativos al afectado.

 

Artículo 22. Ejercicio.

El derecho de oposición se ejerce mediante solicitud dirigida al responsable del tratamiento y el responsable del archivo de datos personales o tratamiento debe excluir del tratamiento los datos relativos al afectado que ejerza su derecho de oposición o denegar motivadamente la solicitud del interesado.

Párrafo. Cuando la oposición se realice con base en el numeral 1 del artículo anterior, en la solicitud deben hacerse constar los motivos fundados y legítimos, relativos a una concreta situación personal del afectado, que justifican el ejercicio de este derecho.

 

Artículo 23. Procedimiento de oposición, acceso, rectificación o cancelación.

Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de rectificación y cancelación serán claramente establecidos y ampliados reglamentariamente.

Párrafo. La oposición, acceso, rectificación, actualización o cancelación de datos personales inexactos o incompletos que obren en registros públicos o privados debe efectuarse sin cargo alguno para el interesado.

 

Artículo 24. Tutela de los derechos.

Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los interesados ante la Agencia Dominicana de Protección de Datos, en la forma que reglamentariamente se determine.

Párrafo. El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, acceso, rectificación o cancelación, puede ponerlo en conocimiento de la Agencia Dominicana de Protección de Datos la cual debe asegurarse de la procedencia o improcedencia de la denegación.

 

Artículo 25. Plazo.

El plazo máximo en que debe dictarse la resolución expresa de tutela de derechos será de tres meses.

Párrafo. Contra las resoluciones de la Agencia Dominicana de Protección de Datos procederá recurso ante el Tribunal Contencioso Tributario y Administrativo.

 

Artículo 26. Derecho a indemnización.

Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tienen derecho a ser indemnizados.

Párrafo I. Cuando se trate de archivos de datos personales de titularidad pública, la responsabilidad se exigirá de acuerdo con la ley 41-08 de Función Pública del dieciséis (16) de enero del año dos mil ocho (2008).

Párrafo II. En el caso de los archivos de datos personales de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.

 

Artículo 27. Acción de Hábeas Data.

Sin perjuicio de los mecanismos establecidos para el ejercicio de los derechos de los interesados, éstos podrán ejercer la acción judicial de Hábeas Data de conformidad con lo establecido en la legislación vigente al respecto.

 

Sección II.- Excepciones a los Derechos de los Afectados

 

Artículo 28. Excepciones a los derechos de acceso, rectificación cancelación y oposición.

Los responsables de los archivos de datos personales que contengan los datos sobre ficheros de las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia pueden denegar el acceso, la rectificación, cancelación u oposición en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.

Párrafo I. Los responsables de los archivos de datos personales de la Secretaria de Estado de Hacienda pueden, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras.

Párrafo II. El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos mencionados en el presente artículo puede ponerlo en conocimiento de la Agencia Dominicana de Protección de Datos, la cual debe asegurarse de la procedencia o improcedencia de la denegación.

 

Artículo 29. Excepciones al requerimiento de consentimiento.

No es preciso el consentimiento cuando los datos de carácter personal se recojan:

1) Para el ejercicio de las funciones propias de los poderes del Estado o de las Administraciones Públicas en el ámbito de sus competencias, o en virtud de una obligación legal.

2) Cuando se refieran a las partes de un contrato o precontrato de una relación comercial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.

3) Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 8 apartado 6 de la presente Ley.

4) Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del archivo de datos personales o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de archivos de datos personales de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley.

5) Cuando, en el caso de residentes en la República Dominicana, se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria, ocupación, fecha de nacimiento y domicilio.

Párrafo. Si el responsable del tratamiento solicita el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, debe permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos. En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.

 

Artículo 30. Otras excepciones a los derechos de los afectados.

Lo dispuesto en la presente Ley sobre Orgánica Protección de Datos de Carácter Personal a los interesados no será aplicable a la recogida de datos cuando la información al afectado impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de la Administración Pública o cuando afecte a la Defensa Nacional, a la seguridad pública o a la persecución de infracciones penales.

 

Sección III.- Comunicación de Datos

 

Artículo 31. Comunicación de datos.

Los datos de carácter personal objeto del tratamiento sólo pueden ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo.

Párrafo. Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley y de sus reglamentos de aplicación. El cesionario de los datos responderá solidaria y conjuntamente con el cedente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate.

 

Artículo 32. Consentimiento.

El consentimiento exigido en el artículo anterior no es preciso:

1) Cuando la cesión está autorizada en una Ley.

2) Cuando se trate de datos recogidos de fuentes accesibles al público.

3) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con archivos de datos personales de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

4) Cuando la comunicación que se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias, así como al de los Jueces o Tribunales u otros órganos de la Administración de Justicia en el ejercicio de las funciones.

5) Cuando la cesión se produzca entre entidades de la Administración Pública y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

6) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un archivo de datos personales o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre salud y, en este caso, se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados.

7) Se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables.

 

Artículo 33. Nulidad del Consentimiento.

Es nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.

Párrafo. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.

 

Artículo 34. Acceso a los datos por cuenta de terceros.

No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

 

Artículo 35. Contrato.

El tratamiento que realice el encargado por cuenta del responsable del tratamiento según lo previsto en el artículo anterior deberá constar en un contrato suscrito entre dicho encargado y el responsable, que cumpla con las siguientes características:

1) Esté formalizado por escrito y contenga las firmas de todas las partes o sus representantes autorizados;

2) Especifique de forma precisa las características de los servicios a realizar por el encargado del tratamiento, en particular, aquellos que se refieran al tratamiento de los datos de carácter personal por cuenta del responsable del tratamiento;

3) Establezca que el encargado del tratamiento sólo tratará los datos de carácter personal de acuerdo con las instrucciones del responsable del tratamiento contenidas en el contrato;

4) Reconozca la responsabilidad del responsable del tratamiento ante los interesados y la Agencia Dominicana de Protección de Datos;

5) Regule que, salvo en el caso que se prevé en la letra (h) de este apartado, el encargado del tratamiento no revelará ni divulgará los datos de carácter personal por ningún motivo distinto del cumplimiento de las instrucciones del responsable del tratamiento mencionadas en la letra (c) de este apartado;

6) Regule que el encargado del tratamiento no llevará a cabo ningún tipo de tratamiento de los datos de carácter personal que no se encuentre expresamente prevista en el contrato;

7) Regule las medidas de seguridad que deberá aplicar el encargado del tratamiento exigidas para el responsable del tratamiento de acuerdo con lo dispuesto en esta Ley; y

8) Prevea que en caso de que el encargado del tratamiento tenga que dar acceso a terceros subcontratistas a los datos de carácter personal, será preciso que dicho acceso se regule en un contrato que cumpla los requisitos previstos en este artículo; en ningún caso, permita realizar un tratamiento de los datos de carácter personal en condiciones menos restrictivas que las previstas en el contrato principal suscrito entre el responsable del tratamiento y el encargado del tratamiento; no otorgue a los subcontratistas mayores prerrogativas que las previstas en dicho contrato; deberá ser revisado y aprobado por el responsable del tratamiento de forma previa a su firma por el encargado del tratamiento.

Párrafo. Una vez cumplida la prestación contractual, los datos de carácter personal deben ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

 

Artículo 36. Responsabilidad.

En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

 

CAPÍTULO III.- DISPOSICIONES ORGANICAS

 

Sección I.- De la Agencia Dominicana de Protección de Datos

 

Artículo 37. Naturaleza.

La Agencia Dominicana de Protección de Datos es una institución autónoma y descentralizada con personalidad jurídica, autonomía administrativa, financiera y técnica, rectora de las políticas en materia de protección de datos de carácter personal, que actúa con independencia de la Administración Pública en el ejercicio de sus funciones.

Párrafo. La Agencia Dominicana de Protección de Datos está adscrita al Ministerio de la Presidencia, y bajo la vigilancia del ministro/a de la presidencia.

 

Artículo 38. Régimen jurídico.

La Agencia Dominicana de Protección de Datos se rige por lo dispuesto en la presente Ley, y en el ejercicio de sus funciones públicas, y en defecto de lo que disponga la presente Ley y sus reglamentos, actúa de conformidad con la ley 41-08 de Función Pública del dieciséis (16) de enero del año dos mil ocho (2008) y sus modificaciones. En sus adquisiciones patrimoniales y contratación estará sujeta a la ley 340-06 de Compras y Contrataciones de Bienes, Servicios, Obras y Concesiones del dieciocho (18) de agosto del año dos mil seis (2006), y sus modificaciones y reglamentos.

 

Artículo 39. Funciones.

Son funciones de la Agencia Dominicana de Protección de Datos:

1) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.

2) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.

3) Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones y resoluciones precisas para adecuar los tratamientos a los principios de la presente Ley.

4) Atender las peticiones y reclamaciones formuladas por las personas afectadas.

5) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal.

6) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los archivos de datos personales, cuando no se ajuste a sus disposiciones.

7) Ejercer la potestad sancionadora referida en la presente Ley.

8) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.

9) Recabar de los responsables de los archivos de datos personales cuanta ayuda e información estime necesaria para el desempeño de sus funciones.

10)Velar por la publicidad de la existencia de los archivos de datos personales, a cuyo efecto publicará periódicamente una relación de dichos archivos, con la información adicional que el Director de la Agencia determine.

11)Redactar y publicar una memoria anual.

12)Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.

13)Velar por el cumplimiento de las disposiciones que la Legislación Estadística Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los archivos de datos personales constituidos con fines exclusivamente estadísticos.

14)Cuantas otras le sean atribuidas por normas legales o reglamentarias.

Párrafo I. Las instrucciones y resoluciones de la Agencia Dominicana de Protección de Datos se harán públicas, una vez hayan sido notificadas a los interesados. La publicación se realizará preferentemente a través de medios informáticos o telemáticos. Reglamentariamente podrán establecerse los términos en que se lleve a cabo la publicidad de las citadas resoluciones.

Párrafo II. Lo establecido en los párrafos anteriores no será aplicable a las resoluciones referentes a la inscripción de un archivo de datos personales o su tratamiento en el Registro General de Protección de Datos, ni a aquéllas por las que se resuelva la inscripción en el mismo de los códigos tipo.

 

Artículo 40. Potestad de Inspección.

La Agencia Dominicana de Protección de Datos puede inspeccionar los archivos de datos personales a que hace referencia la presente Ley, recabando cuantas informaciones precise para el cumplimiento de sus cometidos. Puede solicitar la exhibición o el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde se hallen instalados.

Párrafo. Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior tienen la consideración de autoridad pública en el desempeño de sus cometidos, y estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.

 

Artículo 41. Director de la Agencia Dominicana de Protección de Datos.

El Director de la Agencia Dominicana de Protección de Datos dirige la Agencia y ostenta su representación. Es designado por el Presidente de la República por un período de cuatro años, ejerciendo sus funciones con plena independencia y objetividad, y no está sujeto a instrucción alguna en el desempeño de aquéllas.

Párrafo. El Director contará con la asistencia de un Consejo Consultivo.

 

Artículo 42. Cese de Funciones.

El Director de la Agencia Dominicana de Protección de Datos sólo cesará antes de la expiración del período a que se refiere el artículo anterior a petición propia, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por causa afectiva o infamante.

 

Artículo 43. Incompatibilidades.

El Director de la Agencia Dominicana de Protección de Datos no puede ejercer ningún otro cargo, exceptuando el magisterio, y está sujeto a las demás incompatibilidades fijadas por la ley 41-08 de Función Pública del dieciséis (16) de enero del año dos mil ocho (2008).

 

Artículo 44. Consejo Consultivo.

El Director de la Agencia Dominicana de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros:

1) Un representante de la Administración del Estado, designado por el Gobierno.

2) Dos expertos en la materia, propuesto por las Universidades del modo que se prevea reglamentariamente.

3) Un representante de los usuarios y consumidores, seleccionado del modo que se prevea reglamentariamente.

4) Un representante del sector de archivos de datos personales privados, para cuya propuesta se seguirá el procedimiento que se regule reglamentariamente.

Párrafo. El funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias que al efecto se establezcan.

 

Artículo 45. Personal.

Los puestos de trabajo de los órganos y servicios que integren la Agencia de Protección de Datos son desempeñados por funcionarios de la Administración Pública y por personal contratado al efecto, según la naturaleza de las funciones asignadas a cada puesto de trabajo.

Párrafo. Este personal está obligado a guardar secreto de los datos de carácter personal de que conozca en el desarrollo de su función.

 

Artículo 46. Financiación y Presupuesto.

La Agencia Dominicana de Protección de Datos cuenta, para el cumplimiento de sus fines, con los siguientes bienes y medios económicos:

1) Las asignaciones que se establezcan anualmente en la Ley de Presupuesto General del Estado.

2) Los bienes y valores que constituyan su patrimonio, así como los productos y rentas del mismo.

3) Cualesquiera otros que legalmente puedan serle atribuidos.

 

CAPÍTULO IV.- DISPOSICIONES PROCEDIMENTALES

 

Sección I.- De la Inscripción en el Registro General de Protección de Datos

 

Artículo 47. Creación.

Se crea el Registro General de Protección de Datos, como base de datos consolidada para los datos de carácter personal tanto de titularidad pública como de titularidad privada que cumplan con las condiciones establecidas en esta Ley.

Párrafo. El Registro General de Protección de Datos es manejado por la Agencia Dominicana de Protección de Datos.

 

Artículo 48. Inscripción.

Por vía reglamentaria se regulará el procedimiento de inscripción de los archivos de datos personales, tanto de titularidad pública como de titularidad privada, en el Registro General de Protección de Datos, el contenido de la inscripción, su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás supuestos pertinentes; comprendiendo como mínimo la siguiente información:

1) Nombre y domicilio del responsable.

2) Características y finalidad del archivo.

3) Naturaleza de los datos personales contenidos en cada archivo.

4) Forma de recolección y actualización de datos.

5) Destino de los datos y personas físicas o de existencia ideal a las que pueden ser transmitidos.

6) Modo de interrelacionar la información registrada.

7) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de personas con acceso al tratamiento de la información.

8) Tiempo de conservación de los datos.

9) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos.

Párrafo. Ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en el registro.

 

Artículo 49. Documento de seguridad.

El responsable del archivo de datos personales o del tratamiento debe elaborar un documento de seguridad que se regulará reglamentariamente y en el que recogen las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que serán de cumplimiento obligatorio para el personal con acceso a los sistemas de información.

Párrafo. El documento de seguridad puede ser único y contentivo de todos los archivos de datos personales o tratamientos, o bien individualizado para cada archivo de datos personales o tratamiento. También pueden elaborarse distintos documentos de seguridad agrupando archivos de datos personales o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del responsable, distinguiendo las singularidades propias de los archivos de datos personales y tratamientos automatizados y no automatizados. En todo caso, tiene el carácter de documento interno de la organización.

 

Sección II.- De los Ficheros de Titularidad Pública

 

Artículo 50. Creación, modificación o supresión.

La creación, modificación o supresión de los archivos de datos personales de la Administración Pública sólo puede hacerse por medio de disposición general publicada en un diario de circulación nacional.

Párrafo I. Las disposiciones de creación o de modificación de archivos de datos personales deberán indicar:

1) La finalidad del archivo de datos personales y los usos previstos para el mismo.

2) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal y el carácter facultativo u obligatorio de su suministro por parte de aquellas.

3) El procedimiento de recogida y actualización de los datos de carácter personal.

4) La estructura básica del archivo de datos personales, automatizado o no, y la descripción de los tipos de datos de carácter personal incluidos en el mismo.

5) Las cesiones de datos de carácter personal y, en su caso, las transferencias e interconexiones de datos que se prevean a países terceros.

6) Los órganos de la Administración responsables del archivo de datos personales, precisando la dependencia jerárquica, en su caso.

7) Los servicios o unidades ante los que pudiesen ejercerse los derechos de acceso, rectificación, cancelación y oposición.

8) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.

Párrafo II. Las disposiciones que se dicten para la supresión de los archivos de datos personales deberán establecer el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción.

 

Artículo 51. Comunicación de datos entre Instituciones de la Administración Pública.

Los datos de carácter personal recogidos o elaborados por la Administración Pública para el desempeño de sus atribuciones no pueden ser comunicados a otras Instituciones de la Administración Pública para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

Podrán, en todo caso, ser objeto de comunicación los datos de carácter personal que una Institución Pública obtenga o elabore con destino a otra. En estos casos no será necesario el consentimiento del afectado a que se refiere la presente Ley.

Párrafo I. No obstante lo establecido en la presente Ley, la comunicación de datos entre instituciones de la administración pública recogidos de fuentes accesibles al público no puede efectuarse a archivos de datos personales de titularidad privada, sino con el consentimiento del interesado o cuando una Ley prevea otra cosa.

Párrafo II. La cesión de aquellos datos de carácter personal, objeto de tratamiento, que debe efectuar a la Administración Tributaria en el ejercicio de sus competencias, conforme a lo dispuesto en su normativa reguladora, no requerirá el consentimiento del afectado.

 

Sección III.- De los Ficheros de las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia

 

Artículo 52. Ficheros de las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia.

Los archivos de datos personales creados por las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, están sujetos al régimen general de la presente Ley.

Párrafo I. La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia, sin consentimiento de las personas afectadas, están limitados a aquellos supuestos y categorías de datos que resulten necesarios para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la represión de los delitos en atención a la prevención de un peligro real, debiendo ser almacenados en archivos de datos personales específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad.

Párrafo II. La recogida y tratamiento por las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia de los datos especialmente protegidos a que hace referencia la presente Ley, pueden realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales.

 

Artículo 53. Cancelación.

Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.

Párrafo. Debe considerarse especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad.

 

Sección IV.- De los Ficheros de Titularidad Privada

 

Artículo 54. Creación de archivos de datos personales de titularidad privada.

Pueden crearse archivos de datos personales de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas. Los archivos de datos personales de titularidad privada que contengan datos de carácter personal deberán notificarse y registrarse conforme lo previsto en la presente Ley.

Párrafo I. No se registran datos de carácter personal en archivos de datos personales que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

Párrafo II. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los archivos de datos personales y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 8 de esta Ley.

 

Artículo 55. Notificación.

Toda persona o entidad que proceda a la creación de archivos de datos personales lo notificará previamente a la Agencia Dominicana de Protección de Datos.

Párrafo. Deberán comunicarse a la Agencia Dominicana de Protección de Datos los cambios que se produzcan en la finalidad del archivo de datos personales automatizado, en su responsable y en la dirección de su ubicación.

 

Artículo 56. Inscripción.

Toda persona o entidad que proceda a la creación de archivos de datos personales debe hacer la correspondiente inscripción del mismo en el Registro General de Protección de Datos, que inscribirá el archivo de datos personales si la notificación se ajusta a los requisitos exigibles. En caso contrario puede pedir que se completen los datos que falten o se proceda a su subsanación.

Párrafo I. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia Dominicana de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el archivo de datos personales automatizado a todos los efectos.

Párrafo II. Por vía reglamentaria se procederá a la regulación detallada de los distintos supuestos que debe contener la notificación de la información necesaria para cumplir con las previsiones sobre la información que debe contener el registro, así como información sobre su ubicación, el tipo de datosde carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros.

 

Artículo 57. Prestación de servicios automatizados de datos de carácter personal.

Cuando por cuenta de terceros se presten servicios de tratamiento de datos de carácter personal, éstos no pueden aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aun para su conservación.

Párrafo. Una vez cumplida la prestación contractual, y los supuestos legalmente previstos, dejando a salvo la posible puesta a disposición de las Administración Pública, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades, los datos personales tratados deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un período de hasta dos años.

 

Artículo 58. Comunicación de la cesión de datos.

El responsable del archivo de datos personales, en el momento en que se efectúe cualquier cesión de datos, debe informar de ello a los afectados, indicando, asimismo, la finalidad del archivo de datos personales, la naturaleza de los datos que han sido cedidos, el nombre y dirección del cesionario.

Párrafo I. En los supuestos en que se produzca una modificación del responsable del archivo de datos personales como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de comunicar al o los interesados de esta situación.

Párrafo II. La obligación establecida en el párrafo anterior no existirá cuando la cesión venga impuesta por Ley.

 

Artículo 59. Datos incluidos en las fuentes de acceso público.

Los datos personales que figuren en las listas de personas pertenecientes a grupos de profesionales deben limitarse a los que sean estrictamente necesarios para cumplir la finalidad a que se destina cada listado. La inclusión de datos adicionales por las entidades responsables del mantenimiento de dichas fuentes requerirá el consentimiento del interesado, que podrá ser revocado en cualquier momento.

Párrafo. Los interesados tienen derecho a que la entidad responsable del mantenimiento de los listados de los Colegios Profesionales indique gratuitamente que sus datos personales no pueden utilizarse para fines de publicidad o prospección comercial, así como el derecho a exigir gratuitamente la exclusión de la totalidad de sus datos personales que consten en el censo promocional por las entidades encargadas del mantenimiento de dichas fuentes.

 

Artículo 60. Plazo.

La atención a la solicitud de exclusión de la información innecesaria o de inclusión de la objeción al uso de los datos para fines de publicidad o venta a distancia debe realizarse en el plazo de diez días respecto de las informaciones que se realicen mediante consulta o comunicación telemática y en la siguiente edición del listado cualquiera que sea el soporte en que se edite.

 

Artículo 61. Fuentes de acceso público.

Las fuentes de acceso público que se editen en forma de libro o algún otro soporte físico o en formato electrónico pierden el carácter de fuente accesible con la nueva edición que se publique.

 

Artículo 62. Guías de servicios de telecomunicaciones.

Los datos que figuren en las guías de servicios de telecomunicaciones disponibles al público se regirán por su normativa específica.

 

Artículo 63. Prestación de servicios de información sobre solvencia patrimonial y crédito.

Los servicios de información sobre la solvencia patrimonial y el crédito que se presten exclusivamente en el ámbito de la República Dominicana, o en los que no exista tratamiento de datos resultado de transferencias de datos a la República Dominicana desde países terceros, se rigen por esta la Ley.

Párrafo I. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito en el ámbito de la República Dominicana y en caso de transferencias de datos a la República Dominicana desde países terceros, sólo pueden tratar datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento.

Párrafo II. Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones pecuniarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en archivos, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley.

Párrafo III. Cuando el interesado lo solicite, el responsable del tratamiento le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos.

 

Artículo 64. Naturaleza de los datos.

Sólo se pueden registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquellos. El pago o cumplimiento de la deuda determinará la cancelación inmediata de todo dato relativo a la misma.

Párrafo. En los restantes supuestos, los datos deben ser cancelados cuando se hubieran cumplido seis años contados a partir del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.

 

Artículo 65. Información.

El acreedor debe informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento previo de pago a quien corresponda el cumplimiento de la obligación, que en caso de no producirse el pago en el término previsto para ello y cumplirse los requisitos legales, los datos relativos al impago podrán ser comunicados a archivos de datos personales relativos al cumplimiento o incumplimiento de obligaciones pecuniarias.

 

Artículo 66. Derechos de acceso, rectificación o Cancelación.

Cuando el interesado ejerza su derecho de acceso en relación con la inclusión de sus datos en un archivo de datos personales común de información sobre solvencia patrimonial y crédito o Buró de Información Crediticia, se tendrán en cuenta las siguientes reglas:

1) Si la solicitud se dirigiera al titular del archivo de datos personales común o Buró de Información Crediticia, éste deberá comunicar al afectado todos los datos relativos al mismo que obren en el archivo. En este caso, el titular del archivo de datos personales común o Buró de Información Crediticia deberá, además de dar cumplimiento a lo establecido en la legislación aplicable, facilitar las evaluaciones y apreciaciones que sobre el afectado se hayan comunicado en los últimos seis meses, el nombre y dirección de los cesionarios.

2) Si la solicitud se dirigiera a cualquier otra entidad participante en el sistema, ésta deberá comunicar al afectado todos los datos relativos al mismo a los que ella pueda acceder, así como la identidad y dirección del titular del archivo de datos personales común o Buró de Información Crediticia para que pueda completar el ejercicio de su derecho de acceso.

Párrafo. Cuando el interesado ejerza sus derechos de rectificación o cancelación en relación con la inclusión de sus datos en un archivo de datos personales común de información sobre solvencia patrimonial y crédito o Buró de Información Crediticia se tendrán en cuenta las siguientes reglas:

1) Si la solicitud se dirige al titular del archivo de datos personales común o Buró de Información Crediticia, éste tomará las medidas oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos, para que ésta la resuelva. En el caso de que el responsable del archivo de datos personales común no haya recibido contestación por parte de la entidad en el plazo de siete días, procederá a la rectificación o cancelación cautelar de los mismos.

2) Si la solicitud se dirige a quien haya facilitado los datos al archivo de datos personales común o Buró de Información Crediticia procederá a la rectificación o cancelación de los mismos en sus archivos y a notificarlo al titular del archivo de datos personales común en el plazo de cinco días laborables, dando asimismo respuesta al interesado.

3) Si la solicitud se dirige a otra entidad participante en el sistema, que no hubiera facilitado al archivo de datos personales común los datos, dicha entidad informará al afectado sobre este hecho en el plazo máximo de cinco días laborables, proporcionándole, además, la identidad y dirección del titular del archivo de datos personales común o Buró de Información Crediticia para, que en su caso, puedan ejercer sus derechos ante el mismo.

 

Artículo 67. Archivos de datos personales comunes que contengan datos de carácter personal establecidos por las entidades aseguradoras.

Las entidades aseguradoras pueden establecer archivos de datos personales comunes que contengan datos de carácter personal para la liquidación de siniestros y la colaboración estadístico actuarial con la finalidad de permitir la tarificación y selección de riesgos y la elaboración de estudios de técnica aseguradora. La cesión de datos a los citados archivos de datos personales no requerirá el consentimiento previo del afectado, pero sí la comunicación al mismo de la posible cesión de sus datos personales en archivos comunes para los fines señalados con expresa indicación del responsable para que se puedan ejercer los derechos de acceso, rectificación y cancelación previstos en la Ley.

Párrafo. En todo caso, los datos relativos a la salud sólo podrán ser objeto de tratamiento con el consentimiento expreso del afectado.

 

Artículo 68. Tratamientos con fines de publicidad y de prospección comercial.

Queda expresamente prohibida la remisión, directa o indirectamente, de publicidad cuya recepción no haya sido solicitada o consentida expresamente por el interesado receptor de la misma.

Párrafo I. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas sólo pueden utilizar nombres y direcciones u otros datos de carácter personal cuando los mismos figuren en fuentes accesibles al público, o cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento.

Párrafo II. Cuando los datos procedan de fuentes accesibles al público, en cada comunicación que se dirija al interesado debe ser informado del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten. Dicha comunicación debe llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.

Párrafo III. Los interesados tienen derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud. Los responsables a los que el afectado haya manifestado su negativa a recibir publicidad pueden conservar los mínimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envío de publicidad.

 

Artículo 69. Archivos de datos personales relativos a las encuestas.

Las normas de la presente ley no se aplican a las encuestas de opinión, mediciones y estadísticas relevantes, trabajos de prospección de mercados, investigaciones científicas o médicas y actividades análogas, en la medida que los datos recogidos no puedan atribuirse a una persona determinada o determinable.

Párrafo. Si en el proceso de recolección de datos no resultara posible mantener el anonimato, se deberá utilizar una técnica de disociación, de modo que no permita identificar a persona alguna.

 

Artículo 70. Códigos tipo.

Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública y privada así como las organizaciones en que se agrupen, pueden formular códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la presente Ley y sus normas de desarrollo.

Párrafo I. Los citados códigos podrán contener o no reglas operacionales detalladas de cada sistema particular y estándares técnicos de aplicación, y en el supuesto de que tales reglas o estándares no se incorporen directamente al código, las instrucciones u órdenes que los establecieran deberán respetar los principios fijados en aquél.

Párrafo II. Los códigos tipo tienen el carácter de códigos deontológicos o de buena práctica profesional, debiendo ser depositados o inscritos en el Registro General de Protección de Datos. El Registro General de Protección de Datos podrá denegar la inscripción cuando considere que no se ajusta a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el Director de la Agencia Dominicana de Protección de Datos requerir a los solicitantes para que efectúen las correcciones oportunas.

 

Artículo 71. Códigos de conducta.

Las asociaciones o entidades representativas de responsables o usuarios de archivos de datos personales de titularidad privada pueden elaborar códigos de conducta de práctica profesional, que establezcan normas para el tratamiento de datos personalesque tiendan a asegurar y mejorar las condiciones de operación de los sistemas de información en función de los principios establecidos en la presente ley.

Párrafo. Dichos códigos deben ser inscritos en el Registro General de Protección de que lleva la Agencia Dominicana de Protección de Datos, quien podrá denegar la inscripción cuando considere que no se ajustan a las disposiciones legales y reglamentarias sobre la materia.

 

Sección V.- Otros Datos

 

Sub-Sección I.- Datos Especialmente Protegidos

 

Artículo 72. Datos especialmente protegidos.

Ninguna persona puede ser obligada a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se debe advertir al interesado acerca de su derecho a no prestarlo.

Párrafo I. Quedan prohibidos los archivos de datos personales creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.

 

Artículo 73. Consentimiento.

Sólo con el consentimiento expreso y por escrito del afectado pueden ser objeto de tratamiento los datos de carácter personal que revelen origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

Párrafo. Se exceptúan los archivos de datos personales mantenidos por los partidos políticos, sindicatos, iglesias o comunidades religiosas y asociaciones, fundaciones y otras entidades sin fines de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

 

Artículo 74. Excepción.

Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente, o cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

 

Artículo 75. Datos de infracciones penales.

Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en archivos de datos personales de la Administración Pública competente en los supuestos previstos en las normas reguladoras.

 

Sub-Sección II.- Datos Relativos a la Salud

 

Artículo 76. Datos relativos a la salud.

Sin perjuicio de lo establecido en la presente ley respecto de la cesión de datos, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes pueden proceder al tratamiento de los datos de carácter personal relativos a la salud física o mental de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación dominicana sobre salud.

Párrafo. No obstante lo dispuesto sobre datos especialmente protegidos, pueden ser objeto de tratamiento los datos de carácter personal que se refieren al origen racial, a la salud y a la vida sexual, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

 

Sub-Sección III.- Tratamiento de Datos de Menores de Edad

 

Artículo 77. Tratamiento de datos de menores de edad.

Puede procederse al tratamiento de los datos de los mayores de dieciséis (16) años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de dieciséis (16) años se requerirá el consentimiento de los padres o tutores.

Párrafo I. En ningún caso puede recabarse del menor de edad datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior.

Párrafo II. Cuando el tratamiento se refiera a datos de menores de dieciséis (16) años de edad, la información dirigida a los mismos debe expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en este artículo.

Párrafo III. Corresponde al responsable del archivo de datos personales o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.

 

Sección VI.- Movimiento Internacional de Datos

 

Artículo 78. Representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la República Dominicana y utilice en el tratamiento de datos medios situados en territorio dominicano, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en la República Dominicana, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

Párrafo I. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

Párrafo II. Reglamentariamente se establecerán los casos en los que por utilizarse medios para el tratamiento de datos situados en la República Dominicana y utilizarse los mismos únicamente con fines de tránsito, el responsable del tratamiento no establecido en territorio de la República podrá ser eximido de designar un representante en la misma.

 

Artículo 79. Norma general.

No pueden realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países, u organismos internacionales o supranacionales, que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa de la Agencia Dominicana de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas. En todo caso, la transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la Ley y deberá ser notificada a fin de proceder a su inscripción en el Registro General de Protección de Datos.

Párrafo I. El carácter adecuado del nivel de protección que ofrece el país de destino es evaluado por la Agencia Dominicana de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos de finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

Párrafo II. La Agencia Dominicana de Protección de Datos acordará la publicación de la relación de países cuyo nivel de protección haya sido considerado equiparable conforme a lo dispuesto en el apartado anterior y mantendrá actualizado dicho listado a través de medios informáticos o telemáticos.

 

Artículo 80. Autorización.

Cuando la transferencia tenga por destino un Estado respecto del que no se haya declarado o no se haya considerado por la Agencia Dominicana de Protección de Datos que existe un nivel adecuado de protección, será necesario recabar la autorización de la Agencia Dominicana de Protección de Datos.

Párrafo. La autorización podrá ser otorgada en caso de que el responsable del archivo de datos personales o tratamiento aporte un contrato escrito, celebrado entre el exportador y el importador, en el que consten las necesarias garantías establecidas en la presente ley y sus reglamentos.

 

Artículo 81. Suspensión temporal de transferencia de datos.

La Agencia Dominicana de Protección de Datos puede acordar, previa audiencia con el exportador, la suspensión temporal de la transferencia de datos hacia un importador ubicado en un tercer Estado del que se haya declarado la existencia de un nivel adecuado de protección, cuando concurra alguna de las circunstancias siguientes:

1) Que las autoridades de Protección de Datos del Estado importador o cualquier otra competente, en caso de no existir las primeras, resuelvan que el importador ha vulnerado las normas de protección de datos establecidas en su derecho interno.

2) Que existan indicios racionales de que se estén vulnerando las normas o, en su caso, los principios de protección de datos por la entidad importadora de la transferencia y que las autoridades competentes en el Estado en que se encuentre el importador no han adoptado o no van a adoptar en el futuro las medidas oportunas para resolver el caso en cuestión, habiendo sido advertidas de la situación por la Agencia Dominicana de Protección de Datos. En este caso se podrá suspender la transferencia cuando su continuación pudiera generar un riesgo inminente de grave perjuicio a los afectados.

 

Artículo 82. Excepciones.

Lo dispuesto en los artículos anteriores no será de aplicación:

1) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte la República Dominicana.

2) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

3) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios.

4) Cuando se refiera a transferencias pecuniarias conforme a su legislación específica.

5) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

6) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del archivo de datos personales o para la adopción de medidas precontractuales adoptadas a petición del afectado.

7) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del archivo de datos personales y un tercero.

8) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración Fiscal o Aduanera para el cumplimiento de sus competencias.

9) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

10) Cuando la transferencia se efectúe, a petición de una persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo.

11) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.

 

CAPÍTULO V.- DISPOSICIONES DE INFRACCIONES Y SANCIONES

 

Artículo 83. Responsables.

La Agencia Dominicana de Protección de Datos puede aplicar el régimen sancionador administrativo establecido en la presente Ley a los responsables de los archivos de datos personales y, en general, a los encargados de los tratamientos, sin perjuicio de la responsabilidad por daños y perjuicios derivados de la inobservancia de la presente ley y de las sanciones penales que correspondan.

 

Artículo 84. Tipos de infracciones y sus sanciones.

Las infracciones se califican de la siguiente manera y tendrán las sanciones siguientes:

1) Sanciones leves, cuya comisión será sancionada con multa de uno (1) a veinte (20) salarios mínimos.

2) Sanciones graves, cuya comisión será sancionada con multa de veinte (20) a cuarenta (40) salarios mínimos.

3) Sanciones muy graves, cuya comisión será sancionada con multa de cuarenta (40) a sesenta (60) salarios mínimos.

Párrafo I. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

Párrafo II. Si en razón de las circunstancias concurrentes, se aprecia una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, la Agencia Dominicana de Protección de Datos establecerá lacuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.

Párrafo III. En ningún caso podrá imponerse una sanción más grave que la fijada en ésta Ley para la clase de infracción en la que se constituya la que se pretenda sancionar.

 

Artículo 85. Infracciones leves.

Son infracciones leves:

1) No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.

2) No proporcionar la información que solicite la Agencia Dominicana de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.

3) No solicitar la inscripción del archivo de datos personales en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.

4) Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles las informaciones que señala la presente Ley.

5) Incumplir el deber de secreto establecido en esta Ley, salvo que constituya infracción grave.

 

Artículo 86. Infracciones graves.

Son infracciones graves:

1) Proceder a la creación de archivos de datos personales de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general publicada de acuerdo a lo establecido en la presente Ley.

2) Proceder a la creación de archivos de datos personales de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.

3) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible.

4) Tratar los datos de carácter personal o usarlos posteriormente con violación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

5) El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.

6) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.

7) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a los archivos de datos personales que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros archivos de datos personales que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.

8) Mantener los archivos de datos personales, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

9) No remitir a la Agencia Dominicana de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.

10) La obstrucción al ejercicio de la función inspectora.

11)No inscribir los archivos de datos personales en el Registro General de Protección de Datos, cuando haya sido requerido para ello por el Director de la Agencia Dominicana de Protección de Datos.

12) Incumplir el deber de información que se establece en esta Ley, cuando los datos hayan sido recabados de persona distinta del afectado.

 

Artículo 87. Infracciones muy graves.

Son infracciones muy graves:

1) La recogida de datos en forma engañosa y fraudulenta.

2) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.

3) Recabar y tratar los datos de carácter personal especialmente protegidos a los que se refiere esta Ley cuando no medie el consentimiento expreso del afectado, cuando no lo disponga una Ley o el afectado no haya consentido expresamente, o violentar la prohibición de crear archivos de datos personales con la finalidad exclusiva de almacenar datos de carácter personal especialmente protegidos.

4) No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia Dominicana de Protección de Datos o por las personas titulares del derecho de acceso.

5) La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Dominicana de Protección de Datos.

6) Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.

7) La vulneración del deber de guardar secreto sobre los datos de carácter personal especialmente protegidos a que hace referencia la presente Ley, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.

8) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.

9) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un archivo de datos personales.

10) El incumplimiento de la obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de cualquier otro servicio equivalente de intermediación, cuando la Agencia Dominicana de Protección de Datos lo ordene.

 

Artículo 88. Infracciones de la Administración Pública.

Cuando las infracciones a que se refiere el presente Capítulo fuesen cometidas en archivos de datos personales de los que sean responsabilidad de la Administración Pública, el Director de la Agencia Dominicana de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del archivo de datos personales, al órgano del quedependa jerárquicamente y a los afectados si los hubiera.

Párrafo I. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de la ley 41-08 de Función Pública.

Párrafo II. Se deben comunicar a la Agencia Dominicana de Protección de Datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refiere el presente artículo.

 

Artículo 89. Plazos de prescripción.

Las infracciones muy graves prescriben a los tres años, las graves a los dos años y las leves al año, comenzando a contarse dichos plazos desde el día en que el titular de la información tiene conocimiento de la vulneración.

Párrafo. Interrumpe la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor.

 

Artículo 90. Procedimiento sancionador.

Por vía reglamentaria se establecerá el procedimiento a seguir para la determinación de las infracciones y la imposición de las sanciones a que hace referencia el presente Título.

Los procedimientos sancionadores tramitados por la Agencia Dominicana de Protección de Datos, en ejercicio de las potestades que a la misma atribuyan esta u otras Leyes tendrán una duración máxima de seis meses.

Párrafo. Las resoluciones de la Agencia Dominicana de Protección de Datos dictadas en ocasión de un proceso sancionador agotan la vía administrativa.

 

Artículo 91. Potestad de inmovilización de archivos de datos personales.

En los supuestos constitutivos de infracción muy graves, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que las leyes garantizan, el Director de la Agencia Dominicana de Protección de Datos puede, además de ejercer la potestad sancionadora, requerir a los responsables de archivos de datos personales, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, la Agencia Dominicana de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales archivos a los solos efectos de restaurar los derechos de las personas afectadas.

 

CAPÍTULO VI.- DISPOSICIONES TRANSITORIAS, MODIFICATORIAS Y FINALES

 

Sección I.- Disposiciones Transitorias

 

Artículo 92. Tratamientos creados por Convenios Internacionales.

La Agencia Dominicana de Protección de Datos será el organismo competente para la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal respecto de los tratamientos establecidos en cualquier Convenio Internacional del que sea parte la República Dominicana que atribuya a una autoridad nacional de control esta competencia, mientras no se cree una autoridad diferente para este cometido en desarrollo del Convenio.

 

Sección II.- Disposiciones Modificatorias

 

Artículo 93.

Se modifica el artículo 19, parte in fine, de la Ley 288-05 sobre Sociedades de Intermediación Crediticia y Protección al Titular de la Información, del dieciocho (18) de agosto del año dos mil cinco (2005), para que en lo adelante se lea de la siguiente manera:

“Artículo 19.- Los consumidores tendrán derecho a solicitar de los BICs sus reportes de crédito, a través de las unidades especializadas de los BICs. Dichas unidades estarán obligadas a tramitar las solicitudes presentadas por los consumidores de manera gratuita.”

 

Artículo. 94.

Se modifica el párrafo I del artículo 19, de la Ley 288-05 sobre Sociedades de Intermediación Crediticia y Protección al Titular de la Información, del dieciocho (18) de agosto del año dos mil cinco (2005), para que en lo adelante se lea de la siguiente manera:

“Párrafo I.- El BIC deberá presentar el reporte de crédito solicitado en forma clara, completa y accesible, de tal manera que se explique por sí mismo, y deberá ponerlo a disposición del consumidor en un plazo no mayor de diez (10) días hábiles, contados a partir de la fecha en que BIC hubiera recibido la solicitud correspondiente.”

 

Artículo. 95.

Se modifica el artículo 22 de la Ley 288-05 sobre Sociedades de Intermediación Crediticia y Protección al Titular de la Información, del dieciocho (18) de agosto del año dos mil cinco (2005), para que en lo adelante se lea de la siguiente manera:

“Artículo 22.- Si las unidades especializadas de las Entidades de Intermediación Financiera, o en el caso de Agentes Económicos, de quienes designen como responsables para esos efectos, no hacen llegar al BIC su respuesta a la reclamación presentada por el cliente o consumidor dentro de un plazo de siete (7) días hábiles, contados a partir de que hayan recibido la notificación de la reclamación, el BIC deberá modificar o eliminar de su base de datos la información que conste en el registro de que se trate, según le haya solicitado el cliente o consumidor, así como la leyenda: “Registro Impugnado”.

 

Sección III.- Disposiciones Finales

 

Artículo 96. Archivos de datos personales y Registro de Población de la Administración Pública.

La Administración Pública puede solicitar a la Junta Central Electoral, sin consentimiento del interesado, una copia actualizada del archivo de datos personales formado con los datos del nombre, apellidos, domicilio, sexo y fecha de nacimiento que constan en las oficialías de Estado Civil y los padrones electorales correspondientes para la creación de archivos de datos personales o registros de población, teniendo siempre estos archivos o registros como finalidad la comunicación de los distintos órganos de la administración pública con los interesados residentes en los respectivos territorios, respecto a las relaciones jurídico-administrativas derivadas de las competencias respectivas de la Administración Pública.

 

Artículo 97.

Los archivos de datos personales de los prestadores de servicios de información crediticia deberán suprimir, o en su caso, omitir asentar, todo dato referido al incumplimiento o mora en el pago de una obligación, si ésta hubiere sido cancelada al momento de la entrada en vigencia de la presente ley.

 

Artículo 98. Archivos de datos personales preexistentes.

Los archivos de datos personales y tratamientos automatizados, tanto los no inscritos, como los inscritos desde la entrada en vigor de la Ley, en el Registro General de Protección de Datos deberán adecuarse y cumplir con la presente Ley dentro del plazo de dos años, a contar desde su entrada en vigor. En dicho plazo, los archivos de datos personales de titularidad privada deberán ser comunicados a la Agencia Dominicana de Protección de Datos y los archivos de datos personales de titularidad pública, deberán aprobar la pertinente disposición de regulación del archivo de datos personales o adaptar la existente.

Párrafo I. En el supuesto de archivos de datos personales y tratamientos no automatizados, su adecuación a la presente Ley y la obligación prevista en el párrafo anterior deberá cumplirse en el plazo de tres años a contar desde la entrada en vigencia de la presente Ley, sin perjuicio del ejercicio de los derechos de acceso, rectificación y cancelación por parte de los afectados.

Párrafo II. En caso de transferencias de datos a la República Dominicana desde países terceros, los responsables o encargados del archivo de datos personales o su tratamiento deberán adecuarse y cumplir con la presente Ley dentro del plazo de un año a contar desde su entrada en vigor.

 

Artículo 99. Reglamentación.

La Agencia Dominicana de Protección de Datos elaborará el reglamento necesario para la aplicación y desarrollo de la presente ley y el Poder Ejecutivo lo dictará dentro de los noventa (90) días después de su entrada en vigencia.

 

Artículo 100. Entrada en vigencia.

La presente Ley entra en vigencia después de su promulgación y publicación conforme a la Constitución de la República y transcurridos los plazos fijados en el Código Civil Dominicano.

 

Félix Bautista

, Senador Provincia San Juan

05Sep/11

Ley nº 8.968 de Protección de la persona frente al tratamiento de sus datos personales

Ley nº 8.968 de Protección de la persona frente al tratamiento de sus datos personales (La Gaceta nº 170, Lunes 5 de setiembre de 2011)

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA

DECRETA:

PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES

CAPÍTULO I.- DISPOSICIONES GENERALES

SECCIÓN ÚNICA

Artículo 1º.- Objetivo y fin

Esta ley es de orden público y tiene como objetivo garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes.

Artículo 2º.- Ámbito de aplicación

Esta ley será de aplicación a los datos personales que figuren en bases de datos automatizadas o manuales, de organismos públicos o privados, y a toda modalidad de uso posterior de estos datos.

El régimen de protección de los datos de carácter personal que se establece en esta ley no será de aplicación a las bases de datos mantenidas por personas físicas o jurídicas con fines exclusivamente internos, personales o domésticos, siempre y cuando estas no sean vendidas o de cualquier otra manera comercializadas.

Artículo 3º.- Definiciones

Para los efectos de la presente ley se define lo siguiente:

a) Base de datos: cualquier archivo, fichero, registro u otro conjunto estructurado de datos personales, que sean objeto de tratamiento o procesamiento, automatizado o manuales, cualquiera que sea la modalidad de su elaboración, organización o acceso.

b) Datos personales: cualquier dato relativo a una persona física identificada o identificable.

c) Datos personales de acceso irrestricto: los contenidos en bases de datos públicas de acceso general, según dispongan leyes especiales y de conformidad con la finalidad para la cual estos datos fueron recabados.

d) Datos personales de acceso restringido: los que, aun formando parte de registros de acceso al público, no son de acceso irrestricto por ser de interés solo para su titular o para la Administración Pública.

e) Datos sensibles: información relativa al fuero íntimo de la persona, como por ejemplo los que revelen origen racial, opiniones políticas, convicciones religiosas o espirituales, condición socioeconómica, información biomédica o genética, vida y orientación sexual, entre otros.

f) Deber de confidencialidad: obligación de los responsables de bases de datos, personal a su cargo y del personal de la Agencia de Protección de Datos de los Habitantes (Prodhab), de guardar la confidencialidad con ocasión del ejercicio de las facultades dadas por esta ley, principalmente cuando se acceda a información sobre datos personales y sensibles. Esta obligación perdurará aun después de finalizada la relación con la base de datos.

g) Interesado: persona física, titular de los datos que sean objeto del tratamiento automatizado o manual.

h) Responsable de la base de datos: persona física o jurídica que administre, gerencie o se encargue de la base de datos, ya sea esta una entidad pública o privada, competente, con arreglo a la ley, para decidir cuál es la finalidad de la base de datos, cuáles categorías de datos de carácter personal deberán registrase y qué tipo de tratamiento se les aplicarán.

i) Tratamiento de datos personales: cualquier operación o conjunto de operaciones, efectuadas mediante procedimientos automatizados o manuales y aplicadas a datos personales, tales como la recolección, el registro, la organización, la conservación, la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a estos, el cotejo o la interconexión, así como su bloqueo, supresión o destrucción, entre otros.

CAPÍTULO II.- PRINCIPIOS Y DERECHOS BÁSICOS PARA LA PROTECCIÓN DE DATOS PERSONALES

SECCIÓN I.- PRINCIPIOS Y DERECHOS BÁSICOS

Artículo 4º.- Autodeterminación informativa

Toda persona tiene derecho a la autodeterminación informativa, la cual abarca el conjunto de principios y garantías relativas al legítimo tratamiento de sus datos personales reconocidos en esta sección.

Se reconoce también la autodeterminación informativa como un derecho fundamental, con el objeto de controlar el flujo de informaciones que conciernen a cada persona, derivado del derecho a la privacidad, evitando que se propicien acciones discriminatorias.

Artículo 5º.- Principio de consentimiento informado

1.- Obligación de informar

Cuando se soliciten datos de carácter personal será necesario informar de previo a las personas titulares o a sus representantes, de modo expreso, preciso e inequívoco:

a) De la existencia de una base de datos de carácter personal.

b) De los fines que se persiguen con la recolección de estos datos.

c) De los destinatarios de la información, así como de quiénes podrán consultarla.

d) Del carácter obligatorio o facultativo de sus respuestas a las preguntas que se le formulen durante la recolección de los datos.

e) Del tratamiento que se dará a los datos solicitados.

f) De las consecuencias de la negativa a suministrar los datos.

g) De la posibilidad de ejercer los derechos que le asisten.

h) De la identidad y dirección del responsable de la base de datos.

Cuando se utilicen cuestionarios u otros medios para la recolección de datos personales figurarán estas advertencias en forma claramente legible.

2.-Otorgamiento del consentimiento

Quien recopile datos personales deberá obtener el consentimiento expreso de la persona titular de los datos o de su representante. Este consentimiento deberá constar por escrito, ya sea en un documento físico o electrónico, el cual podrá ser revocado de la misma forma, sin efecto retroactivo.

No será necesario el consentimiento expreso cuando:

a) Exista orden fundamentada, dictada por autoridad judicial competente o acuerdo adoptado por una comisión especial de investigación de la Asamblea Legislativa en el ejercicio de su cargo.

b) Se trate de datos personales de acceso irrestricto, obtenidos de fuentes de acceso público general.

c) Los datos deban ser entregados por disposición constitucional o legal.

Se prohíbe el acopio de datos sin el consentimiento informado de la persona, o bien, adquiridos por medios fraudulentos, desleales o ilícitos.

Artículo 6º.- Principio de calidad de la información

Solo podrán ser recolectados, almacenados o empleados datos de carácter personal para su tratamiento automatizado o manual, cuando tales datos sean actuales, veraces, exactos y adecuados al fin para el que fueron recolectados.

1.-Actualidad

Los datos de carácter personal deberán ser actuales. El responsable de la base de datos eliminará los datos que hayan dejado de ser pertinentes o necesarios, en razón de la finalidad para la cual fueron recibidos y registrados. En ningún caso, serán conservados los datos personales que puedan afectar, de cualquier modo, a su titular, una vez transcurridos diez años desde la fecha de ocurrencia de los hechos registrados, salvo disposición normativa especial que disponga otra cosa. En caso de que sea necesaria su conservación, más allá del plazo estipulado, deberán ser desasociados de su titular.

2. Veracidad

Los datos de carácter personal deberán ser veraces.

La persona responsable de la base de datos está obligado a modificar o suprimir los datos que falten a la verdad. De la misma manera, velará por que los datos sean tratados de manera leal y lícita.

3.- Exactitud

Los datos de carácter personal deberán ser exactos. La persona responsable de la base de datos tomará las medidas necesarias para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados.

Si los datos de carácter personal registrados resultan ser inexactos en todo o en parte, o incompletos, serán eliminados o sustituidos de oficio por la persona responsable de la base de datos, por los correspondientes datos rectificados, actualizados o complementados. Igualmente, serán eliminados si no media el consentimiento informado o está prohibida su recolección.

4.-Adecuación al fin

Los datos de carácter personal serán recopilados con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines.

No se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando se establezcan las garantías oportunas para salvaguardar los derechos contemplados en esta ley.

Las bases de datos no pueden tener finalidades contrarias a las leyes ni a la moral pública.

Artículo 7º.- Derechos que le asisten a la persona

Se garantiza el derecho de toda persona al acceso de sus datos personales, rectificación o supresión de estos y a consentir la cesión de sus datos.

La persona responsable de la base de datos debe cumplir lo solicitado por la persona, de manera gratuita, y resolver en el sentido que corresponda en el plazo de cinco días hábiles, contado a partir de la recepción de la solicitud.

1.- Acceso a la información

La información deberá ser almacenada en forma tal que se garantice plenamente el derecho de acceso por la persona interesada.

El derecho de acceso a la información personal garantiza las siguientes facultades del interesado:

a) Obtener en intervalos razonables, según se disponga por reglamento, sin demora y a título gratuito, la confirmación o no de la existencia de datos suyos en archivos o bases de datos. En caso de que sí existan datos suyos, estos deberán ser comunicados a la persona interesada en forma precisa y entendible.

b) Recibir la información relativa a su persona, así como la finalidad con que fueron recopilados y el uso que se le ha dado a sus datos personales. El informe deberá ser completo, claro y exento de codificaciones.

Deberá estar acompañado de una explicación de los términos técnicos que se utilicen.

c) Ser informado por escrito de manera amplia, por medios físicos o electrónicos, sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento solo comprenda un aspecto de los datos personales.

Este informe en ningún caso podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con la persona interesada, excepto cuando con ellos se pretenda configurar un delito penal.

d) Tener conocimiento, en su caso, del sistema, programa, método o proceso utilizado en los tratamientos de sus datos personales.

El ejercicio del derecho al cual se refiere este Artículo, en el caso de datos de personas fallecidas, le corresponderá a sus sucesores o herederos.

2.- Derecho de rectificación

Se garantiza el derecho de obtener, llegado el caso, la rectificación de los datos personales y su actualización o la eliminación de estos cuando se hayan tratado con infracción a las disposiciones de la presente ley, en particular a causa del carácter incompleto o inexacto de los datos, o hayan sido recopilados sin autorización del titular.

Todo titular puede solicitar y obtener de la persona responsable de la base de datos, la rectificación, la actualización, la cancelación o la eliminación y el cumplimiento de la garantía de confidencialidad respecto de sus datos personales.

El ejercicio del derecho al cual se refiere este Artículo, en el caso de datos de personas fallecidas, le corresponderá a sus sucesores o herederos.

Artículo 8º.- Excepciones a la autodeterminación informativa del ciudadano

Los principios, los derechos y las garantías aquí establecidos podrán ser limitados de manera justa, razonable y acorde con el principio de transparencia administrativa, cuando se persigan los siguientes fines:

a) La seguridad del Estado.

b) La seguridad y el ejercicio de la autoridad pública.

c) La prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones.

d) El funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas.

e) La adecuada prestación de servicios públicos.

f) La eficaz actividad ordinaria de la Administración, por parte de las autoridades oficiales.

SECCIÓN II.- CATEGORÍAS ESPECIALES DEL TRATAMIENTO DE LOS DATOS

Artículo 9º.- Categorías particulares de los datos

Además de las reglas generales establecidas en esta ley, para el tratamiento de los datos personales, las categorías particulares de los datos que se mencionarán, se regirán por las siguientes disposiciones:

1.-Datos sensibles

Ninguna persona estará obligada a suministrar datos sensibles.

Se prohíbe el tratamiento de datos de carácter personal que revelen el origen racial o étnico, opiniones políticas, convicciones religiosas, espirituales o filosóficas, así como los relativos a la salud, la vida y la orientación sexual, entre otros.

Esta prohibición no se aplicará cuando:

a) El tratamiento de los datos sea necesario para salvaguardar el interés vital del interesado o de otra persona, en el supuesto de que la persona interesada esté física o jurídicamente incapacitada para dar su consentimiento.

b) El tratamiento de los datos sea efectuado en el curso de sus actividades legítimas y con las debidas garantías por una fundación, una asociación o cualquier otro organismo, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refiera exclusivamente a sus miembros o a las personas que mantengan contactos regulares con la fundación, la asociación o el organismo, por razón de su finalidad y con tal de que los datos no se comuniquen a terceros sin el consentimiento de las personas interesadas.

c) El tratamiento se refiera a datos que la persona interesada haya hecho públicos voluntariamente o sean necesarios para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial.

d) El tratamiento de los datos resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos, o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por un funcionario o funcionaria del área de la salud, sujeto al secreto profesional o propio de su función, o por otra persona sujeta, asimismo, a una obligación equivalente de secreto.

2.- Datos personales de acceso restringido

Datos personales de acceso restringido son los que, aun formando parte de registros de acceso al público, no son de acceso irrestricto por ser de interés solo para su titular o para la Administración Pública. Su tratamiento será permitido únicamente para fines públicos o si se cuenta con el consentimiento expreso del titular.

3.- Datos personales de acceso irrestricto

Datos personales de acceso irrestricto son los contenidos en bases de datos públicas de acceso general, según lo dispongan las leyes especiales y de conformidad con la finalidad para la cual estos datos fueron recabados.

No se considerarán contemplados en esta categoría: la dirección exacta de la residencia, excepto si su uso es producto de un mandato, citación o notificación administrativa o judicial, o bien, de una operación bancaria o financiera, la fotografía, los números de teléfono privados y otros de igual naturaleza cuyo tratamiento pueda afectar los derechos y los intereses de la persona titular.

4.- Datos referentes al comportamiento crediticio

Los datos referentes al comportamiento crediticio se regirán por las normas que regulan el Sistema Financiero Nacional, de modo que permitan garantizar un grado de riesgo aceptable por parte de las entidades financieras, sin impedir el pleno ejercicio del derecho a la autodeterminación informativa ni exceder los límites de esta ley.

SECCIÓN III.- SEGURIDAD Y CONFIDENCIALIDAD DEL TRATAMIENTO DE LOS DATOS

Artículo 10º.- Seguridad de los datos

El responsable de la base de datos deberá adoptar las medidas de índole técnica y de organización necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado, así como cualquier otra acción contraria a esta ley.

Dichas medidas deberán incluir, al menos, los mecanismos de seguridad física y lógica más adecuados de acuerdo con el desarrollo tecnológico actual, para garantizar la protección de la información almacenada.

No se registrarán datos personales en bases de datos que no reúnan las condiciones que garanticen plenamente su seguridad e integridad, así como la de los centros de tratamiento, equipos, sistemas y programas.

Por vía de reglamento se establecerán los requisitos y las condiciones que deban reunir las bases de datos automatizadas y manuales, y de las personas que intervengan en el acopio, almacenamiento y uso de los datos.

Artículo 11º.- Deber de confidencialidad

La persona responsable y quienes intervengan en cualquier fase del tratamiento de datos personales están obligadas al secreto profesional o funcional, aun después de finalizada su relación con la base de datos. La persona obligada podrá ser relevado del deber de secreto por decisión judicial en lo estrictamente necesario y dentro de la causa que conoce.

Artículo 12º.- Protocolos de actuación

Las personas físicas y jurídicas, públicas y privadas, que tengan entre sus funciones la recolección, el almacenamiento y el uso de datos personales, podrán emitir un protocolo de actuación en el cual establecerán los pasos que deberán seguir en la recolección, el almacenamiento y el manejo de los datos personales, de conformidad con las reglas previstas en esta ley.

Para que sean válidos, los protocolos de actuación deberán ser inscritos, así como sus posteriores modificaciones, ante la Prodhab.

La Prodhab podrá verificar, en cualquier momento, que la base de datos esté cumpliendo cabalmente con los términos de su protocolo.

La manipulación de datos con base en un protocolo de actuación inscrito ante la Prodhab hará presumir, “iuris tantum”, el cumplimiento de las disposiciones contenidas en esta ley, para los efectos de autorizar la cesión de los datos contenidos en una base.

Artículo 13º.- Garantías efectivas

Toda persona interesada tiene derecho a un procedimiento administrativo sencillo y rápido ante la Prodhab, con el fin de ser protegido contra actos que violen sus derechos fundamentales reconocidos por esta ley. Lo anterior sin perjuicio de las garantías jurisdiccionales generales o específicas que la ley establezca para este mismo fin.

CAPÍTULO III.- TRANSFERENCIA DE DATOS PERSONALES

SECCIÓN ÚNICA

Artículo 14º.- Transferencia de datos personales, regla general

Los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y
se haga sin vulnerar los principios y derechos reconocidos en esta ley.

CAPÍTULO IV.- AGENCIA DE PROTECCIÓN DE DATOS DE LOS HABITANTES (Prodhab)

SECCIÓN I.- DISPOSICIONES GENERALES

Artículo 15º.- Agencia de Protección de Datos de los habitantes (Prodhab)

Créase un órgano de desconcentración máxima adscrito al Ministerio de Justicia y Paz denominado Agencia de Protección de Datos de los habitantes (Prodhab). Tendrá personalidad jurídica instrumental propia en el desempeño de las funciones que le asigna esta ley, además de la administración de sus recursos y presupuesto, así como para suscribir los contratos y convenios que requiera para el cumplimiento de sus funciones. La Agencia gozará de independencia de criterio.

Artículo 16º.- Atribuciones

Son atribuciones de la Prodhab, además de las otras que le impongan esta u otras normas, las siguientes:

a) Velar por el cumplimiento de la normativa en materia de protección de datos, tanto por parte de personas físicas o jurídicas privadas, como por entes y órganos públicos.

b) Llevar un registro de las bases de datos reguladas por esta ley.

c) Requerir, de quienes administren bases de datos, las informaciones necesarias para el ejercicio de su cargo, entre ellas, los protocolos utilizados.

d) Acceder a las bases de datos reguladas por esta ley, a efectos de hacer cumplir efectivamente las normas sobre protección de datos personales. Esta atribución se aplicará para los casos concretos presentados ante la Agencia y, excepcionalmente, cuando se tenga evidencia de un mal manejo generalizado de la base de datos o sistema de información.

e) Resolver sobre los reclamos por infracción a las normas sobre protección de los datos personales.

f) Ordenar, de oficio o a petición de parte, la supresión, rectificación, adición o restricción en la circulación de las informaciones contenidas en los archivos y las bases de datos, cuando estas contravengan las normas sobre protección de los datos personales.

g) Imponer las sanciones establecidas, en el Artículo 28 de esta ley, a las personas físicas o jurídicas, públicas o privadas, que infrinjan las normas sobre protección de los datos personales, y dar traslado al Ministerio Público de las que puedan configurar delito.

h) Promover y contribuir en la redacción de normativa tendiente a implementar las normas sobre protección de los datos personales.

i) Dictar las directrices necesarias, las cuales deberán ser publicadas en el diario oficial La Gaceta, a efectos de que las instituciones públicas implementen los procedimientos adecuados respecto del manejo de los datos personales, respetando los diversos grados de autonomía administrativa e independencia funcional.

j) Fomentar entre los habitantes el conocimiento de los derechos concernientes al acopio, el almacenamiento, la transferencia y el uso de sus datos personales.

En el ejercicio de sus atribuciones, la Prodhab deberá emplear procedimientos automatizados, de acuerdo con las mejores herramientas tecnológicas a su alcance.

Artículo 17º.- Dirección de la Agencia

La Dirección de la Prodhab estará a cargo de un director o una directora nacional, quien deberá contar, al menos, con el grado académico de licenciatura en una materia afín al objeto de su función y ser de reconocida solvencia profesional y moral.

No podrá ser nombrado director o directora nacional quien sea propietario, accionista, miembro de la junta directiva, gerente, asesor, representante legal o empleado de una empresa dedicada a la recolección o el almacenamiento de datos personales. Dicha prohibición persistirá hasta por dos años después de haber cesado sus funciones o vínculo empresarial. Estará igualmente impedido quien sea cónyuge o pariente hasta el tercer grado de consanguinidad o afinidad de una persona que esté en alguno de los supuestos mencionados anteriormente.

Artículo 18º.- Personal de la Agencia

La Prodhab contará con el personal técnico y administrativo necesario para el buen ejercicio de sus funciones, designado mediante concurso por idoneidad, según el Estatuto de Servicio Civil o bien como se disponga reglamentariamente. El personal está obligado a guardar secreto profesional y deber de confidencialidad de los datos de carácter personal que conozca en el ejercicio de sus funciones.

Artículo 19º.- Prohibiciones

Todos los empleados y las empleadas de la Prodhab tienen las siguientes prohibiciones:

a) Prestar servicios a las personas o empresas que se dediquen al acopio, el almacenamiento o el manejo de datos personales. Dicha prohibición persistirá hasta dos años después de haber cesado sus funciones.

b) Interesarse, personal e indebidamente, en asuntos de conocimiento de la Agencia.

c) Revelar o de cualquier forma propalar los datos personales a que ha tenido acceso con ocasión de su cargo.

Esta prohibición persistirá indefinidamente aun después de haber cesado en su cargo.

d) En el caso de los funcionarios y las funcionarias nombrados en plazas de profesional, ejercer externamente su profesión. Lo anterior tiene como excepción el ejercicio de la actividad docente en centros de educación superior o la práctica liberal a favor de parientes por consanguinidad o afinidad hasta el tercer grado, siempre que no se esté ante el supuesto del inciso a).

La inobservancia de cualquiera de las anteriores prohibiciones será considerada falta gravísima, para efectos de aplicación del régimen disciplinario, sin perjuicio de las otras formas de responsabilidad que tales conductas pudieran acarrear.

Artículo 20º.- Presupuesto

El presupuesto de la Prodhab estará constituido por lo siguiente:

a) Los cánones, las tasas y los derechos obtenidos en el ejercicio de sus funciones.

b) Las transferencias que el Estado realice a favor de la Agencia.

c) Las donaciones y subvenciones provenientes de otros estados, instituciones públicas nacionales u organismos internacionales, siempre que no comprometan la independencia, transparencia y autonomía de la Agencia.

d) Lo generado por sus recursos financieros.

Los montos provenientes del cobro de las multas señaladas en esta ley serán destinados a la actualización de equipos y programas de la Prodhab.

La Agencia estará sujeta al cumplimiento de los principios y al régimen de responsabilidad establecidos en los títulos II y X de la Ley nº 8131, Administración Financiera de la República y Presupuestos Públicos, de 18 de setiembre de 2001. Además, deberá proporcionar la información requerida por el Ministerio de Hacienda para sus estudios. En lo demás, se exceptúa a la Agencia de los alcances y la aplicación de esa ley. En la fiscalización, la Agencia estará sujeta, únicamente, a las disposiciones de la Contraloría General de la República.

SECCIÓN II.- ESTRUCTURA INTERNA

Artículo 21º.- Registro de archivos y bases de datos

Toda base de datos, pública o privada, administrada con fines de distribución, difusión o comercialización, debe inscribirse en el registro que al efecto habilite la Prodhab. La inscripción no implica el trasbase o la transferencia de los datos.

Deberá inscribir cualesquiera otras informaciones que las normas de rango legal le impongan y los protocolos de actuación a que hacen referencia el Artículo 12 y el inciso c) del Artículo 16º de esta ley.

Artículo 22º.- Divulgación

La Prodhab elaborará y ejecutará una estrategia de comunicación dirigida a permitir que los administrados conozcan los derechos derivados del manejo de sus datos personales, así como los mecanismos que el ordenamiento prevé para la defensa de tales prerrogativas. Deberá coordinar con los gobiernos locales y con la Defensoría de los Habitantes de la República la realización periódica de las actividades de divulgación entre los habitantes de los cantones.

Asimismo, promoverá entre las personas y empresas que recolecten, almacenen o manipulen datos personales, la adopción de prácticas y protocolos de actuación acordes con la protección de dicha información.

CAPÍTULO V.- PROCEDIMIENTOS

SECCIÓN I.- DISPOSICIONES COMUNES

Artículo 23º.-Aplicación supletoria

En lo no previsto expresamente por esta ley y en tanto sean compatibles con su finalidad, serán aplicables supletoriamente las disposiciones del libro II de la Ley General de la Administración Pública.

SECCIÓN II.- INTERVENCIÓN EN ARCHIVOS Y BASES DE DATOS

Artículo 24º.- Denuncia

Cualquier persona que ostente un derecho subjetivo o un interés legítimo puede denunciar, ante la Prodhab, que una base de datos pública o privada actúa en contravención de las reglas o los principios básicos para la protección de los datos y la autodeterminación informativa establecidas en esta ley.

Artículo 25º.- Trámite de las denuncias

Recibida la denuncia, se conferirá al responsable de la base de datos un plazo de tres días hábiles para que se pronuncie acerca de la veracidad de tales cargos. La persona denunciada deberá remitir los medios de prueba que respalden sus afirmaciones junto con un informe, que se considerará dado bajo juramento. La omisión de rendir el informe en el plazo estipulado hará que se tengan por ciertos los hechos acusados.

En cualquier momento, la Prodhab podrá ordenar a la persona denunciada la presentación de la información necesaria. Asimismo, podrá efectuar inspecciones in situ en sus archivos o bases de datos.

Para salvaguardar los derechos de la persona interesada, puede dictar, mediante acto fundado, las medidas cautelares que aseguren el efectivo resultado del procedimiento.

A más tardar un mes después de la presentación de la denuncia, la Prodhab deberá dictar el acto final. Contra su decisión cabrá recurso de reconsideración dentro del tercer día, el cual deberá ser resuelto en el plazo de ocho días luego de recibido.

Artículo 26º.- Efectos de la resolución estimatoria

Si se determina que la información del interesado es falsa, incompleta, inexacta, o bien, que de acuerdo con las normas sobre protección de datos personales esta fue indebidamente recolectada, almacenada o difundida, deberá ordenarse su inmediata supresión, rectificación, adición o aclaración, o bien, impedimento respecto de su transferencia o difusión. Si la persona denunciada no cumple íntegramente lo ordenado, estará sujeta a las sanciones previstas en esta y otras leyes.

Artículo 27º.- Procedimiento sancionatorio

De oficio o a instancia de parte, la Prodhab podrá iniciar un procedimiento tendiente a demostrar si una base de datos regulada por esta ley está siendo empleada de conformidad con sus principios; para ello, deberán seguirse los trámites previstos en la Ley General de la Administración Pública para el procedimiento ordinario.

Contra el acto final cabrá recurso de reconsideración dentro del tercer día, el cual deberá ser resuelto en el plazo de ocho días luego de recibido.

Artículo 28º.- Sanciones

Si se ha incurrido en alguna de las faltas tipificadas en esta ley, se deberá imponer alguna de las siguientes sanciones, sin perjuicio de las sanciones penales correspondientes:

a) Para las faltas leves, una multa hasta de cinco salarios base del cargo de auxiliar judicial I, según la Ley de Presupuesto de la República.

b) Para las faltas graves, una multa de cinco a veinte salarios base del cargo de auxiliar judicial I, según la Ley de Presupuesto de la República.

c) Para las faltas gravísimas, una multa de quince a treinta salarios base del cargo de auxiliar judicial I, según la Ley de Presupuesto de la República, y la suspensión para el funcionamiento del fichero de uno a seis meses.

Artículo 29º.- Faltas leves

Serán consideradas faltas leves, para los efectos de esta ley:

a) Recolectar datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada, de conformidad con las especificaciones del Artículo 5º, apartado I.

b) Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.

Artículo 30º.- Faltas graves

Serán consideradas faltas graves, para los efectos de esta ley:

a) Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin el consentimiento informado y expreso del titular de los datos, con arreglo a las disposiciones de esta ley.

b) Transferir datos personales a otras personas o empresas en contravención de las reglas establecidas en el capítulo III de esta ley.

c) Recolectar, almacenar, transmitir o de cualquier otro modo emplear datos personales para una finalidad distinta de la autorizada por el titular de la información.

d) Negarse injustificadamente a dar acceso a un interesado sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta ley.

e) Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco.

Artículo 31º.- Faltas gravísimas

Serán consideradas faltas gravísimas, para los efectos de esta ley:

a) Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, según la definición prevista en el Artículo 3º de esta ley.

b) Obtener, de los titulares o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza.

c) Revelar información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme la ley.

d) Proporcionar a un tercero información falsa o distinta contenida en un archivo de datos, con conocimiento de ello.

e) Realizar tratamiento de datos personales sin encontrarse debidamente inscrito ante la Prodhab, en el caso de los responsables de bases de datos cubiertos por el Artículo 21º de esta ley.

f) Transferir, a las bases de datos de terceros países, información de carácter personal de los costarricenses o de los extranjeros radicados en el país, sin el consentimiento de sus titulares.

SECCIÓN III.- PROCEDIMIENTOS INTERNOS

Artículo 32º.- Régimen sancionatorio para bases de datos públicas

Cuando la persona responsable de una base de datos pública cometa alguna de las faltas anteriores, la Prodhab dictará una resolución estableciendo las medidas que proceda adoptar para que cesen o se corrijan los efectos de la falta. Esta resolución se notificará a la persona responsable de la base de datos, al órgano del que dependa jerárquicamente y a los afectados, si los hay. La resolución podrá dictarse de oficio o a petición de parte. Lo anterior sin perjuicio de la responsabilidad penal en que haya incurrido.

CAPÍTULO VI.- CÁNONES

Artículo 33º.- Canon por regulación y administración de bases de datos

Las personas responsables de bases de datos que deban inscribirse ante la Prodhab, de conformidad con el Artículo 21º de esta ley, estarán sujetos a un canon de regulación y administración de bases de datos que deberá ser cancelado anualmente, con un monto de doscientos dólares ($200), moneda de curso legal de los Estados Unidos de América. El procedimiento para realizar el cobro del presente canon será detallado en el reglamento que a los efectos deberá emitir la Prodhab.

Artículo 34º.- Canon por comercialización de consulta

La persona responsable de la base de datos deberá cancelar a la Prodhab un canon por cada venta de los datos de ficheros definidos en el inciso b) del Artículo 3º de esta ley, de personas individualizables registradas legítimamente y siempre que sea comercializado con fines de lucro, el cual oscilará entre los veinticinco centavos de dólar ($0,25) y un dólar ($1), moneda de curso legal de los Estados Unidos de América, monto que podrá ser fijado dentro de dicho rango vía reglamento. En caso de contratos globales de bajo, medio y alto consumo de consultas, o modalidades contractuales de servicio en línea por número de aplicaciones, será el reglamento de la ley el que fije el detalle del cobro del canon que no podrá ser superior al diez por ciento (10%) del precio contractual.

TRANSITORIOS

TRANSITORIO I.-

Las personas físicas o jurídicas, públicas o privadas, que en la actualidad son propietarias o administradoras de las bases de datos objeto de esta ley, deberán adecuar sus procedimientos y reglas de actuación, así como el contenido de sus bases de datos a lo establecido en la presente ley, en un plazo máximo de un año a partir de la creación de la Prodhab.

TRANSITORIO II.-

A partir de la fecha de entrada en vigencia de esta ley, se iniciará el proceso de conformación e integración de la Prodhab; para ello, se dispondrá de un plazo máximo de seis meses.

TRANSITORIO III.-

El Poder Ejecutivo emitirá la reglamentación de esta ley en un plazo máximo de seis meses después de la conformación de la Prodhab, recogiendo las recomendaciones técnicas que le proporcione la Agencia.

Rige a partir de su publicación.

ASAMBLEA LEGISLATIVA. Aprobado a los veintisiete días del mes de junio de dos mil once.

COMUNÍCASE AL PODER EJECUTIVO

Juan Carlos Mendoza García                 PRESIDENTE

José Roberto Rodríguez Quesada         PRIMER SECRETARIO    

Martín Alcides Monestel Contreras      SEGUNDO SECRETARIO

Dado en la Presidencia de la República.—San José, a los siete días del mes de julio del año dos mil once.

Ejecútese y publíquese

LAURA CHINCHILLA MIRANDA.

El Ministro de Justicia y Paz, Hernando París Rodríguez 

02Jul/11

Ley nº 29.733 Protección de Datos Personales

Ley nº 29.733 de 2 julio 2011 de Protección de Datos Personales

EL PRESIDENTE DE LA REPUBLICA

POR CUANTO:

El Congreso de la República ha dado la Ley siguiente:

EL CONGRESO DE LA REPÚBLICA;

Ha dado la Ley siguiente:

LEY DE PROTECCIÓN DE DATOS PERSONALES

TÍTULO PRELIMINAR.- DISPOSICIONES GENERALES

Artículo 1º. Objeto de la Ley

La presente Ley tiene el objeto de garantizar el derecho fundamental a la protección de los datos personales, previsto en el artículo 2 numeral 6 de la Constitución Política del Perú, a través de su adecuado tratamiento, en un marco de respeto de los demás derechos fundamentales que en ella se reconocen.

Artículo 2º. Definiciones

Para todos los efectos de la presente Ley, se entiende por:

  1. Banco de datos personales. Conjunto organizado de datos personales, automatizado o no, independientemente del soporte, sea este físico, magnético, digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.
  2. Banco de datos personales de administración privada. Banco de datos personales cuya titularidad corresponde a una persona natural o a una persona jurídica de derecho privado, en cuanto el banco no
    se encuentre estrictamente vinculado al ejercicio de potestades de derecho público.
  3. Banco de datos personales de administración pública. Banco de datos personales cuya titularidad corresponde a una entidad pública.
  4. Datos personales. Toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados.
  5. Datos sensibles. Datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual.
  6. Encargado del banco de datos personales. Toda persona natural, persona jurídica de derecho privado o entidad pública que sola o actuando conjuntamente con otra realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales.
  7. Entidad pública. Entidad comprendida en el artículo I del Título Preliminar de la Ley 27444, Ley del Procedimiento Administrativo General, o la que haga sus veces.
  8. Flujo transfronterizo de datos personales. Transferencia internacional de datos personales a un destinatario situado en un país distinto al país de origen de los datos personales, sin importar el soporte en que estos se encuentren, los medios por los cuales se efectuó la transferencia ni el tratamiento que reciban.
  9. Fuentes accesibles para el público. Bancos de datos personales de administración pública o privada, que pueden ser consultados por cualquier persona, previo abono de la contraprestación correspondiente, de ser el caso. Las fuentes accesibles para el público son determinadas en el reglamento.
  10. Nivel suficiente de protección para los datos personales. Nivel de protección que abarca por lo menos la consignación y el respeto de los principios rectores de esta Ley, así como medidas técnicas de seguridad y confidencialidad, apropiadas según la categoría de datos de que se trate.
  11. Persona jurídica de derecho privado. Para efectos de esta Ley, la persona jurídica no comprendida en los alcances del artículo I del Título Preliminar de la Ley 27444, Ley del Procedimiento Administrativo General.
  12. Procedimiento de anonimización. Tratamiento de datos personales que impide la identificación o que no hace identificable al titular de estos. El procedimiento es irreversible.
  13. Procedimiento de disociación. Tratamiento de datos personales que impide la identificación o que no hace identificable al titular de estos. El procedimiento es reversible.
  14. Titular de datos personales. Persona natural a quien corresponde los datos personales.
  15. Titular del banco de datos personales. Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad.
  16. Transferencia de datos personales. Toda transmisión, suministro o manifestación de datos personales, de carácter nacional o internacional, a una persona jurídica de derecho privado, a una entidad pública o a una persona natural distinta del titular de datos personales.
  17. Tratamiento de datos personales. Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.
    El reglamento de esta Ley puede realizar un mayor desarrollo de las definiciones existentes.

Artículo 3º. Ámbito de aplicación

La presente Ley es de aplicación a los datos personales contenidos o destinados a ser contenidos en bancos de datos personales de administración pública y de administración privada, cuyo tratamiento se realiza en el territorio nacional. Son objeto de especial protección los datos sensibles.

Las disposiciones de esta Ley no son de aplicación a los siguientes datos personales:

  1. A los contenidos o destinados a ser contenidos en bancos de datos personales creados por personas naturales para fines exclusivamente relacionados con su vida privada o familiar.
  2. A los contenidos o destinados a ser contenidos en bancos de datos de administración pública, solo en tanto su tratamiento resulte necesario para el estricto cumplimiento de las competencias asignadas por ley a las respectivas entidades públicas, para la defensa nacional, seguridad pública, y para el desarrollo de actividades en materia penal para la investigación y represión del delito.

TÍTULO I.- PRINCIPIOS RECTORES

Artículo 4º. Principio de legalidad 

El tratamiento de los datos personales se hace conforme a lo establecido en la ley. Se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos.

Artículo 5º. Principio de consentimiento 

Para el tratamiento de los datos personales debe mediar el consentimiento de su titular.

Artículo 6º. Principio de finalidad 

Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización.

Artículo 7º. Principio de proporcionalidad

Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.

Artículo 8º. Principio de calidad

Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible, actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados.
Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento.

Artículo 9º. Principio de seguridad

El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate.

Artículo 10º. Principio de disposición de recurso

Todo titular de datos personales debe contar con las vías administrativas o jurisdiccionales necesarias para reclamar y hacer valer sus derechos, cuando estos sean vulnerados por el tratamiento de sus datos personales.

Artículo 11º. Principio de nivel de protección adecuado

Para el flujo transfronterizo de datos personales, se debe garantizar un nivel suficiente de protección para los datos personales que se vayan a tratar o, por lo menos, equiparable a lo previsto por esta Ley o por los estándares internacionales en la materia.

Artículo 12º. Valor de los principios

La actuación de los titulares y encargados de los bancos de datos personales y, en general, de todos los que intervengan con relación a datos personales, debe ajustarse a los principios rectores a que se refiere este Título. Esta relación de principios rectores es enunciativa.

Los principios rectores señalados sirven también de criterio interpretativo para resolver las cuestiones que puedan suscitarse en la aplicación de esta Ley y de su reglamento, así como de parámetro para la elaboración de otras disposiciones y para suplir vacíos en la legislación sobre la materia.

TÍTULO II.- TRATAMIENTO DE DATOS PERSONALES

Artículo 13º. Alcances sobre el tratamiento de datos personales 

13.1 El tratamiento de datos personales debe realizarse con pleno respeto de los derechos fundamentales de sus titulares y de los derechos que esta Ley les confiere. Igual regla rige para su utilización por terceros.
13.2 Las limitaciones al ejercicio del derecho fundamental a la protección de datos personales solo pueden ser establecidas por ley, respetando su contenido esencial y estar justificadas en razón del respeto
de otros derechos fundamentales o bienes constitucionalmente protegidos.
13.3 Mediante reglamento se dictan medidas especiales para el tratamiento de los datos personales de los niños y de los adolescentes, así como para la protección y garantía de sus derechos. Para el ejercicio de los derechos que esta Ley reconoce, los niños y los adolescentes actúan a través de sus representantes
legales, pudiendo el reglamento determinar las excepciones aplicables, de ser el caso, teniendo en cuenta para ello el interés superior del niño y del adolescente.
13.4 Las comunicaciones, telecomunicaciones, sistemas informáticos o sus instrumentos, cuando sean de carácter privado o uso privado, solo pueden ser abiertos, incautados, interceptados o intervenidos por mandamiento motivado del juez o con autorización de su titular, con las garantías previstas en la ley. Se guarda secreto de los asuntos ajenos al hecho que motiva su examen.
Los datos personales obtenidos con violación de este precepto carecen de efecto legal.
13.5 Los datos personales solo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto. El consentimiento debe ser previo, informado, expreso e inequívoco.
13.6 En el caso de datos sensibles, el consentimiento para efectos de su tratamiento, además, debe efectuarse por escrito. Aun cuando no mediara el consentimiento del titular, el tratamiento de datos sensibles puede efectuarse cuando la ley lo autorice, siempre que ello atienda a motivos importantes de interés público.
13.7 El titular de datos personales puede revocar su consentimiento en cualquier momento, observando al efecto los mismos requisitos que con ocasión de su otorgamiento.
13.8 El tratamiento de datos personales relativos a la comisión de infracciones penales o administrativas solo puede ser efectuado por las entidades públicas competentes, salvo convenio de encargo de gestión conforme a la Ley 27444, Ley del Procedimiento Administrativo General, o la que haga sus veces. Cuando se haya producido la cancelación de los antecedentes penales, judiciales, policiales y administrativos, estos datos no pueden ser suministrados salvo que sean requeridos por el Poder Judicial o el Ministerio Público, conforme a ley.
13.9 La comercialización de datos personales contenidos o destinados a ser contenidos en bancos de datos personales se sujeta a los principios previstos en la presente Ley.

Artículo 14º. Limitaciones al consentimiento para el tratamiento de datos personales

No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos:

  1. Cuando los datos personales se recopilen o transfieran para el ejercicio de las funciones de las entidades públicas en el ámbito de sus competencias.
  2. Cuando se trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público.
  3. Cuando se trate de datos personales relativos a la solvencia patrimonial y de crédito, conforme a ley.
  4. Cuando medie norma para la promoción de la competencia en los mercados regulados emitida en ejercicio de la función normativa por los organismos reguladores a que se refiere la Ley 27332, Ley Marco de los Organismos Reguladores de la Inversión Privada en los Servicios Públicos, o la que haga sus veces, siempre que la información brindada no sea utilizada en perjuicio de la privacidad del usuario.
  5. Cuando los datos personales sean necesarios para la ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos personales que deriven de una relación científi ca o profesional del titular y sean necesarios para su desarrollo o cumplimiento.
  6. Cuando se trate de datos personales relativos a la salud y sea necesario, en circunstancia de riesgo, para la prevención, diagnóstico y tratamiento médico o quirúrgico del titular, siempre que dicho tratamiento sea realizado en establecimientos de salud o por profesionales en ciencias de la salud, observando el secreto profesional; o cuando medien razones de interés público previstas por ley o cuando deban tratarse por razones de salud pública, ambas razones deben ser calificadas como tales por el Ministerio de Salud; o para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados.
  7. Cuando el tratamiento sea efectuado por organismos sin fines de lucro cuya finalidad sea política, religiosa o sindical y se refiera a los datos personales recopilados de sus respectivos miembros, los que deben guardar relación con el propósito a que se circunscriben sus actividades, no pudiendo ser transferidos sin consentimiento de aquellos.
  8. Cuando se hubiera aplicado un procedimiento de anonimización o disociación.
  9. Cuando el tratamiento de los datos personales sea necesario para salvaguardar intereses legítimos del titular de datos personales por parte del titular de datos personales o por el encargado de datos personales.
  10. Otros establecidos por ley, o por el reglamento otorgado de conformidad con la presente Ley.

Artículo 15º. Flujo transfronterizo de datos personales 

El titular y el encargado del banco de datos personales deben realizar el flujo transfronterizo de datos personales solo si el país destinatario mantiene niveles de protección adecuados conforme a la presente Ley.

En caso de que el país destinatario no cuente con un nivel de protección adecuado, el emisor del flujo transfronterizo de datos personales debe garantizar que el tratamiento de los datos personales se efectúe conforme a lo dispuesto por la presente Ley.

No se aplica lo dispuesto en el segundo párrafo en los siguientes casos:

  1. Acuerdos en el marco de tratados internacionales sobre la materia en los cuales la República del Perú sea parte.
  2. Cooperación judicial internacional.
  3. Cooperación internacional entre organismos de inteligencia para la lucha contra el terrorismo, tráfico ilícito de drogas, lavado de activos, corrupción, trata de personas y otras formas de criminalidad organizada.
  4. Cuando los datos personales sean necesarios para la ejecución de una relación contractual en la que el titular de datos personales sea parte, incluyendo lo necesario para actividades como la autentificación de usuario, mejora y soporte del servicio, monitoreo de la calidad del servicio, soporte para el mantenimiento y facturación de la cuenta y aquellas actividades que el manejo de la relación contractual requiera.
  5. Cuando se trate de transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme a la ley aplicable.
  6. Cuando el flujo transfronterizo de datos personales se realice para la protección, prevención, diagnóstico o tratamiento médico o quirúrgico de su titular; o cuando sea necesario para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados.
  7. Cuando el titular de los datos personales haya dado su consentimiento previo, informado, expreso e inequívoco.
  8. Otros que establezca el reglamento de la presente Ley, con sujeción a lo dispuesto en el artículo 12.

Artículo 16º. Seguridad del tratamiento de datos personales

Para fines del tratamiento de datos personales, el titular del banco de datos personales debe adoptar medidas técnicas, organizativas y legales que garanticen su seguridad y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
Los requisitos y condiciones que deben reunir los bancos de datos personales en materia de seguridad son establecidos por la Autoridad Nacional de Protección de Datos Personales, salvo la existencia de disposiciones especiales contenidas en otras leyes.

Queda prohibido el tratamiento de datos personales en bancos de datos que no reúnan los requisitos y las condiciones de seguridad a que se refiere este artículo.

Artículo 17º. Confidencialidad de datos personales 

El titular del banco de datos personales, el encargado y quienes intervengan en cualquier parte de su tratamiento están obligados a guardar confidencialidad respecto de los mismos y de sus antecedentes. Esta obligación subsiste aun después de finalizadas las relaciones con el titular del banco de datos personales.
El obligado puede ser relevado de la obligación de confidencialidad cuando medie consentimiento previo, informado, expreso e inequívoco del titular de los datos personales, resolución judicial consentida o ejecutoriada, o cuando medien razones fundadas relativas a la defensa nacional, seguridad pública o la sanidad pública, sin perjuicio del derecho a guardar el secreto profesional.

TÍTULO III.- DERECHOS DEL TITULAR DE DATOS PERSONALES

Artículo 18º. Derecho de información del titular de datos personales

El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del encargado del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello.

Si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesibles e identificables.

Artículo 19º. Derecho de acceso del titular de datos personales

El titular de datos personales tiene derecho a obtener la información que sobre sí mismo sea objeto de tratamiento en bancos de datos de administración pública o privada, la forma en que sus datos fueron recopilados, las razones que motivaron su recopilación y a solicitud de quién se realizó la recopilación, así como las transferencias realizadas o que se prevén hacer de ellos.

Artículo 20º. Derecho de actualización, inclusión, rectificación y supresión

El titular de datos personales tiene derecho a la actualización, inclusión, rectificación y supresión de sus datos personales materia de tratamiento, cuando estos sean parcial o totalmente inexactos, incompletos, cuando se hubiere advertido omisión, error o falsedad, cuando hayan dejado de ser necesarios o pertinentes a la finalidad para la cual hayan sido recopilados o cuando hubiera vencido el plazo establecido para su tratamiento.

Si sus datos personales hubieran sido transferidos previamente, el encargado del banco de datos personales debe comunicar la actualización, inclusión, rectificación o supresión a quienes se hayan transferido, en el caso que se mantenga el tratamiento por este último, quien debe también proceder a la actualización, inclusión, rectificación o supresión, según corresponda.

Durante el proceso de actualización, inclusión, rectificación o supresión de datos personales, el encargado del banco de datos personales dispone su bloqueo, quedando impedido de permitir que terceros accedan a ellos. Dicho bloqueo no es aplicable a las entidades públicas que requieren de tal información para el adecuado ejercicio de sus competencias, según ley, las que deben informar que se encuentra en trámite cualquiera de los mencionados procesos.

La supresión de datos personales contenidos en bancos de datos personales de administración pública se sujeta a lo dispuesto en el artículo 21 del Texto Único Ordenado de la Ley 27806, Ley de Transparencia y Acceso a la Información Pública, o la que haga sus veces.

Artículo 21º. Derecho a impedir el suministro 

El titular de datos personales tiene derecho a impedir que estos sean suministrados, especialmente cuando ello afecte sus derechos fundamentales. El derecho a impedir el suministro no aplica para la relación entre el titular del banco de datos personales y el encargado del banco de datos personales para los efectos del tratamiento de estos.

Artículo 22º. Derecho de oposición

Siempre que, por ley, no se disponga lo contrario y cuando no hubiera prestado consentimiento, el titular de datos personales puede oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En caso de oposición justificada, el titular o el encargado del banco de datos personales, según corresponda, debe proceder a su supresión, conforme a ley.

Artículo 23º. Derecho al tratamiento objetivo 

El titular de datos personales tiene derecho a no verse sometido a una decisión con efectos jurídicos sobre él o que le afecte de manera significativa, sustentada únicamente en un tratamiento de datos personales destinado a evaluar determinados aspectos de su personalidad o conducta, salvo que ello ocurra en el marco de la negociación, celebración o ejecución de un contrato o en los casos de evaluación con fines de incorporación a una entidad pública, de acuerdo a ley, sin perjuicio de la posibilidad de defender su punto de vista, para salvaguardar su legítimo interés.

Artículo 24º. Derecho a la tutela

En caso de que el titular o el encargado del banco de datos personales deniegue al titular de datos personales, total o parcialmente, el ejercicio de los derechos establecidos en esta Ley, este puede recurrir ante la Autoridad Nacional de Protección de Datos Personales en vía de reclamación o al Poder Judicial para los efectos de la correspondiente acción de hábeas data.

El procedimiento a seguir ante la Autoridad Nacional de Protección de Datos Personales se sujeta a lo dispuesto en los artículos 219 y siguientes de la Ley 27444, Ley del Procedimiento Administrativo General, o la que haga sus veces.

La resolución de la Autoridad Nacional de Protección de Datos Personales agota la vía administrativa y habilita la imposición de las sanciones administrativas previstas en el artículo 39. El reglamento determina las instancias correspondientes.

Contra las resoluciones de la Autoridad Nacional de Protección de Datos Personales procede la acción contencioso-administrativa.

Artículo 25º. Derecho a ser indemnizado 

El titular de datos personales que sea afectado a consecuencia del incumplimiento de la presente Ley por el titular o por el encargado del banco de datos personales o por terceros, tiene derecho a obtener la indemnización correspondiente, conforme a ley.

Artículo 26º. Contraprestación 

La contraprestación que debe abonar el titular de datos personales por el ejercicio de los derechos contemplados en los artículos 19, 20, 21, 22 y 23 ante los bancos de datos personales de administración pública se sujeta a las disposiciones previstas en la Ley 27444, Ley del Procedimiento Administrativo General.

Ante los bancos de datos personales de administración privada, el ejercicio de los derechos mencionados se sujeta a lo dispuesto por las normas especiales sobre la materia.

Artículo 27º. Limitaciones 

Los titulares y encargados de los bancos de datos personales de administración pública pueden denegar el ejercicio de los derechos de acceso, supresión y oposición por razones fundadas en la protección de derechos e intereses de terceros o cuando ello pueda obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, a las investigaciones penales sobre la comisión de faltas o delitos, al desarrollo de funciones de control de la salud y del medio ambiente, a la verificación de infracciones administrativas, o cuando así lo disponga la ley.

TÍTULO IV.- OBLIGACIONES DEL TITULAR Y DEL ENCARGADO DEL BANCO DE DATOS PERSONALES

Artículo 28º. Obligaciones 

El titular y el encargado del banco de datos personales, según sea el caso, tienen las siguientes obligaciones:

  1. Efectuar el tratamiento de datos personales, solo previo consentimiento informado, expreso e inequívoco del titular de los datos personales, salvo ley autoritativa, con excepción de los supuestos consignados en el artículo 14 de la presente Ley.
  2. No recopilar datos personales por medios fraudulentos, desleales o ilícitos.
  3. Recopilar datos personales que sean actualizados, necesarios, pertinentes y adecuados, con relación a finalidades determinadas, explícitas y lícitas para las que se hayan obtenido.
  4. No utilizar los datos personales objeto de tratamiento para finalidades distintas de aquellas que motivaron su recopilación, salvo que medie procedimiento de anonimización o disociación.
  5. Almacenar los datos personales de manera que se posibilite el ejercicio de los derechos de su titular.
  6. Suprimir y sustituir o, en su caso, completar los datos personales objeto de tratamiento cuando tenga conocimiento de su carácter inexacto o incompleto, sin perjuicio de los derechos del titular al respecto.
  7. Suprimir los datos personales objeto de tratamiento cuando hayan dejado de ser necesarios o pertinentes a la finalidad para la cual hubiesen sido recopilados o hubiese vencido el plazo para su tratamiento, salvo que medie procedimiento de anonimización o disociación.
  8. Proporcionar a la Autoridad Nacional de Protección de Datos Personales la información relativa al tratamiento de datos personales que esta le requiera y permitirle el acceso a los bancos de datos personales que administra, para el ejercicio de sus funciones, en el marco de un procedimiento administrativo en curso solicitado por la parte afectada.
  9. Otras establecidas en esta Ley y en su reglamento.

TÍTULO V.- BANCOS DE DATOS PERSONALES

Artículo 29º. Creación, modificación o cancelación de bancos de datos personales

La creación, modificación o cancelación de bancos de datos personales de administración pública y de administración privada se sujetan a lo que establezca el reglamento, salvo la existencia de disposiciones especiales contenidas en otras leyes. En todo caso, se garantiza la publicidad sobre su existencia, finalidad, identidad y el domicilio de su titular y, de ser el caso, de su encargado. 

Artículo 30º. Prestación de servicios de tratamiento de datos personales

Cuando, por cuenta de terceros, se presten servicios de tratamiento de datos personales, estos no pueden aplicarse o utilizarse con un fi n distinto al que fi gura en el contrato o convenio celebrado ni ser transferidos a otras personas, ni aun para su conservación.

Una vez ejecutada la prestación materia del contrato o del convenio, según el caso, los datos personales tratados deben ser suprimidos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se pueden conservar con las debidas condiciones de seguridad, hasta por el plazo que determine el reglamento de esta Ley.

Artículo 31º. Códigos de conducta 

Las entidades representativas de los titulares o encargados de bancos de datos personales de administración privada pueden elaborar códigos de conducta que establezcan normas para el tratamiento de datos personales que tiendan a asegurar y mejorar las condiciones de operación de los sistemas de información en función de los principios rectores establecidos en esta Ley.

TÍTULO VI.- AUTORIDAD NACIONAL DE PROTECCIÓN DE DATOS PERSONALES

Artículo 32º. Órgano competente y régimen jurídico

El Ministerio de Justicia, a través de la Dirección Nacional de Justicia, es la Autoridad Nacional de Protección de Datos Personales. Para el adecuado desempeño de sus funciones, puede crear oficinas en todo el país.

La Autoridad Nacional de Protección de Datos Personales se rige por lo dispuesto en esta Ley, en su reglamento y en los artículos pertinentes del Reglamento de Organización y Funciones del Ministerio de Justicia.

Corresponde a la Autoridad Nacional de Protección de Datos Personales realizar todas las acciones necesarias para el cumplimiento del objeto y demás disposiciones de la presente Ley y de su reglamento. Para tal efecto, goza de potestad sancionadora, de conformidad con la Ley 27444, Ley del Procedimiento Administrativo General, o la que haga sus veces, así como de potestad coactiva, de conformidad con la Ley 26979, Ley de Procedimiento de Ejecución Coactiva, o la que haga sus veces. La Autoridad Nacional de Protección de Datos Personales debe presentar periódicamente un informe sobre sus actividades al Ministro de Justicia.

Para el cumplimiento de sus funciones, la Autoridad Nacional de Protección de Datos Personales cuenta con el apoyo y asesoramiento técnico de la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) de la Presidencia del Consejo de Ministros, o la que haga sus veces.

Artículo 33º. Funciones de la Autoridad Nacional de Protección de Datos Personales

La Autoridad Nacional de Protección de Datos Personales ejerce las funciones administrativas, orientadoras, normativas, resolutivas, fiscalizadoras y sancionadoras siguientes:

  1. Representar al país ante las instancias internacionales en materia de protección de datos personales.
  2. Cooperar con las autoridades extranjeras de protección de datos personales para el cumplimiento de sus competencias y generar mecanismos de cooperación bilateral y multilateral para asistirse entre sí y prestarse debido auxilio mutuo cuando se requiera.
  3. Administrar y mantener actualizado el Registro Nacional de Protección de Datos Personales.
  4. Publicitar, a través del portal institucional, la relación actualizada de bancos de datos personales de administración pública y privada.
  5. Promover campañas de difusión y promoción sobre la protección de datos personales.
  6. Promover y fortalecer una cultura de protección de los datos personales de los niños y de los adolescentes.
  7. Coordinar la inclusión de información sobre la importancia de la vida privada y de la protección de datos personales en los planes de estudios de todos los niveles educativos y fomentar, asimismo, la capacitación de los docentes en estos temas.
  8. Supervisar el cumplimiento de las exigencias previstas en esta Ley, para el flujo transfronterizo de datos personales.
  9. Emitir autorizaciones, cuando corresponda, conforme al reglamento de esta Ley.
  10. Absolver consultas sobre protección de datos personales y el sentido de las normas vigentes en la materia, particularmente sobre las que ella hubiera emitido.
  11. Emitir opinión técnica respecto de los proyectos de normas que se refieran eran total o parcialmente a los datos personales, la que es vinculante.
  12. Emitir las directivas que correspondan para la mejor aplicación de lo previsto en esta Ley y en su reglamento, especialmente en materia de seguridad de los bancos de datos personales, así como supervisar su cumplimiento, en coordinación con los sectores involucrados.
  13. Promover el uso de mecanismos de autorregulación como instrumento complementario de protección de datos personales.
  14. Celebrar convenios de cooperación interinstitucional o internacional con la finalidad de velar por los derechos de las personas en materia de protección de datos personales que son tratados dentro y fuera del territorio nacional.
  15. Atender solicitudes de interés particular del administrado o general de la colectividad, así como solicitudes de información.
  16. Conocer, instruir y resolver las reclamaciones formuladas por los titulares de datos personales por la vulneración de los derechos que les conciernen y dictar las medidas cautelares o correctivas que establezca el reglamento.
  17. Velar por el cumplimiento de la legislación vinculada con la protección de datos personales y por el respeto de sus principios rectores.
  18. En el marco de un procedimiento administrativo en curso, solicitado por la parte afectada, obtener de los titulares de los bancos de datos personales la información que estime necesaria para el cumplimiento de las normas sobre protección de datos personales y el desempeño de sus funciones.
  19. Supervisar la sujeción del tratamiento de los datos personales que efectúen el titular y el encargado del banco de datos personales a las disposiciones técnicas que ella emita y, en caso de contravención, disponer las acciones que correspondan conforme a ley.
  20. Iniciar fiscalizaciones de oficio o por denuncia de parte por presuntos actos contrarios a lo establecido en la presente Ley y en su reglamento y aplicar las sanciones administrativas correspondientes, sin perjuicio de las medidas cautelares o correctivas que establezca el reglamento.
  21. Las demás funciones que le asignen esta Ley y su reglamento.

Artículo 34º. Registro Nacional de Protección de Datos Personales 

Créase el Registro Nacional de Protección de Datos Personales como registro de carácter administrativo a cargo de la Autoridad Nacional de Protección de Datos Personales, con la finalidad de inscribir en forma diferenciada, a nivel nacional, lo siguiente:

  1. Los bancos de datos personales de administración pública o privada, así como los datos relativos a estos que sean necesarios para el ejercicio de los derechos que corresponden a los titulares de datos personales, conforme a lo dispuesto en esta Ley y en su reglamento.
    El ejercicio de esta función no posibilita el conocimiento del contenido de los bancos de datos personales por parte de la Autoridad Nacional de Protección de Datos Personales, salvo procedimiento administrativo en curso.
  2. Las autorizaciones emitidas conforme al reglamento de la presente Ley.
  3. Las sanciones, medidas cautelares o correctivas impuestas por la Autoridad Nacional de Protección de Datos Personales conforme a esta Ley y a su reglamento.
  4. Los códigos de conducta de las entidades representativas de los titulares o encargados de bancos de datos personales de administración privada.
  5. Otros actos materia de inscripción conforme al reglamento.
    Cualquier persona puede consultar en el Registro Nacional de Protección de Datos Personales la existencia de bancos de datos personales, sus finalidades, así como la identidad y domicilio de sus titulares y, de ser el caso, de sus encargados.

Artículo 35º. Confidencialidad 

El personal de la Autoridad Nacional de Protección de Datos Personales está sujeto a la obligación de guardar confidencialidad sobre los datos personales que conozca con motivo de sus funciones. Esta obligación subsiste aun después de finalizada toda relación con dicha autoridad nacional, bajo responsabilidad.

Artículo 36º. Recursos de la Autoridad Nacional de Protección de Datos Personales

Son recursos de la Autoridad Nacional de Protección de Datos Personales los siguientes:

  1. Las tasas por concepto de derecho de trámite de los procedimientos administrativos y servicios de su competencia.
  2. Los montos que recaude por concepto de multas.
  3. Los recursos provenientes de la cooperación técnica internacional no reembolsable.
  4. Los legados y donaciones que reciba.
  5. Los recursos que se le transfieran conforme a ley.

Los recursos de la Autoridad Nacional de Protección de Datos Personales son destinados a financiar los gastos necesarios para el desarrollo de sus operaciones y para su funcionamiento.

TÍTULO VII.- INFRACCIONES Y SANCIONES ADMINISTRATIVAS

Artículo 37º. Procedimiento sancionador

El procedimiento sancionador se inicia de oficio, por la Autoridad Nacional de Protección de Datos Personales o por denuncia de parte, ante la presunta comisión de actos contrarios a lo dispuesto en la presente Ley o en su reglamento, sin perjuicio del procedimiento seguido en el marco de lo dispuesto en el artículo 24.
Las resoluciones de la Autoridad Nacional de Protección de Datos Personales agotan la vía administrativa. Contra las resoluciones de la Autoridad Nacional de Protección de Datos Personales procede la acción contencioso-administrativa.

Artículo 38º. Infracciones

Constituye infracción sancionable toda acción u omisión que contravenga o incumpla alguna de las disposiciones contenidas en esta Ley o en su reglamento.
Las infracciones se califican como leves, graves y muy graves.

  1. Son infracciones leves:
    • a. Dar tratamiento a datos personales sin recabar el consentimiento de sus titulares, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley.
    • b. No atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales reconocidos en el título III, cuando legalmente proceda.
    • c. Obstruir el ejercicio de la función fiscalizadora de la Autoridad Nacional de Protección de Datos Personales.
  2. Son infracciones graves:
    • a. Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento.
    • b. Incumplir la obligación de confidencialidad establecida en el artículo 17.
    • c. No atender, impedir u obstaculizar, en forma sistemática, el ejercicio de los derechos del titular de datos personales reconocidos en el título III, cuando legalmente proceda.
    • d. Obstruir, en forma sistemática, el ejercicio de la función fiscalizadora de la Autoridad Nacional de Protección de Datos Personales.
    • e. No inscribir el banco de datos personales en el Registro Nacional de Protección de Datos Personales.
  3. Son infracciones muy graves:
    • a. Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.
    • b. Crear, modificar, cancelar o mantener bancos de datos personales sin cumplir con lo establecido por la presente Ley o su reglamento.
    • c. Suministrar documentos o información falsa o incompleta a la Autoridad Nacional de Protección de Datos Personales.
    • d. No cesar en el tratamiento ilícito de datos personales, cuando existiese un previo requerimiento de la Autoridad Nacional de Protección de Datos Personales para ello.
    • e. No inscribir el banco de datos personales en el Registro Nacional de Protección de Datos Personales, no obstante haber sido requerido para ello por la Autoridad Nacional de Protección de Datos Personales.

La calificación, la graduación del monto de las multas, el procedimiento para su aplicación y otras tipificaciones se efectúan en el reglamento de la presente Ley.

Artículo 39º. Sanciones administrativas 

En caso de violación de las normas de esta Ley o de su reglamento, la Autoridad Nacional de Protección de Datos Personales puede aplicar las siguientes multas:

  1. Las infracciones leves son sancionadas con una multa mínima desde cero coma cinco de una unidad impositiva tributaria (UIT) hasta cinco unidades impositivas tributarias (UIT).
  2. Las infracciones graves son sancionadas con multa desde más de cinco unidades impositivas tributarias (UIT) hasta cincuenta unidades impositivas tributarias (UIT).
  3. Las infracciones muy graves son sancionadas con multa desde más de cincuenta unidades impositivas tributarias (UIT) hasta cien unidades impositivas tributarias (UIT).

En ningún caso, la multa impuesta puede exceder del diez por ciento de los ingresos brutos anuales que hubiera percibido el presunto infractor durante el ejercicio anterior.

La Autoridad Nacional de Protección de Datos Personales determina la infracción cometida y el monto de la multa imponible mediante resolución debidamente motivada. Para la graduación del monto de las multas, se toman en cuenta los criterios establecidos en el artículo 230, numeral 3), de la Ley 27444, Ley del Procedimiento Administrativo General, o la que haga sus veces.

La imposición de la multa se efectúa sin perjuicio de las sanciones disciplinarias sobre el personal de las entidades públicas en los casos de bancos de datos personales de administración pública, así como de la
indemnización por daños y perjuicios y de las sanciones penales a que hubiera lugar.

Artículo 40º. Multas coercitivas

En aplicación de lo dispuesto en el artículo 199 de la Ley 27444, Ley del Procedimiento Administrativo General, o la que haga sus veces, la Autoridad Nacional de Protección de Datos Personales puede imponer multas coercitivas por un monto que no supere las diez unidades impositivas tributarias (UIT), frente al incumplimiento de las obligaciones accesorias a la sanción, impuestas en el procedimiento sancionador. Las multas coercitivas se imponen una vez vencido el plazo de cumplimiento.

La imposición de las multas coercitivas no impide el ejercicio de otro medio de ejecución forzosa, conforme a lo dispuesto en el artículo 196 de la Ley 27444, Ley del Procedimiento Administrativo General.

El reglamento de la presente Ley regula lo concerniente a la aplicación de las multas coercitivas.

DISPOSICIONES COMPLEMENTARIAS FINALES

PRIMERA. Reglamento de la Ley 

Para la elaboración del proyecto de reglamento, se constituye una comisión multisectorial, la que es presidida por la Autoridad Nacional de Protección de Datos Personales.

El proyecto de reglamento es elaborado en un plazo máximo de ciento veinte días hábiles, a partir de la instalación de la comisión multisectorial, lo que debe ocurrir en un plazo no mayor de quince días hábiles, contado a partir del día siguiente de la publicación de la presente Ley.

SEGUNDA. Directiva de seguridad 

La Autoridad Nacional de Protección de Datos Personales elabora la directiva de seguridad de la información administrada por los bancos de datos personales en un plazo no mayor de ciento veinte días hábiles, contado a partir del día siguiente de la publicación de la presente Ley.

En tanto se apruebe y rija la referida directiva, se mantienen vigentes las disposiciones sectoriales sobre la materia.

TERCERA. Adecuación de documentos de gestión y del Texto Único de Procedimientos Administrativos del Ministerio de Justicia

Estando a la creación de la Autoridad Nacional de Protección de Datos Personales, en un plazo máximo de ciento veinte días hábiles, contado a partir del día siguiente de la publicación de la presente Ley, el Ministerio de Justicia elabora las modificaciones pertinentes en sus documentos de gestión y en su Texto Único de Procedimientos Administrativos.

CUARTA. Adecuación normativa 

Dentro del plazo de sesenta días hábiles, el Poder Ejecutivo remite al Congreso de la República un proyecto de ley que contenga las modificaciones necesarias a las leyes existentes a efectos de su adecuación a la presente Ley.
Para las normas de rango inferior, las entidades públicas competentes revisan la normativa correspondiente y elaboran las propuestas necesarias para su adecuación a lo dispuesto en esta Ley.
En ambos casos se requiere la opinión técnica favorable previa de la Autoridad Nacional de Protección de Datos Personales, de conformidad con el artículo 33 numeral 11.

QUINTA. Bancos de datos personales preexistentes 

Los bancos de datos personales creados con anterioridad a la presente Ley y sus respectivos reglamentos deben adecuarse a esta norma dentro del plazo que establezca el reglamento. Sin perjuicio de ello, sus titulares deben declararlos ante la Autoridad Nacional de Protección de Datos Personales, con sujeción a lo dispuesto en el artículo 29.

SEXTA. Hábeas data 

Las normas establecidas en el Código Procesal Constitucional sobre el proceso de hábeas data se aplican en el ámbito constitucional, independientemente del ámbito administrativo materia de la presente Ley. El
procedimiento administrativo establecido en la presente Ley no constituye vía previa para el ejercicio del derecho vía proceso constitucional.

SÉPTIMA. Competencias del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (Indecopi)

La Autoridad Nacional de Protección de Datos Personales es competente para salvaguardar los derechos de los titulares de la información administrada por las Centrales Privadas de Información de Riesgos (Cepirs) o similares conforme a los términos establecidos en la presente Ley. 

Sin perjuicio de ello, en materia de infracción a los derechos de los consumidores en general mediante la prestación de los servicios e información brindados por las Cepirs o similares, en el marco de las relaciones de consumo, son aplicables las normas sobre protección al consumidor, siendo el ente competente de manera exclusiva y excluyente para la supervisión de su cumplimiento la Comisión de Protección al Consumidor del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (Indecopi), la que debe velar por la idoneidad de los bienes y servicios en función de la información brindada a los consumidores.

OCTAVA. Información sensible

Para los efectos de lo dispuesto en la Ley 27489, Ley que Regula las Centrales Privadas de Información de Riesgos y de Protección al Titular de la Información, se entiende por información sensible la definida como dato sensible por la presente Ley.

Igualmente, precisase que la información confidencial a que se refiere el numeral 5) del artículo 17 del Texto Único Ordenado de la Ley 27806, Ley de Transparencia y Acceso a la Información Pública, constituye dato sensible conforme a los alcances de esta Ley.

NOVENA. Inafectación de facultades de la administración tributaria 

Lo dispuesto en la presente Ley no se debe interpretar en detrimento de las facultades de la administración tributaria respecto de la información que obre y requiera para sus registros, o para el cumplimiento de sus funciones.

DÉCIMA. Financiamiento 

La realización de las acciones necesarias para la aplicación de la presente Ley se ejecuta con cargo al presupuesto institucional del pliego Ministerio de Justicia y de los recursos a los que hace referencia el artículo 36, sin demandar recursos adicionales al Tesoro Público.

DUODÉCIMA. Vigencia de la Ley 

La presente Ley entra en vigencia conforme a lo siguiente:

  1. Las disposiciones previstas en el Título II, en el primer párrafo del artículo 32 y en las primera, segunda, tercera, cuarta, novena y décima disposiciones complementarias finales rigen a partir del día siguiente de la publicación de esta Ley.
  2. Las demás disposiciones rigen en el plazo de treinta días hábiles, contado a partir de la publicación del reglamento de la presente Ley.

Comuníquese al señor Presidente de la República para su promulgación.

En Lima, a los veintiún días del mes de junio de dos mil once.

CÉSAR ZUMAETA FLORES
Presidente del Congreso de la República
ALDA LAZO RÍOS DE HORNUNG
Segunda Vicepresidenta del Congreso de la República

AL SEÑOR PRESIDENTE CONSTITUCIONAL DE LA REPÚBLICA 

POR TANTO:

Mando se publique y cumpla.

Dado en la Casa de Gobierno, en Lima, a los dos días del mes de julio del año dos mil once.

ALAN GARCÍA PÉREZ
Presidente Constitucional de la República 
ROSARIO DEL PILAR FERNÁNDEZ FIGUEROA
Presidenta del Consejo de Ministros y Ministra de Justicia

27Abr/10

Decreto Ley Federal de Protección de Datos Personales

Decreto Ley Federal de Protección de Datos Personales

FELIPE DE JESÚS CALDERÓN HINOJOSA, Presidente de los Estados Unidos Mexicanos, a sus habitantes sabed:

Que el Honorable Congreso de la Unión, se ha servido dirigirme el siguiente DECRETO

EL CONGRESO GENERAL DE LOS ESTADOS UNIDOS MEXICANOS, DECRETA:

SE EXPIDE LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES Y SE REFORMAN LOS ARTÍCULOS 3, FRACCIONES II Y VII, Y 33, ASÍ COMO LA DENOMINACIÓN DEL CAPÍTULO II, DEL TÍTULO SEGUNDO, DE LA LEY FEDERAL DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN PÚBLICA GUBERNAMENTAL.

ARTÍCULO PRIMERO.- Se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES

CAPÍTULO I.- Disposiciones Generales

Artículo 1º.- La presente Ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

Artículo 2º.- Son sujetos regulados por esta Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de:
I. Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y
II. Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

Artículo 3º.- Para los efectos de esta Ley, se entenderá por:
I. Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley.
II. Bases de datos: El conjunto ordenado de datos personales referentes a una persona identificada o identificable.
III. Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponde.
IV. Consentimiento: Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos.
V. Datos personales: Cualquier información concerniente a una persona física identificada o identificable.
VI. Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave
para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen
racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.
VII. Días: Días hábiles.
VIII. Disociación: El procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo.
IX. Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable.
X. Fuente de acceso público: Aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, sin más requisito que, en su caso, el pago de una contraprestación, de conformidad con lo señalado por el Reglamento de esta Ley.
XI. Instituto: Instituto Federal de Acceso a la Información y Protección de Datos, a que hace referencia la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental.
XII. Ley: Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
XIII. Reglamento: El Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
XIV. Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.
XV. Secretaría: Secretaría de Economía.
XVI. Tercero: La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos.
XVII. Titular: La persona física a quien corresponden los datos personales.
XVIII. Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.
XIX. Transferencia: Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento.

Artículo 4º.- Los principios y derechos previstos en esta Ley, tendrán como límite en cuanto a su observancia y ejercicio, la protección de la seguridad nacional, el orden, la seguridad y la salud públicos, así como los derechos de terceros.

Artículo 5º.- A falta de disposición expresa en esta Ley, se aplicarán de manera supletoria las disposiciones del Código Federal de Procedimientos Civiles y de la Ley Federal de Procedimiento Administrativo.
Para la substanciación de los procedimientos de protección de derechos, de verificación e imposición de sanciones se observarán las disposiciones contenidas en la Ley Federal de Procedimiento Administrativo.

CAPÍTULO II.- De los Principios de Protección de Datos Personales

Artículo 6º.- Los responsables en el tratamiento de datos personales, deberán observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley.

Artículo 7º.- Los datos personales deberán recabarse y tratarse de manera lícita conforme a las disposiciones establecidas por esta Ley y demás normatividad aplicable.
La obtención de datos personales no debe hacerse a través de medios engañosos o fraudulentos.
En todo tratamiento de datos personales, se presume que existe la expectativa razonable de privacidad, entendida como la confianza que deposita cualquier persona en otra, respecto de que los datos personales proporcionados entre ellos serán tratados conforme a lo que acordaron las partes en los términos establecidos por esta Ley.

Artículo 8º.- Todo tratamiento de datos personales estará sujeto al consentimiento de su titular, salvo las excepciones previstas por la presente Ley.
El consentimiento será expreso cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos.
Se entenderá que el titular consiente tácitamente el tratamiento de sus datos, cuando habiéndose puesto a su disposición el aviso de privacidad, no manifieste su oposición.
Los datos financieros o patrimoniales requerirán el consentimiento expreso de su titular, salvo las excepciones a que se refieren los artículos 10 y 37 de la presente Ley.
El consentimiento podrá ser revocado en cualquier momento sin que se le atribuyan efectos retroactivos. Para revocar el consentimiento, el responsable deberá, en el aviso de privacidad, establecer los mecanismos y procedimientos para ello.

Artículo 9.º- Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca.
No podrán crearse bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado.

Artículo 10.- No será necesario el consentimiento para el tratamiento de los datos personales cuando:
I. Esté previsto en una Ley;
II. Los datos figuren en fuentes de acceso público;
III. Los datos personales se sometan a un procedimiento previo de disociación;
IV. Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable;
V. Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;
VI. Sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente, o
VII. Se dicte resolución de autoridad competente.

Artículo 11.- El responsable procurará que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados.
Cuando los datos de carácter personal hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas por el aviso de privacidad y las disposiciones legales aplicables, deberán ser cancelados.
El responsable de la base de datos estará obligado a eliminar la información relativa al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de setenta y dos meses, contado a partir de la fecha calendario en que se presente el mencionado incumplimiento.

Artículo 12.- El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad. Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en aviso de privacidad, se requerirá obtener nuevamente el consentimiento del titular.

Artículo 13.- El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad. En particular para datos personales sensibles, el responsable deberá realizar esfuerzos razonables para limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo indispensable.

Artículo 14.- El responsable velará por el cumplimiento de los principios de protección de datos personales establecidos por esta Ley, debiendo adoptar las medidas necesarias para su aplicación. Lo anterior aplicará aún y cuando estos datos fueren tratados por un tercero a solicitud del responsable. El responsable deberá tomar las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular, sea respetado en todo momento por él o por terceros con los que guarde alguna relación jurídica.

Artículo 15.- El responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.

Artículo 16.- El aviso de privacidad deberá contener, al menos, la siguiente información:
I. La identidad y domicilio del responsable que los recaba;
II. Las finalidades del tratamiento de datos;
III. Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos;
IV. Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en esta Ley;
V. En su caso, las transferencias de datos que se efectúen, y
VI. El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.
En el caso de datos personales sensibles, el aviso de privacidad deberá señalar expresamente que se trata de este tipo de datos.

Artículo 17.- El aviso de privacidad debe ponerse a disposición de los titulares a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología, de la siguiente manera:
I. Cuando los datos personales hayan sido obtenidos personalmente del titular, el aviso de privacidad deberá ser facilitado en el momento en que se recaba el dato de forma clara y fehaciente, a través de los formatos por los que se recaban, salvo que se hubiera facilitado el aviso con anterioridad, y
II. Cuando los datos personales sean obtenidos directamente del titular por cualquier medio electrónico, óptico, sonoro, visual, o a través de cualquier otra tecnología, el responsable deberá proporcionar al titular de manera inmediata, al menos la información a que se refiere las fracciones I y II del artículo anterior, así como proveer los mecanismos para que el titular conozca el texto completo del aviso de privacidad.

Artículo 18.- Cuando los datos no hayan sido obtenidos directamente del titular, el responsable deberá darle a conocer el cambio en el aviso de privacidad.
No resulta aplicable lo establecido en el párrafo anterior, cuando el tratamiento sea con fines históricos, estadísticos o científicos.
Cuando resulte imposible dar a conocer el aviso de privacidad al titular o exija esfuerzos desproporcionados, en consideración al número de titulares, o a la antigüedad de los datos, previa autorización del Instituto, el responsable podrá instrumentar medidas compensatorias en términos del Reglamento de esta Ley.

Artículo 19.- Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo se tomará en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico.

Artículo 20.- Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.

Artículo 21.- El responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.

CAPÍTULO III.- De los Derechos de los Titulares de Datos Personales

Artículo 22.- Cualquier titular, o en su caso su representante legal, podrá ejercer los derechos de acceso, rectificación, cancelación y oposición previstos en la presente Ley. El ejercicio de cualquiera de ellos no es requisito previo ni impide el ejercicio de otro. Los datos personales deben ser resguardados de tal manera que permitan el ejercicio sin dilación de estos derechos.

Artículo 23.- Los titulares tienen derecho a acceder a sus datos personales que obren en poder del responsable, así como conocer el Aviso de Privacidad al que está sujeto el tratamiento.

Artículo 24.- El titular de los datos tendrá derecho a rectificarlos cuando sean inexactos o incompletos.

Artículo 25.- El titular tendrá en todo momento el derecho a cancelar sus datos personales.
La cancelación de datos personales dará lugar a un periodo de bloqueo tras el cual se procederá a la supresión del dato. El responsable podrá conservarlos exclusivamente para efectos de las responsabilidades nacidas del tratamiento. El periodo de bloqueo será equivalente al plazo de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento en los términos de la Ley aplicable en la materia.
Una vez cancelado el dato se dará aviso a su titular.
Cuando los datos personales hubiesen sido transmitidos con anterioridad a la fecha de rectificación o cancelación y sigan siendo tratados por terceros, el responsable deberá hacer de su conocimiento dicha solicitud de rectificación o cancelación, para que proceda a efectuarla también.

Artículo 26.- El responsable no estará obligado a cancelar los datos personales cuando:
I. Se refiera a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento;
II. Deban ser tratados por disposición legal;
III. Obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas;
IV. Sean necesarios para proteger los intereses jurídicamente tutelados del titular;
V. Sean necesarios para realizar una acción en función del interés público;
VI. Sean necesarios para cumplir con una obligación legalmente adquirida por el titular, y
VII. Sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto.

Artículo 27.- El titular tendrá derecho en todo momento y por causa legítima a oponerse al tratamiento de sus datos. De resultar procedente, el responsable no podrá tratar los datos relativos al titular.

CAPÍTULO IV.-Del Ejercicio de los Derechos de Acceso, Rectificación, Cancelación y Oposición

Artículo 28.- El titular o su representante legal podrán solicitar al responsable en cualquier momento el acceso, rectificación, cancelación u oposición, respecto de los datos personales que le conciernen.

Artículo 29.- La solicitud de acceso, rectificación, cancelación u oposición deberá contener y acompañar lo siguiente:
I. El nombre del titular y domicilio u otro medio para comunicarle la respuesta a su solicitud;
II. Los documentos que acrediten la identidad o, en su caso, la representación legal del titular;
III. La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados, y
IV. Cualquier otro elemento o documento que facilite la localización de los datos personales.

Artículo 30.- Todo responsable deberá designar a una persona, o departamento de datos personales, quien dará trámite a las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere la presente Ley. Asimismo fomentará la protección de datos personales al interior de la organización.

Artículo 31.- En el caso de solicitudes de rectificación de datos personales, el titular deberá indicar, además de lo señalado en el artículo anterior de esta Ley, las modificaciones a realizarse y aportar la documentación que sustente su petición.

Artículo 32.- El responsable comunicará al titular, en un plazo máximo de veinte días, contados desde la fecha en que se recibió la solicitud de acceso, rectificación, cancelación u oposición, la determinación adoptada, a efecto de que, si resulta procedente, se haga efectiva la misma dentro de los quince días siguientes a la fecha en que se comunica la respuesta. Tratándose de solicitudes de acceso a datos personales, procederá la entrega previa acreditación de la identidad del solicitante o representante legal, según corresponda.
Los plazos antes referidos podrán ser ampliados una sola vez por un periodo igual, siempre y cuando así lo justifiquen las circunstancias del caso.

Artículo 33.– La obligación de acceso a la información se dará por cumplida cuando se pongan a
disposición del titular los datos personales; o bien, mediante la expedición de copias simples, documentos electrónicos o cualquier otro medio que determine el responsable en el aviso de privacidad.
En el caso de que el titular solicite el acceso a los datos a una persona que presume es el responsable y ésta resulta no serlo, bastará con que así se le indique al titular por cualquiera de los medios a que se refiere el párrafo anterior, para tener por cumplida la solicitud.

Artículo 34.- El responsable podrá negar el acceso a los datos personales, o a realizar la rectificación o cancelación o conceder la oposición al tratamiento de los mismos, en los siguientes supuestos:
I. Cuando el solicitante no sea el titular de los datos personales, o el representante legal no esté debidamente acreditado para ello;
II. Cuando en su base de datos, no se encuentren los datos personales del solicitante;
III. Cuando se lesionen los derechos de un tercero;
IV. Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a los datos personales, o no permita la rectificación, cancelación u oposición de los mismos, y
V. Cuando la rectificación, cancelación u oposición haya sido previamente realizada.
La negativa a que se refiere este artículo podrá ser parcial en cuyo caso el responsable efectuará el acceso, rectificación, cancelación u oposición requerida por el titular.
En todos los casos anteriores, el responsable deberá informar el motivo de su decisión y comunicarla al titular, o en su caso, al representante legal, en los plazos establecidos para tal efecto, por el mismo medio por el que se llevó a cabo la solicitud, acompañando, en su caso, las pruebas que resulten pertinentes.

Artículo 35.- La entrega de los datos personales será gratuita, debiendo cubrir el titular únicamente los gastos justificados de envío o con el costo de reproducción en copias u otros formatos.
Dicho derecho se ejercerá por el titular en forma gratuita, previa acreditación de su identidad ante el responsable. No obstante, si la misma persona reitera su solicitud en un periodo menor a doce meses, los costos no serán mayores a tres días de Salario Mínimo General Vigente en el Distrito Federal, a menos queexistan modificaciones sustanciales al aviso de privacidad que motiven nuevas consultas.
El titular podrá presentar una solicitud de protección de datos por la respuesta recibida o falta de respuesta del responsable, de conformidad con lo establecido en el siguiente Capítulo.

CAPÍTULO V.- De la Transferencia de Datos

Artículo 36.- Cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento.
El tratamiento de los datos se hará conforme a lo convenido en el aviso de privacidad, el cual contendrá una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos, de igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos.

Artículo 37.- Las transferencias nacionales o internacionales de datos podrán llevarse a cabo sin el consentimiento del titular cuando se dé alguno de los siguientes supuestos:
I. Cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte;
II. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;
III. Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas;
IV. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en
interés del titular, por el responsable y un tercero;
V. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;
VI. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y
VII. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.

CAPÍTULO VI.- De las Autoridades

Sección I.- Del Instituto

Artículo 38.- El Instituto, para efectos de esta Ley, tendrá por objeto difundir el conocimiento del derecho a la protección de datos personales en la sociedad mexicana, promover su ejercicio y vigilar por la debida observancia de las disposiciones previstas en la presente Ley y que deriven de la misma; en particular aquellas relacionadas con el cumplimiento de obligaciones por parte de los sujetos regulados por este ordenamiento.

Artículo 39.- El Instituto tiene las siguientes atribuciones:
I. Vigilar y verificar el cumplimiento de las disposiciones contenidas en esta Ley, en el ámbito de su competencia, con las excepciones previstas por la legislación;
II. Interpretar en el ámbito administrativo la presente Ley;
III. Proporcionar apoyo técnico a los responsables que lo soliciten, para el cumplimiento de las obligaciones establecidas en la presente Ley;
IV. Emitir los criterios y recomendaciones, de conformidad con las disposiciones aplicables de esta Ley, para efectos de su funcionamiento y operación;
V. Divulgar estándares y mejores prácticas internacionales en materia de seguridad de la información, en atención a la naturaleza de los datos; las finalidades del tratamiento, y las capacidades técnicas y económicas del responsable;
VI. Conocer y resolver los procedimientos de protección de derechos y de verificación señalados en esta Ley e imponer las sanciones según corresponda;
VII. Cooperar con otras autoridades de supervisión y organismos nacionales e internacionales, a efecto de coadyuvar en materia de protección de datos;
VIII. Rendir al Congreso de la Unión un informe anual de sus actividades;
IX. Acudir a foros internacionales en el ámbito de la presente Ley;
X. Elaborar estudios de impacto sobre la privacidad previos a la puesta en práctica de una nueva modalidad de tratamiento de datos personales o a la realización de modificaciones sustanciales en tratamientos ya existentes;
XI. Desarrollar, fomentar y difundir análisis, estudios e investigaciones en materia de protección de datos personales en Posesión de los Particulares y brindar capacitación a los sujetos obligados, y
XII. Las demás que le confieran esta Ley y demás ordenamientos aplicables.

Sección II.- De las Autoridades Reguladoras

Artículo 40.- La presente Ley constituirá el marco normativo que las dependencias deberán observar, en el ámbito de sus propias atribuciones, para la emisión de la regulación que corresponda, con la coadyuvancia del Instituto.

Artículo 41.- La Secretaría, para efectos de esta Ley, tendrá como función difundir el conocimiento de las obligaciones en torno a la protección de datos personales entre la iniciativa privada nacional e internacional con actividad comercial en territorio mexicano; promoverá las mejores prácticas comerciales en torno a la protección de los datos personales como insumo de la economía digital, y el desarrollo económico nacional en su conjunto.

Artículo 42.- En lo referente a las bases de datos de comercio, la regulación que emita la Secretaría, únicamente será aplicable a aquellas bases de datos automatizadas o que formen
parte de un proceso de automatización.

Artículo 43.- La Secretaría tiene las siguientes atribuciones:
I. Difundir el conocimiento respecto a la protección de datos personales en el ámbito comercial;
II. Fomentar las buenas prácticas comerciales en materia de protección de datos personales;
III. Emitir los lineamientos correspondientes para el contenido y alcances de los avisos de privacidad en coadyuvancia con el Instituto, a que se refiere la presente Ley;
IV. Emitir, en el ámbito de su competencia, las disposiciones administrativas de carácter general a que se refiere el artículo 40, en coadyuvancia con el Instituto;
V. Fijar los parámetros necesarios para el correcto desarrollo de los mecanismos y medidas de autorregulación a que se refiere el artículo 44 de la presente Ley, incluido la promoción de Normas Mexicanas o Normas Oficiales Mexicanas, en coadyuvancia con el Instituto;
VI. Llevar a cabo los registros de consumidores en materia de datos personales y verificar su funcionamiento;
VII. Celebrar convenios con cámaras de comercio, asociaciones y organismos empresariales en lo general, en materia de protección de datos personales;
VIII. Diseñar e instrumentar políticas y coordinar la elaboración de estudios para la modernización y operación eficiente del comercio electrónico, así como para promover el desarrollo de la economía digital y las tecnologías de la información en materia de protección de datos personales;
IX. Acudir a foros comerciales nacionales e internacionales en materia de protección de datos personales, o en aquellos eventos de naturaleza comercial, y
X. Apoyar la realización de eventos, que contribuyan a la difusión de la protección de los datos personales.

Artículo 44.- Las personas físicas o morales podrán convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en la materia, que complementen lo dispuesto por la presente Ley. Dichos esquemas deberán contener mecanismos para medir su eficacia en la protección de los datos, consecuencias y medidas correctivas eficaces en caso de incumplimiento.
Los esquemas de autorregulación podrán traducirse en códigos deontológicos o de buena práctica profesional, sellos de confianza u otros mecanismos y contendrán reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por los adheridos y facilitar el ejercicio de los derechos de los titulares. Dichos esquemas serán notificados de manera simultánea a las autoridades sectoriales correspondientes y al Instituto.

CAPÍTULO VII.- Del Procedimiento de Protección de Derechos

Artículo 45.- El procedimiento se iniciará a instancia del titular de los datos o de su representante legal, expresando con claridad el contenido de su reclamación y de los preceptos de esta Ley que se consideran vulnerados. La solicitud de protección de datos deberá presentarse ante el Instituto dentro de los quince días siguientes a la fecha en que se comunique la respuesta al titular por parte del responsable.
En el caso de que el titular de los datos no reciba respuesta por parte del responsable, la solicitud de protección de datos podrá ser presentada a partir de que haya vencido el plazo de respuesta previsto para el responsable. En este caso, bastará que el titular de los datos acompañe a su solicitud de protección de datos el documento que pruebe la fecha en que presentó la solicitud de acceso, rectificación, cancelación u oposición.
La solicitud de protección de datos también procederá en los mismos términos cuando el responsable no entregue al titular los datos personales solicitados; o lo haga en un formato incomprensible, se niegue a efectuar modificaciones o correcciones a los datos personales, el titular no esté conforme con la información entregada por considerar que es incompleta o no corresponda a la información requerida.
Recibida la solicitud de protección de datos ante el Instituto, se dará traslado de la misma al responsable, para que, en el plazo de quince días, emita respuesta, ofrezca las pruebas que estime pertinentes y manifieste por escrito lo que a su derecho convenga.
El Instituto admitirá las pruebas que estime pertinentes y procederá a su desahogo. Asimismo, podrá solicitar del responsable las demás pruebas que estime necesarias. Concluido el desahogo
de las pruebas, el Instituto notificará al responsable el derecho que le asiste para que, de considerarlo necesario, presente sus alegatos dentro de los cinco días siguientes a su notificación.
Para el debido desahogo del procedimiento, el Instituto resolverá sobre la solicitud de protección de datos formulada, una vez analizadas las pruebas y demás elementos de convicción que estime pertinentes, como pueden serlo aquéllos que deriven de la o las audiencias que se celebren con las partes.
El Reglamento de la Ley establecerá la forma, términos y plazos conforme a los que se desarrollará el procedimiento de protección de derechos.

Artículo 46.- La solicitud de protección de datos podrá interponerse por escrito libre o a través de los formatos, del sistema electrónico que al efecto proporcione el Instituto y deberá contener la siguiente información:
I. El nombre del titular o, en su caso, el de su representante legal, así como del tercero interesado, si lo hay;
II. El nombre del responsable ante el cual se presentó la solicitud de acceso, rectificación, cancelación u oposición de datos personales;
III. El domicilio para oír y recibir notificaciones;
IV. La fecha en que se le dio a conocer la respuesta del responsable, salvo que el procedimiento inicie con base en lo previsto en el artículo 50;
V. Los actos que motivan su solicitud de protección de datos, y
VI. Los demás elementos que se considere procedente hacer del conocimiento del Instituto.
La forma y términos en que deba acreditarse la identidad del titular o bien, la representación legal se establecerán en el Reglamento.
Asimismo, a la solicitud de protección de datos deberá acompañarse la solicitud y la respuesta que se recurre o, en su caso, los datos que permitan su identificación. En el caso de falta de respuesta sólo será necesario presentar la solicitud.
En el caso de que la solicitud de protección de datos se interponga a través de medios que no sean electrónicos, deberá acompañarse de las copias de traslado suficientes.

Artículo 47.- El plazo máximo para dictar la resolución en el procedimiento de protección de derechos será de cincuenta días, contados a partir de la fecha de presentación de la solicitud de protección de datos. Cuando haya causa justificada, el Pleno del Instituto podrá ampliar por una vez y hasta por un período igual este plazo.

Artículo 48.- En caso que la resolución de protección de derechos resulte favorable al titular de los datos, se requerirá al responsable para que, en el plazo de diez días siguientes a la notificación o cuando así se justifique, uno mayor que fije la propia resolución, haga efectivo el ejercicio de los derechos objeto de protección, debiendo dar cuenta por escrito de dicho cumplimiento al Instituto dentro de los siguientes diez días.

Artículo 49.- En caso de que la solicitud de protección de datos no satisfaga alguno de los requisitos a que se refiere el artículo 46 de esta Ley, y el Instituto no cuente con elementos para subsanarlo, se prevendrá al titular de los datos dentro de los veinte días hábiles siguientes a la presentación de la solicitud de protección de datos, por una sola ocasión, para que subsane las omisiones dentro de un plazo de cinco días. Transcurrido el plazo sin desahogar la prevención se tendrá por no presentada la solicitud de protección de datos. La prevención tendrá el efecto de interrumpir el plazo que tiene el Instituto para resolver la solicitud deprotección de datos.

Artículo 50.- El Instituto suplirá las deficiencias de la queja en los casos que así se requiera, siempre y cuando no altere el contenido original de la solicitud de acceso, rectificación, cancelación u oposición de datos personales, ni se modifiquen los hechos o peticiones expuestos en la misma o en la solicitud de protección de datos.

Artículo 51.– Las resoluciones del Instituto podrán:
I. Sobreseer o desechar la solicitud de protección de datos por improcedente, o
II. Confirmar, revocar o modificar la respuesta del responsable.

Artículo 52.– La solicitud de protección de datos será desechada por improcedente cuando:
I. El Instituto no sea competente;
II. El Instituto haya conocido anteriormente de la solicitud de protección de datos contra el mismo
acto y resuelto en definitiva respecto del mismo recurrente;
III. Se esté tramitando ante los tribunales competentes algún recurso o medio de defensa interpuesto por el titular que pueda tener por efecto modificar o revocar el acto respectivo;
IV. Se trate de una solicitud de protección de datos ofensiva o irracional, o
V. Sea extemporánea.

Artículo 53.- La solicitud de protección de datos será sobreseída cuando:
I. El titular fallezca;
II. El titular se desista de manera expresa;
III. Admitida la solicitud de protección de datos, sobrevenga una causal de improcedencia, y
IV. Por cualquier motivo quede sin materia la misma.

Artículo 54.- El Instituto podrá en cualquier momento del procedimiento buscar una conciliación entre el titular de los datos y el responsable.
De llegarse a un acuerdo de conciliación entre ambos, éste se hará constar por escrito y tendrá efectos vinculantes. La solicitud de protección de datos quedará sin materia y el Instituto verificará el cumplimiento del acuerdo respectivo.
Para efectos de la conciliación a que se alude en el presente ordenamiento, se estará al procedimiento que se establezca en el Reglamento de esta Ley.

Artículo 55.- Interpuesta la solicitud de protección de datos ante la falta de respuesta a una solicitud en ejercicio de los derechos de acceso, rectificación, cancelación u oposición por parte del responsable, el Instituto dará vista al citado responsable para que, en un plazo no mayor a diez días, acredite haber respondido en tiempo y forma la solicitud, o bien dé respuesta a la misma. En caso de que la respuesta atienda a lo solicitado, la solicitud de protección de datos se considerará improcedente y el Instituto deberá sobreseerlo.
En el segundo caso, el Instituto emitirá su resolución con base en el contenido de la solicitud original y la respuesta del responsable que alude el párrafo anterior.
Si la resolución del Instituto a que se refiere el párrafo anterior determina la procedencia de la solicitud, el responsable procederá a su cumplimiento, sin costo alguno para el titular, debiendo cubrir el responsable todos los costos generados por la reproducción correspondiente.

Artículo 56.- Contra las resoluciones del Instituto, los particulares podrán promover el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa.

Artículo 57.- Todas las resoluciones del Instituto serán susceptibles de difundirse públicamente en versiones públicas, eliminando aquellas referencias al titular de los datos que lo identifiquen o lo hagan identificable.

Artículo 58.- Los titulares que consideren que han sufrido un daño o lesión en sus bienes o derechos como consecuencia del incumplimiento a lo dispuesto en la presente Ley por el responsable o el encargado, podrán ejercer los derechos que estimen pertinentes para efectos de la indemnización que proceda, en términos de las disposiciones legales correspondientes.

CAPÍTULO VIII.- Del Procedimiento de Verificación

Artículo 59.- El Instituto verificará el cumplimiento de la presente Ley y de la normatividad que de ésta derive. La verificación podrá iniciarse de oficio o a petición de parte.
La verificación de oficio procederá cuando se dé el incumplimiento a resoluciones dictadas con motivo de procedimientos de protección de derechos a que se refiere el Capítulo anterior o se presuma fundada y motivadamente la existencia de violaciones a la presente Ley.

Artículo 60.– En el procedimiento de verificación el Instituto tendrá acceso a la información y documentación que considere necesarias, de acuerdo a la resolución que lo motive.
Los servidores públicos federales estarán obligados a guardar confidencialidad sobre la información que conozcan derivada de la verificación correspondiente.
El Reglamento desarrollará la forma, términos y plazos en que se sustanciará el procedimiento a que se refiere el presente artículo.

CAPÍTULO IX.- Del Procedimiento de Imposición de Sanciones

Artículo 61.– Si con motivo del desahogo del procedimiento de protección de derechos o del procedimiento de verificación que realice el Instituto, éste tuviera conocimiento de un presunto incumplimiento de alguno de los principios o disposiciones de esta Ley, iniciará el procedimiento a que se refiere este Capítulo, a efecto de determinar la sanción que corresponda.

Artículo 62.- El procedimiento de imposición de sanciones dará comienzo con la notificación que efectúe el Instituto al presunto infractor, sobre los hechos que motivaron el inicio del procedimiento y le otorgará un término de quince días para que rinda pruebas y manifieste por escrito lo que a su derecho convenga. En caso de no rendirlas, el Instituto resolverá conforme a los elementos de convicción de que disponga.
El Instituto admitirá las pruebas que estime pertinentes y procederá a su desahogo. Asimismo, podrá solicitar del presunto infractor las demás pruebas que estime necesarias. Concluido el desahogo de las pruebas, el Instituto notificará al presunto infractor el derecho que le asiste para que, de considerarlo necesario, presente sus alegatos dentro de los cinco días siguientes a su notificación.
El Instituto, una vez analizadas las pruebas y demás elementos de convicción que estime pertinentes, resolverá en definitiva dentro de los cincuenta días siguientes a la fecha en que inició el procedimiento sancionador. Dicha resolución deberá ser notificada a las partes.
Cuando haya causa justificada, el Pleno del Instituto podrá ampliar por una vez y hasta por un período igual este plazo.
El Reglamento desarrollará la forma, términos y plazos en que se sustanciará el procedimiento de imposición de sanciones, incluyendo presentación de pruebas y alegatos, la celebración de audiencias y el cierre de instrucción.

CAPÍTULO X.- De las Infracciones y Sanciones

Artículo 63.- Constituyen infracciones a esta Ley, las siguientes conductas llevadas a cabo por el responsable:
I. No cumplir con la solicitud del titular para el acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales, sin razón fundada, en los términos previstos en esta Ley;
II. Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes de acceso, rectificación, cancelación u oposición de datos personales;
III. Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable;
IV. Dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley;
V. Omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 16 de esta Ley;
VI. Mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los titulares;
VII. No cumplir con el apercibimiento a que se refiere la fracción I del artículo 64;
VIII. Incumplir el deber de confidencialidad establecido en el artículo 21 de esta Ley;
IX. Cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo dispuesto por el artículo 12;
X. Transferir datos a terceros sin comunicar a éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la divulgación de los mismos;
XI. Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable;
XII. Llevar a cabo la transferencia o cesión de los datos personales, fuera de los casos en que esté permitida por la Ley;
XIII. Recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que éste sea exigible;
XIV. Obstruir los actos de verificación de la autoridad;
XV. Recabar datos en forma engañosa y fraudulenta;
XVI. Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los titulares;
XVII. Tratar los datos personales de manera que se afecte o impida el ejercicio de los derechos de acceso, rectificación, cancelación y oposición establecidos en el artículo 16 de la Constitución Política de los Estados Unidos Mexicanos;
XVIII. Crear bases de datos en contravención a lo dispuesto por el artículo 9, segundo párrafo de esta Ley, y
XIX. Cualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en términos de lo previsto en la presente Ley.

Artículo 64.- Las infracciones a la presente Ley serán sancionadas por el Instituto con:
I. El apercibimiento para que el responsable lleve a cabo los actos solicitados por el titular, en los términos previstos por esta Ley, tratándose de los supuestos previstos en la fracción I del artículo anterior;
II. Multa de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal, en los casos previstos en las fracciones II a VII del artículo anterior;
III. Multa de 200 a 320,000 días de salario mínimo vigente en el Distrito Federal, en los casos previstos en las fracciones VIII a XVIII del artículo anterior, y
IV. En caso de que de manera reiterada persistan las infracciones citadas en los incisos anteriores, se impondrá una multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el Distrito Federal. En tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta por dos veces, los montos establecidos.

Artículo 65.- El Instituto fundará y motivará sus resoluciones, considerando:
I. La naturaleza del dato;
II. La notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, en términos de esta Ley;
III. El carácter intencional o no, de la acción u omisión constitutiva de la infracción;
IV. La capacidad económica del responsable, y
V. La reincidencia.

Artículo 66.- Las sanciones que se señalan en este Capítulo se impondrán sin perjuicio de la responsabilidad civil o penal que resulte.

CAPÍTULO XI.- De los Delitos en Materia del Tratamiento Indebido de Datos Personales

Artículo 67.- Se impondrán de tres meses a tres años de prisión al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia.

Artículo 68.- Se sancionará con prisión de seis meses a cinco años al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos.

Artículo 69.- Tratándose de datos personales sensibles, las penas a que se refiere este Capítulo se duplicarán.

TRANSITORIOS

PRIMERO.- El presente Decreto entrará en vigor al día siguiente al de su publicación en el Diario Oficial de la Federación.

SEGUNDO.- El Ejecutivo Federal expedirá el Reglamento de esta Ley dentro del año siguiente a su entrada en vigor.

TERCERO.- Los responsables designarán a la persona o departamento de datos personales a que se refiere el artículo 30 de la Ley y expedirán sus avisos de privacidad a los titulares de datos personales de conformidad a lo dispuesto por los artículos 16 y 17 a más tardar un año después de la entrada en vigor de la presente Ley.

CUARTO.- Los titulares podrán ejercer ante los responsables sus derechos de acceso, rectificación, cancelación y oposición contemplados en el Capítulo IV de la Ley; así como dar inicio, en su caso, al procedimiento de protección de derechos establecido en el Capítulo VII de la misma, dieciocho meses después de la entrada en vigor de la Ley.

QUINTO.- En cumplimiento a lo dispuesto por el artículo tercero transitorio del Decreto por el que se adiciona la fracción XXIX-O al artículo 73 de la Constitución Política de los Estados Unidos Mexicanos, publicado en el Diario Oficial de la Federación el 30 de abril de 2009, las disposiciones locales en materia de protección de datos personales en posesión de los particulares se abrogan, y se derogan las demás disposiciones que se opongan a la presente Ley.

SEXTO.- Las referencias que con anterioridad a la entrada en vigor del presente Decreto, se hacen en las leyes, tratados y acuerdos internacionales, reglamentos y demás ordenamientos al Instituto Federal de Acceso a la Información Pública, en lo futuro se entenderán hechas al Instituto Federal de Acceso a la Información y Protección de Datos Personales.

SÉPTIMO.- Las acciones que, en cumplimiento a lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, corresponda realizar al Ejecutivo Federal, se sujetarán a los presupuestos aprobados de las instituciones correspondientes y a las disposiciones de la Ley Federal de Presupuesto y Responsabilidad Hacendaria.

OCTAVO.- El Presupuesto de Egresos de la Federación para el Ejercicio Fiscal de 2011 considerará partidas suficientes para el adecuado funcionamiento del Instituto Federal de Acceso a la Información y Protección de Datos en las materias de esta Ley.

ARTÍCULO SEGUNDO. Se reforman los artículos 3, fracciones II y VII, y 33, así como la denominación del Capítulo II, del Título Segundo, de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, para quedar como sigue:

Artículo 3.- Para los efectos de esta Ley se entenderá por:
I. …
II. Datos personales: Cualquier información concerniente a una persona física identificada o identificable;
III. a VI. …
VII. Instituto: El Instituto Federal de Acceso a la Información y Protección de Datos, establecido en el Artículo 33 de esta Ley;
VIII. a XV. …
CAPÍTULO II
Del Instituto
Artículo 33.- El Instituto es un órgano de la Administración Pública Federal, con autonomía operativa, presupuestaria y de decisión, encargado de promover y difundir el ejercicio del derecho a la información; resolver sobre la negativa a las solicitudes de acceso a la información y proteger los datos personales en poder de las dependencias y entidades.

TRANSITORIO

ÚNICO.- El presente Decreto entrará en vigor al día siguiente al de su publicación en el Diario Oficial de la Federación.

México, D.F., a 27 de abril de 2010.-

Dip. Francisco Javier Ramirez Acuña, Presidente.- Sen. Carlos Navarrete Ruiz, Presidente.- Dip. Georgina Trujillo Zentella, Secretaria.- Sen. Renán Cleominio Zoreda Novelo, Secretario.-

En cumplimiento de lo dispuesto por la fracción I del Artículo 89 de la Constitución Política de los Estados Unidos Mexicanos, y para su debida publicación y observancia, expido el presente Decreto en la Residencia del Poder Ejecutivo Federal, en la Ciudad de México, Distrito Federal, a veintiocho de junio de dos mil diez.-

Felipe de Jesús Calderón Hinojosa.

El Secretario de Gobernación, Lic. Fernando Francisco Gómez Mont Urueta.

01Oct/08

La protección de datos personales

La protección de datos personales
El impactante caso del Arzobispado de Valencia

La protección de datos personales es un tema que día tras día nos lo vamos encontrando en la práctica jurídica;son cada vez mas las sentencias y pronunciamientos judiciales que en sus escritos aparece como núcleo esencial este relevante derecho de protección de datos cuya importancia supera y con creces al propio derecho de la intimidad.

En España está en vigor la Ley de Protección de Datos (en adelante LOPD desde el año 1999;ley que derogaba la anterior de 1992 que llevaba por título “del tratamiento automatizado de datos personales de carácter personal”.Nuestro actual texto omite en su enunciado el término “automatizado”,pero no supone una limitación a todos aquellos datos susceptibles de encontrarse en ficheros manuales o no automatizados,sino que es una ley que refuerza a estos últimos y los empareja,tratándolos de igual a igual,habida cuenta del estado actual de la técnica;pues no son pocas las empresas o instituciones varias que poseen ficheros que contienen dichos datos personales de personas físicas

El presente artículo trata de un posible conflicto de derechos:por un lado el derecho a la libertad religiosa (LOLR) y por otro el derecho a la protección de datos y digo conflicto puesto que estamos ante dos derechos fundamentales recogidos en nuestra Constitución Española del año 1978.

Contamos con el comentario de una reciente sentencia del Tribunal Supremo (TS) que resuelve en casación un recurso interpuesto por el Arzobispado de Valencia contra una sentencia de la Audiencia Nacional (AN) en la que consideraba ésta que los Libros de Bautismo eran ficheros y que como tales contenía datos personales. Estudiemos y analicemos este escrito:

Como he mencionado antes,estamos ante un Recurso de Casación, concretamente el 6031/2007 que resuelve y contradice el Recurso Contencioso-Administrativo 171/06 de 10 de octubre de 2007 de la Audiencia Nacional.

Una persona física pretende ejercer el derecho de cancelación y de forma exhaustiva,la cancelación de la anotación de su bautismo en el libro de éstos. Por otra parte,el Arzobispado de la ciudad española de Valencia no lo considera apropiado y se niega por completo a que el particular satisfaga sus propios intereses;intereses que de forma evidente están recogidos en la propia LOPD (acceso,rectificación,CANCELACION,oposición,bloqueo).

La Agencia Española de protección de Datos (en adelante AEPD) es el máximo órgano administrativo encargado de velar por los intereses de los perjudicados/personas físicas y emite una resolución contraria a su vez a la sentencia que es recurrida por la parte actora; en este caso el Arzobispado de Valencia.

La AN mediante Recurso Contencioso-Administrativo razona diversos fundamentos a modo de ejemplo el quinto y como ámbito objetivo:

“En primer lugar,ha de tratarse de datos de carácter personal y los que constan en el Libro de Bautismo lo son,pues se concretan en el nombre y apellidos del bautizado entre otros. En este sentido,el artículo 3.a) de la citada LO 15/1999,dispone que son datos de carácter personal”cualquier información concerniente a personas identificadas o identificables” y el nombre y apellidos insistimos lo son pues revelan una información de identificación del titular de los datos,como esta sala ha venido declarando con reiteración”.

La parte actora considera que los Libros de Bautismo carecen por completo de la consideración de ficheros y por tanto no hay datos personales. La complejidad radica en que se produce un conflicto de derechos:el alegado por el Arzobispado de Valencia que aduce que se está vulnerando el artículo 1.6 de los Acuerdos Jurídicos entre la Santa Sede y el estado español de 3 de Enero de 1979;que nos encontramos ante un tratado internacional que ya forma parte del derecho internacional de España (artículos 94 y 95 de la CE9 y que aun cabiendo la posibilidad de haber un derecho vulnerado de protección de datos personales la libre organización y funcionamiento de su plena autonomía debe establecerse y no obligar por tanto al Arzobispado de Valencia a realizar las anotaciones precisamente en el Libro de Bautismos (dejamos para después las opiniones personales);así lo dice el fundamento octavo de la todavía analizada sentencia de la AN:

“Invoca igualmente la entidad actora su plena autonomía en el establecimiento de sus formas de organizase y funcionar en cuanto manifestación de su derecho fundamental a la libertad religiosa (artículos 16.1 CE y artículo 6 LO 7/1980 de Libertad Religiosa).La llevanza de sus libros y su intangibilidad sería por tanto una manifestación de ese derecho fundamental que operaría como límite del derecho a la protección de datos del afectado,en cualquiera de sus manifestaciones,de suerte que una manifestación integrada en el Estado,como es la AEPD,encargada de velar por este último derecho,no podría cursarle órdenes que fuesen contrarias a sus propias normas de funcionamiento”.

En la representación del recurrente se formulan tres motivos de recurso,el primero:la infracción de dicho artículo 1.6 de los Acuerdos Santa Sede-estado español,al amparo del artículo 88.1 d) de la Ley Jurisdiccional.

El segundo motivo es la vulneración del artículo 6 de la Ley Orgánica de Libertad Religiosa en relación con el artículo 16.1 de la CE,en función de lo recientemente anotado:la autonomía en el establecimiento de sus formas de organización y establecimiento.

Y por último el tercer motivo de recurso es al amparo del también artículo 88.1 d) de la Ley Jurisdiccional en el que se consideran vulnerados los artículos 2,4,5 y 11 de la vigente LOPD,considerando que los Libros de Bautismo no son ficheros,sino hechos históricos en un momento dado. Incluye también que estos libros no están ordenados ni alfabéticamente ni por fecha de nacimiento,sino de bautismo.

Siguiendo la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de Octubre de 1995,referente a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos,se define fichero como “todo conjunto organizado de datos de carácter personal,cualquiera que fuera la forma o modalidad de su creación,almacenamiento,organización y acceso”.Quiero por tanto dejar mi opinión en relación a la amplia definición de fichero que se ha leído:que pese a que no están ordenados ni alfabéticamente ni por fechas de nacimiento,sí lo están por bautismo y accediendo a éstos,podríamos llegar a saber mas datos personales de cualquiera. Me aproximo en este sentido a la doctrina de la AN de que la información que aparece en los libros de bautismo son datos personales y que aquéllos son ficheros strictu sensu;la ley evidentemente debería ser de aplicación en este caso y sí cabría fundamentar la práctica de anotación marginal.

La LOPD en su artículo 3 a) dispone que son de carácter personal “cualquier información concerniente a personas físicas identificadas o identificables”.Los nombres y apellidos son bajo mi punto de vista datos personales y deben estar completamente protegidos. El hecho de considerar que el fichero es un Libro de Bautismo no nos debe apartar de la consideración de encontrarse en un soporte físico y la ley habla perfectamente de soportes físicos u otros.

Resumiendo hasta ahora:tenemos nombre y apellidos (datos personales) que aparecen en un fichero registrado en soporte físico (Libro de Bautismos) y que pueden ser fácilmente tratados;atendemos en este caso a la definición de tratamiento;amplia definición por otro lado según los preceptos legales cuando nos referimos a la expedición de una partida de bautismo,pero incluso en estas partidas se hace referencia a personas fallecidas;¿a donde nos lleva esto?;pues a que los datos no están actualizados ni son veraces;vulneración también del artículo 4.3 de la LOPD: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.De hecho,creo que podría tratarse de una infracción del principio de información puesto que contamos con datos de personas ya fallecidas y esos ficheros no han sido actualizados.

Según el Tribunal Supremo,no hay inexactitud de los datos y no es discutible;puede ser que todo lo reflejado en los Libros de Bautismo sea absolutamente certero,pero el criterio histórico a mi modo de ver no debería reflejarse aquí:serán datos históricos pero al fin y al cabo son datos personales,pues pueden comprobarse sus nombres y apellidos.

También me gustaría hacer referencia a un fragmento de este Recurso de Casación en lo atinente a la globalidad de procesos. Puede llegar uno a pensar en la informatización de esas partidas de bautismo;si así fuese ya estaríamos hablando de datos personales y en ficheros automatizados. Si además añadimos la posibilidad de entrecruzar esos datos de bautismo o acceder a ellos por parte de terceros,el resultado final es que con esas aplicaciones informáticas sabemos perfectamente los datos personales de los bautizados y aun así la doctrina del TS seguiría negando la consideración de los Libros de Bautismos como ficheros en sí.

Me aproximo mucho mas a la idea mostrada por la AN en su Recurso Contencioso-Administrativo de pensar en datos personales los reflejados en los Libros de Bautismos;en pensar que estos son ficheros (automatizados o no) y que el particular-persona física debería tener derecho a que se realizase por parte del Arzobispado de Valencia nota marginal en sus correspondientes Libros de Bautismos. El fallo definitivo que resuelve el TS es que casa y anula lo decidido por la AN y estima el inicial Recurso Contencioso-Administrativo interpuesto por aquel Arzobispado.

Como información añadida mencionar según nota de prensa de la propia AEPD que ésta recurrirá la sentencia del TS sobre cancelación de datos en los Libros de Bautismos,para ello presentará un incidente de nulidad de actuaciones ante el TS y de no prosperar este trámite interpondrá Recurso de Amparo ante el Tribunal Constitucional (TC).

01Sep/07

Breve comentario al artículo 7 sobre la protección de datos personales de la salud

Breve comentario al artículo 7 sobre la protección de datos personales de la salud

En la actualidad, el tema de la protección de los datos personales en lo concerniente a la salud y su ulterior consideración como datos sensibles, hace que lo concibamos no como una especie de “patito feo” en el mundo de la teoría de la protección de datos, sino en todo caso como la salvaguarda y esperanza posible de un mayor acercamiento a un campo digno de especial consideración como éste, que el presente artículo titula.

De forma ejemplificativa, la situación mencionada se enmarca dentro de los datos personales de la salud de las personas físicas con la proliferación de clínicas especializadas en el campo científico de la cirugía estética y demás cuestiones análogas, como puede ser el caso de una consultora determinada que representa a uno de estos centros privados; pues bien, una cuestión en modo alguno carente de relevancia práctica como es la posibilidad de incluir los datos estéticos a la categoría de datos personales relativos a la salud.

La primera idea que se nos puede venir a la cabeza es un no rotundo: nada tiene que ver un dato estético con un dato de salud. La estética está completamente reñida con la enfermedad, si bien lo primero puede derivar en lo segundo. No ha sido, ni es la primera vez que se han escuchado el caso de personas que estaban completamente interesadas en la realización de ciertas mejoras físicas y se han visto finalmente abocadas a complicaciones diversas de cierto calibre, muchas de ellas cuando no, con la propia muerte.

Para poder centrarnos en el tema, opino que los elementos de mayor relevancia serían los atinentes a los propios servicios que una empresa estética viene realizando desde hace tiempo y la categoría profesional a la que puede ser encuadrables los profesionales que atienden y hacen frente en dichos lugares.

Como primer enfoque y mediante una tarea de simple descarte, los datos personales referentes a las personas, aparecen en el artículo 7.3 de la Ley Orgánica de Protección de Datos (legislación actual).El presente artículo exige el consentimiento expreso a diferencia del párrafo anterior en el que dicho beneplácito presenta los rasgos de expreso y por escrito.

Al hablar de datos sensibles, creo que lo mas conveniente a la hora de reforzar su garantía debida y por tanto elevar la seguridad jurídica, hubiera sido mejor, medir por el mismo rasero los párrafos segundo y tercero del artículo 7 de la LOPD para evitar sobretodo, dudas específicas en la labor de interpretación llevada a cabo por los propios órganos judiciales o bien la posible unificación de ambos párrafos en uno solo con el fin de evitar la existencia de dos pequeños subgrupos de datos especialmente protegidos. Lo que no cabe duda es que es una cuestión en la que el legislador, debió prestar en su día mayor atención, como así dice Vizcaíno Calderón en su “Comentario a la Ley de Protección de Datos”.

Es una idea encomiable por parte del legislador, la consideración de aspectos psicológicos como la salud mental, los temas genéticos y el alcohol entre otros, para introducirlos en el articulado de la ley dentro de lo que son los datos sensibles, ciertamente merecen su injerencia en esta parte y como ejemplo de su utilidad pragmática y para su mejor consulta tenemos la posibilidad de consultar lo establecido en la Memoria Explicativa del Convenio 108 y la Recomendación número R (97) 5,del Comité de Ministros del Consejo de Europa, relativo a la protección de datos médicos, siendo éstos mismos ahora los textos de referencia en esta materia.

¿Pero y los datos estéticos? .¿ Donde los ubicamos, entonces? .Porque alguna cabida por mínima que sea deben de tener. La LOPD se olvida por completo de ello, no mencionando el término estética. Es curioso que en ocasiones el legislador tiene la intención de abarcar un gran número de supuestos pera ser regulados y una cuestión que aparentemente es tan simple como puede ser lo estético y todo lo que ello conlleva se le olvida o no lo tiene en cuenta sobretodo en una ley cuyo contexto social refleja una época de considerable avance. A mi modo de ver, podrían darse dos situaciones: por un lado optar por hacer una interpretación extensiva sobre lo establecido en la propia ley, con la consiguiente contrapartida de no obtener el respaldo judicial, basándose los tribunales en sus decisiones en el tenor literal de los preceptos normativos; por otra en la necesidad de refugiarnos en la Ley 41/2002 de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica que “viene a solventar varias de las interrogaciones suscitadas respecto al tratamiento de los datos de salud” como muy bien apunta Fanny Coudert en la obra ” Estudio práctico sobre la protección de datos de carácter personal”.

Esta ley puede ser la que mejor se acerque a las cuestiones que se han planteado sobre datos de estética; la mayor ayuda ya nos la da el artículo 4 al hablar de “datos, valoraciones e informaciones de un paciente a lo largo de su proceso asistencial”,no especificando además el tipo de profesional médico (enfermera, residente, supervisor etc).Debe ser un profesional cualificado, para una clínica pública o privada, cualificada a su vez y sometido ante todo al secreto profesional. Estas tres características se dan en el presente caso; de hecho si la LOPD es de aplicación a todo lo que no regule la ley del 2002, no veo a mi juicio inconveniente en tener en cuenta, no solo la propia LOPD, sino también la ya mencionada Ley 41/2002,como estudiar en profundidad la normativa autonómica vasca de la misma materia, que aunque no tenga la misma extensión que la anterior en lo que a su aplicación se refiere, creo que podría esclarecer alguna que otra duda así como realizar una tarea de relleno y complemento con la normativa estatal a efectos de una mejor comprensión.

 

09Ene/07

Algunos principios fundamentales en la recolección de Datos Personales

Algunos principios fundamentales en la recolección de Datos Personales a tomar en cuenta para un desarrollo legislativo en Venezuela

Ante la inexistencia de una regulación específica sobre protección de datos en Venezuela es permisible disertar respecto a cuáles deberían ser los principios fundamentales que deben tomarse en cuenta en una futura regulación de esta materia. Obviamente ya existen regulaciones en el mundo en las cuales se prevén tales principios pero sería prudente reconfirmar tales principios o agregar algunos que han venido surgiendo con la práctica.

El Convenio 108 del Consejo de Europa para la Protección de las Personas con respecto al tratamiento automatizado de datos de carácter personal, suscrito en Estrasburgo el 28 de enero de 1981, prevé algunos de los principios primarios en cuanto a la calidad y la recolección de datos personales. Son un conjunto de llamados o elementos que deben ser tomados en cuenta a la hora del desarrollo legislativo que debería hacer cada uno de los países miembros de la comunidad europea. No obstante, invita a los no miembros a tomar en cuentas tales recomendaciones.

De dicho convenio podemos extraer los siguiente principios. En primer lugar, se hace una mención sobre la lealtad y la legitimidad que debe imperar al momento de la obtención. Es un llamado a que en caso de que se disponga de un instrumentos normativo que regule la recolección u obtención de datos éste sea respetado por el recolector. De igual forma se exige un comportamiento ético al momento de la obtención, la lealtad en el sentido de no obtener la información bajo engaño o ardides. Que no se utilicen mecanismos que pudieran generar la obtención de una información que no quiere ser suministrada por el titular y el instrumento de obtención debe ser legítimo. Un segundo principio y coherente con el proceso de recolección, es la adecuación, pertinencia y la no excesividad de la información que se recoge con el objetivo o fin de tal acto. Es el principio del fin de la información. Esta debe ser recolectada para un fin determinado, específico que además ese fin como tal debe ser claro, preciso y obviamente informado y conocido por el titular de los datos. En tal sentido, debe haber una correspondencia y coherencia entre fin y datos tratando de ser lo mas equilibrado posible que no sobre información ni falte información. Es interesante porque no sólo no debe ser excesiva la información sino que además no debe ser carente. No debe faltar información ya que le faltaría certeza y precisión. A su vez, debe el recolector respetar, y queda así vinculado, al fin con el que fue recolectada la información. El fin que conoce el titular y que consintió suministrar información para tal fin no puede ser variado ni alterado por el recolector, en caso de que así se pretenda o suceda debe ser previamente informado por su titular sino estaríamos engañándolo y obteniendo información de manera desleal. También relacionado con el principio del fin de dato, es que una vez agotado el fin, si el mismo es de un solo efecto, el dato no tiene porque ser mantenido por el recolector y el mismo debería desaparecer. Depende mucho del fin. Como dije si es un sólo acto, habiéndose cumplido el fin, el dato recogido debería desaparecer pero si es de actos continuos o sucesivos durarán lo que se haya estipulado o cuando se haya agotado el fin en si mismo. Algunas legislaciones ya prevén un plazo de tiempo en el cual estos datos se mantendrán almacenados. Depende del fin, sino el plazo deber ser un plazo razonable.

Un tercer principio previsto en este importante convenio es de la exactitud y actualización de la información. Para estos casos se exige que el recolector y quien manipula la información la mantenga actualizada y que la misma sea exacta, en el sentido de que guarde correspondencia con la realidad. Lo que se pretende evitar es una difusión de información falsa o incierta que pueda generar algún tipo de perjuicio en el titular de la misma. Por tal razón, debe contarse con sistema de actualización o solicitar de manera periódica la información actualizable al titular, o advertir al momento de difundir la información la fecha de su recolección o la imposibilidad de su actualización por cualquier razón. El principio de la seguridad y confidencialidad de la información. En este caso se debe contar con mecanismos e instrumentos apropiados para que el recolector, no es el legislador, le garantice al titular de la información que esta se mantendrá bajo estricta reserva y seguridad. Se impedirá el acceso a la información de terceras personas que puedan manipular ilegítimamente la información. Es una obligación del recolector de resguardar la información de tal manera que la misma no sea difundida o utilizada por persona no autorizada.
Por otra parte, hay un impedimento claro en el convenio en que la información personal referida al origen racial, las opiniones políticas, las convicciones religiosas u otras convicciones, así como los datos de carácter personal relativos a la salud o a la vida sexual o al de las condenas penales no puedan tratarse automáticamente a menos que en el derecho interno se prevea garantías apropiadas.
Por nuestra parte, la legislación Venezolana de manera indirecta ha previsto algunos principios que vale la pena resaltar. En la ley de la función pública estadística se recogen los principios anteriormente señalados de manera muy acertada. En primer lugar, se declara que sólo de manera voluntaria y por consentimiento expreso y a los fines estadístico, se puede suministrar información referido al origen étnico, las opiniones políticas, las convicciones ideológicas, morales o religiosas y, en general, las referidas al honor y a la intimidad personal o familiar. Este tipo de información debe suministrarse con una manifestación expresa por parte del titular y aun así dicha información queda, en el momento en que es obtenida, resguardada por el secreto estadístico siendo por tanto imposible de ser consultada (salvo consentimiento del titular) sino hasta que haya transcurrido un plazo de veinte años desde la muerte de éste, si su fecha es conocida, o, en otro caso, de treinta años a partir de la fecha de obtención de los datos para el caso de la persona natural, y de quince años cuando se trate de información económica de persona jurídica o de diez años sino es económica.

Lo mas importante a destacar es que la voluntad del titular es lo que impera en estos actos. Es una verdadera declaración de libre disposición por parte del titular de su información. En estos casos hay que tener cuidado con la información que se suministra. Esta declaración debe contar con ciertas formalidades. No quisiera detenerme mucho en esto ya que sería muy extenso. Pero en líneas generales la manifestación debe ser expresa, lo que debe inferirse que debe constar por escrito. Es un consentimiento que no debe estar viciado, en el sentido, de que no debe ser arrancado con violencia, sorprendido por dolo o como consecuencia de un error excusable. El consentimiento permite autorizar quién recoge la información, para qué la usa, a quién se la trasmite o le permite acceso, cuánto tiempo la mantiene almacenada, entre otras facultades que se otorgan. Se puede generar un delito en estos casos conforme a los artículos 20 y 22 de nuestra la Ley de Delitos Informáticos.

En segundo lugar, y siempre en función del objeto de la Ley de la función pública estadística pero principios aplicables a cualquier recolector de datos, la ley señala que lo datos deben tener una finalidad determinada. No se puede recoger datos o información personal sin que previamente exista una finalidad que a su vez sea informada al titular de los datos. Esta finalidad debe no sólo ser determinada, lo cual significa que no puede ser ambigua u oscura, sino que además debe ser explicita y legitima.

La legitimidad viene dada en el sentido de que quien recoge la información en caso de un sujeto público es competente por ley para el ejercicio de esa actividad. Hay que insistir que la finalidad deber ser comunicada al momento en que se recoge la información al titular de la información. En ese mismo acto, no es que después que recojo la información al final le informo al titular su fin. De ser así estaríamos ante una situación de engaño que genera el suministro de información. El fin debe conocerse desde el principio. Ya que tal hecho es lo que motiva la voluntad del titular en suministrar o no la información, también delimita el contenido de la información que se solicita y la que se suministra y vincula al recolector a utilizarla únicamente para el fin. En cuanto al uso es importante destacar que también debe ser claro. No puede informarse sobre un uso ilegítimo de la información o un uso ambiguo que pudiera permitirle al recolector protegerse ante una denuncia por el uso dado a la información y el cual de haberlo conocido previamente el titular no hubiese suministrado la información recolectada.

El uso se puede agotar en un acto o en varios, hay que hacerlo saber. El fin y el uso se pueden diferenciar. El fin de la información puede ser generar una base de datos de consulta gratuita u obligatoria por parte de determinados sujetos. El uso puede ser sólo para el cumplimiento de tal fin, pero también puede ser utilizado para generar unos perfiles de consumidores y venderlo a sujetos interesados. Hay un limbo entre uso y finalidad. Nuestra ley de la función pública estadística advierte que un uso distinto al señalado no es permisible, es incompatible simplemente, a menos que se traten con fines históricos o científicos de manera disociadas. Queda el recolector vinculado al fin y el uso que le ha informado al titular de la información, límite que emerge del derecho del titular de disponer de su información y de decidir libremente a quién le suministra esa información, qué puede hacer o no ese tercero con la información que se le suministra, quién posee esa información y qué hace con ella.

Un tercer principio que podemos extraer de esta Ley, es la adecuación, pertinencia y lo no excesivo de los datos. La información que se solicita y se recoge debe ser un traje a la medida del fin. Si se pretende estadísticamente determinar el desempleo en la población venezolana comprendida entre 20 y 25 años, no parece adecuado preguntar su estado civil, su número telefónico, los bienes patrimoniales que posee, entre otras preguntas. La información que debe solicitarse como dice la ley debe ser pertinente. Obviamente alude a la relación que debe existir con el fin. Es un vínculo que hay y al cual se somete el recolector. El fin le impone la adecuación, la pertinencia y la frontera de la información. No excesiva la información pero agrego, tampoco no debe faltar información. Debe ser lo mas ajustado posible al fin que se pretende. Si falta información, como he dicho, se falsea queda desactualizada y también es perjudicial.

Jurisprudencialmente en análisis del Sistema de Información Crediticia (SICRI) nuestra Sala Constitucional del Tribunal Supremo de Justicia (SC-TSJ) ha señalado que “..la utilización de dicho sistema no se constituye como un mecanismo arbitrario y anárquico de los datos personales de los usuarios de la cartera crediticia bancaria, siempre y cuando se respeten los derechos y principios básicos de la autodeterminación informática, así como los principios de proporcionalidad, racionalidad, confidencialidad, veracidad y utilización acorde con la solicitud recabada, sin que se acuerde una intromisión en los datos personalísimos del ciudadano (vgr. Enfermedades, relaciones sexuales, antecedentes penales)” (4975-15-12-2005), pese a que el 6/12/2005 (3585 SC-TSJ) se había suspendido la aplicación del artículo 192 de la Ley General de Bancos y Otras Instituciones Financieras que regulaba este Sistema de Información Crediticia.

15Mar/05

Brevi considerazioni in merito ad alcune misure minime di sicurezza in vista della scadenza del 30 giugno

Brevi considerazioni in merito ad alcune misure minime di sicurezza in vista della scadenza del 30 giugno

Il Garante per la protezione dei dati personali ha recentemente chiesto ad alcuni esperti di sicurezza informatica, in vista della scadenza del 30 giugno, termine ultimo per l’adozione delle cd. “nuove” misure minime di sicurezza previste dal Codice in materia di trattamento di dati personali (il “Codice”), di elaborare una traccia di Documento programmatico sulla sicurezza (“DPS”) che possa essere d’ausilio a tutti i soggetti che dovranno provvedervi. Il risultato, denominato “Prime riflessioni sui criteri di redazione del Documento programmatico sulla sicurezza” è stato pubblicato sul sito del Garante [http://www.garanteprivacy.it/garante/doc.jsp?ID=1002143] con l’invito ad esprimere osservazioni al riguardo. Unitamente a tale documento è stato richiamato il parere 22 marzo 2004 reso a Confindustria sull’oggetto: “prima applicazione del Codice in materia di protezione dei dati personali in materia di “misure minime” di sicurezza (art. 31-36 e Allegato B) al d.lg. n. 196/2003″, già oggetto di un mio precedente commento su questa rivista. Decisamente si tratta di un’iniziativa molto positiva, da accogliere con il massimo del favore e non rimane che attendere di conoscere i risultati dei contributi che verranno espressi.

Al di là degli aspetti tecnico-operativi sottesi alla predisposizione e compilazione del documento, mi sembra vi sia un quesito di più generale portata giuridica che merita approfondimento, vale a dire se il DPS debba essere redatto con riferimento a tutti i trattamenti di dati personali effettuati tramite strumenti elettronici, ovvero limitatamente ai soli trattamenti riguardanti dati sensibili e dati giudiziari.

Il quesito non è di poco conto, giacché una conclusione favorevole alla prima ipotesi interpretativa comportarebbe un carico di lavoro notevolmente superiore rispetto alla seconda ipotesi.

Il modello di DPS predisposto dagli esperti incaricati dal Garante sembrerebbe dare per scontata l’interpretazione estensiva, in base alla quale esso debba riguardare tutti i trattamenti di dati effettuati con strumenti elettronici. Esaminiamo ora con attenzione i vari elementi normativi che potrebbero condurci ad una conclusione piuttosto che ad un’altra.

L’art. 34 del Codice dispone il generale obbligo di adozione delle misure minime di sicurezza per i trattamenti di dati personali effettuati con strumenti elettronici. In particolare, alla lettera g), stabilisce l’obbligo di “tenuta di un aggiornato documento programmatico sulla sicurezza”. In effetti, a prima vista, tale disposizione non prevede una distinzione tra tipologie di dati personali e sembrerebbe stabilire addirittura tale obbligo per tutti i titolari di trattamenti di dati personali, senza distinzione. Una tale interpretazione sarebbe, evidentemente, eccessiva. Al riguardo occorre infatti subito osservare come la disposizione generale contenuta nel comma 1 dell’art. 34 del Codice faccia esplicito rinvio, per quanto riguarda l’adozione delle misure minine, ai “modi previsti dal disciplinare tecnico contenuto dell’allegato B)”.

Ebbene, la regola 19 contenuta nell’allegato stabilisce testualmente che “il titolare di un trattamento di dati sensibili o di dati giudiziari redige … un DPS contenente …”. Viene quindi da domandarsi quale sia il rilievo di tale precisa specificazione in relazione al più generale obbligo disposto dall’art. 34 del Codice.

A mio giudizio sono possibili due interpretazioni: la prima tenderebbe a ritenere la specificazione come meramente diretta ad individuare i soggetti tenuti alla formazione del DPS, senza implicare ulteriori conseguenze con riferimento al contenuto del DPS; la seconda, viceversa, tenderebbe a ritenere che la specificazione non riguardi solo i soggetti, bensì anche l’ambito oggettivo di predisposizione del DPS.

Accedendo alla prima interpretazione, sostenibile nella misura in cui si osservi che nel sottopunto 19.1 si menzionano semplicemente i “dati personali”, si approderebbe tuttavia ad una palese incongruenza, dato che solamente determinati soggetti, vale a dire i titolari che trattano dati sensibili o giudiziari, risulterebbero obbligati ad adottare una misura la cui portata riguarderebbe, tuttavia, il contenimento del rischio derivante da tutti i trattamenti di dati personali. Ed allora non si capirebbe la ragione di tale differenziazione, che sarebbe anche iniqua, giacché, a parità di rischio (quello indotto dal trattamento di dati personali comuni, vale a dire diversi da quelli sensibili e giudiziari), solo alcuni titolari risulterebbero onerati dell’obbligo di una misura di sicurezza per il contenimento del medesimo rischio che colpirebbe anche altri titolari, non altrettanto obbligati.

Salvo considerare che per un titolare di trattamento di dati sensibili e giudiziari l’onere di protezione dei dati personali comuni sia maggiore rispetto ad altri titolari. Pur tuttavia tale ragione andrebbe dimostrata e non mi sembra tale allo stato dei fatti. Posto, dunque, che non si intravedono ragioni concrete per giustificare una simile ipotesi, sull’argomento occorrerebbe anche considerare l’ipotesi, alquanto frequente, in cui il titolare procede “internamente” al trattamento dei dati sensibili e giudiziari senza ricorrere all’ausilio di strumenti elettronici, salvo affidare all’esterno il trattamento dei medesimi (normalmente un fornitore di servizi di elaborazione di paghe e contributi nominato responsabile del trattamento), da effettuare con l’ausilio di strumenti elettronici. É intuitivo che in questo particolare caso vi sarebbe la possibilità di limitare la redazione del DPS al solo responsabile “esterno” del trattamento, il quale potrebbe garantire anche maggiore protezione in virtù della specializzazione che lo contraddistingue, possibilità che sarebbe tuttavia impedita sempre applicando prima ipotesi interpretativa.

Accedendo alla seconda interpretazione, vale a dire che la redazione del DPS sia dovuta dai soli titolari che trattano dati sensibili e giudiziari e con riferimento solamente ai trattamenti che riguardano tali specifici dati, si approda ad una soluzione certamente più logica e per questo anche più equa.
Ulteriore elemento che milita a favore della seconda interpretazione si trova analizzando i titoli che sono contenuti nell’Allegato B) al fine di raggruppare le varie regole presenti. Ebbene, dopo la sezione “Documento programmatico sulla sicurezza” troviamo “Ulteriori misure in caso di trattamento di dati sensibili o giudiziari”. Analizzando con attenzione il contenuto delle regole da 20 a 24 nessuno può dubitare che tali disposizioni siano riferite, e si applichino, esclusivamente al trattamento di dati sensibili e giudiziari e non può sorgere dubbio che tali regole non riguardino i trattamenti di altri dati personali. Proprio l’aggettivo “ulteriori” sembrerebbe indicarci che le disposizioni riguardanti il DPS sono esclusivamente rivolte ai trattamenti di dati sensibili e giudiziari e non altrimenti. Diversamente non avrebbe significato l’uso di tale aggettivo.

Per le ragioni sopra esposte, ritengo preferibile adottare l’interpretazione in base alla quale il DPS debba essere formato, ed aggiornato periodicamente, con riferimento esclusivamente al trattamento di dati personali sensibili o giudiziari. Naturalmente, ciò non toglie che sarebbe ottima pratica imprenditoriale decidere di estendere la predisposizione del DPS a tutti i dati personali oggetto di trattamento presso un titolare, in considerazione non solo del generale obbligo di protezione dei dati contenuto nell’art. 31 del Codice, bensì anche in ragione della necessità di tutelare il patrimonio informativo dell’impresa, asset determinante per la sopravvivenza sul mercato e per assicurare la continuità di business.


Vorrei ora effettuare qualche riflessione in merito alla misura di sicurezza prevista dalla regola n. 10 contenuta nell’Allegato B) al Codice.

La regola disciplina le modalità d’accesso ai dati o agli strumenti elettronici, da parte del titolare, quando siano protetti dalla componente riservata della credenziale per l’autenticazione di un incaricato. La domanda che ci si pone è se debba essere considerato obbligatorio per un titolare il ricorso alla procedura delineata nella parte finale della regola, che si basa su un sistema di custodia delle copie delle credenziali segrete attraverso l’individuazione di soggetti incaricati della custodia, ovvero se sia possibile realizzare analogo livello di protezione dei dati personali e degli strumenti elettronici anche mediante altra idonea procedura. Il quesito assume rilievo in ragione dell’onere indotto dalla procedura individuata dal legislatore, che risulta particolarmente macchinosa, soprattutto in considerazione dei periodici rinnovi delle credenziali stabiliti per legge.

Analizzando in dettaglio la regola n. 10 essa appare logicamente ripartita in due parti. Nella prima si ricava il principio che legittima l’accesso ai dati ed agli strumenti elettronici da parte del titolare quando siano protetti mediante impiego della componente riservata di una credenziale per l’autenticazione. In tal caso, sono complessivamente e contemporaneamente necessarie: i) idonee e preventive disposizioni scritte volte ad individuare le modalità di accesso da parte del titolare; ii) la prolungata assenza o impedimento dell’incaricato; iii) la circostanza, indotta dalle condizioni di cui sub ii) precedente, che l’accesso si renda indispensabile e indifferibile; iv) la circostanza che l’accesso avvenga per esclusive necessità di operatività e di sicurezza del sistema. Ebbene, in presenza di tutte queste condizioni l’accesso sostitutivo del titolare, rispetto all’incaricato, ai dati personali o agli strumenti elettronici è da ritenere legittimo nonché consentito.

Venendo alla parte terminale della regola n. 10, a me sembra che la procedura descritta sia da considerare quale esemplificativa delle “idonee e preventive disposizioni”, nel senso che qualora un titolare opti per un sistema di custodia delle copie delle credenziali, in tal caso sarà obbligato a seguire le prescrizioni fornite.

Non mi sembra, viceversa, che dalla norma si possa ricavare il principio di obbligatorietà del ricorso ad una simile procedura. E ciò in quanto tale procedura sarebbe di fatto applicabile solamente con una tipologia delle credenziali per l’autenticazione previste dalla regola n. 2 dell’Allegato B). É evidente, ad esempio, che una simile procedura non sarebbe minimamente applicabile qualora il titolare disponesse l’adozione di credenziali per l’autenticazione basate su di una caratteristica biometria dell’incaricato. In tal caso sarebbe veramente comico, se non da film dell’orrore, pensare al deposito ed alla custodia delle copie delle credenziali. Stesso discorso varrebbe per credenziali basate su certificati di autenticazione contenuti in smart cards (seconda possibilità prevista dalla regola n. 2). Ergo, la procedura descritta è esemplificativa per il caso in cui il titolare opti per un meccanismo di custodia delle copie delle credenziali. Diversamente, il titolare potrà, sempre mediante descrizione delle “idonee e preventive disposizioni scritte volte ad individuare le modalità di accesso”, disporre un sistema alternativo in base al quale: 1) l’accesso ai dati o agli strumenti elettronici avvenga solo e soltanto in presenza delle condizioni sopra delineate; 2) venga data notizia all’incaricato che è stato effettuato un accesso in sua sostituzione; 3) sia evitata la possibilità di accesso da parte di terzi alle credenziali per l’autenticazione di un incaricato.

Da questo punto di vista ritengo che il cd. “azzeramento” della credenziale per l’autenticazione di un incaricato assente, operata dal titolare al fine di consentire al titolare l’accesso a dati personali o strumenti elettronici, sia da considerare legittima nella misura in cui venga successivamente data notizia all’incaricato dell’avvenuto accesso e venga inoltre prevista, post accesso del titolare, la configurazione di una nuova componente riservata della credenziale dell’incaricato. Tale procedura potrebbe apparire, per certi versi, ancora più sicura rispetto a quella delineata nella regola n. 10, dal momento che eviterebbe di predisporre copie delle credenziali e quindi eviterebbe la necessità di protezione delle copie medesime, sempre mantenendo consapevole l’incaricato dell’avvenuto accesso e sempre limitando il diritto di accesso del titolare a ben determinate circostanze.

 

11Abr/04

Brevi considerazioni in merito al provvedimento del Garante per la protezione dei dati personali

Brevi considerazioni in merito al provvedimento del Garante per la protezione dei dati personali relativo ai casi da sottrarre all’obbligo di notificazione

Il Garante per la protezione dei dati personali è intervenuto con propria deliberazione n. 1 del 31 marzo 2004 [http://www.garanteprivacy.it/garante/doc.jsp?ID=852561] al fine di sottrarre all’obbligo di notificazione alcuni specifici trattamenti di dati personali.

Come noto, nel nuovo Codice per la protezione dei dati personali (nel seguito: il “Codice”) il sistema della notificazione è radicalmente cambiato rispetto al regime introdotto dalla legge 31 dicembre 1996, n. 675. Mentre in precedenza la notificazione era obbligatoria per tutti i titolari di trattamento, salvo alcune ridotte eccezioni di esonero (art. 7, comma 5-ter), essa risulta ora obbligatoria sono in specifiche ipotesi di trattamento di dati personali.

In particolare, l’art. 37, comma 1, del Codice individua alcuni trattamenti a fronte dei quali sorge l’obbligo di notificazione secondo le nuove modalità telematiche messe a punto dall’Ufficio del Garante. Il comma 2 dello stesso articolo, tuttavia, attribuisce al Garante (i) il potere di individuare ulteriori trattamenti da assoggettare all’obbligo di notificazione, in ragione del rischio di pregiudizio che potrebbero arrecare agli interessanti; così come, (ii) il potere di sottrarre dall’obbligo di notificazione trattamenti indicati nel comma 1 qualora ritenuti “non suscettibili di recare pregiudizio” agli interessati.

Con il provvedimento in commento il Garante ha, quindi, deciso di avvalersi del potere concessogli dal legislatore, per il momento unicamente nel senso di ridurre le fattispecie in cui la notificazione è obbligatoria. In via incidentale sembra interessante notare, da un punto di vista costituzionale, come l’art. 37, comma 2, contenga una specie di delega “in bianco” ad un organo non costituzionale, un’autorità indipendente, al fine di intervenire nell’ordinamento positivo, ampliando e riducendo di fatto, nemmeno temporaneamente, la portata di disposizioni normative di rango primario. Su quest’aspetto sarebbe interessante condurre un approfondimento: tuttavia, ragioni di brevità e la pressione degli adempimenti in scadenza impongono di rinviare al futuro ulteriori considerazioni.

Nonostante il provvedimento del Garante, che salutiamo naturalmente con favore, alcuni dubbi interpretativi rimangono in merito a talune fattispecie di trattamento per le quali molti titolari si domandano, in vista della prossima scadenza del 30 aprile, se la notificazione sia dovuta o meno.

Avvantaggiandomi dell’esperienza degli interventi che mi è capitato di effettuare in questi mesi, esaminerò nel seguito i principali casi per i quali qualche dubbio rimane.

A fine dello sviluppo delle argomentazioni, particolare attenzione verrà rivolta anche al contenuto delle tabelle (nel seguito: le “Tabelle”) che il Garante ha predisposto al fine della compilazione della notificazione [cfr. https://web.garanteprivacy.it/rgt/Tabelle_della_procedura_di_notificazione.pdf]. È opinione di chi scrive che esse contengano indicazioni di cui non si possa non tenere conto al fine di determinare il contenuto dei precetti stabiliti dall’art. 37, comma 1, del Codice.

Trattamento di dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica

Tra i trattamenti individuati nella lettera a), preso atto delle esclusioni operate, uno in particolare desta notevoli dubbi interpretativi e riguarda, potenzialmente, un numero molto elevato di soggetti.

Sin dalla pubblicazione del Codice ci si è domandato se, nel trattamento in questione, rientrassero i cd. “sistemi di controllo accessi e/o rilevazione presenze” dei dipendenti, molto spesso basati sull’utilizzo di tessere magnetiche (badge) e se, pertanto, l’impiego di tali sistemi determinasse l’obbligo di notificazione quanto ai trattamenti indotti.

L’interesse appare giustificato tenuto conto della vastità dei soggetti che coinvolge in rapporto all’obiettivo dichiarato di drastica riduzione dei soggetti onerati dall’obbligo di notificazione.
Analizzando il contenuto delle Tabelle, in particolare tenuto conto che

  • quanto alle “categorie di dati”, esse individuano i “dati idonei a rilevare la posizione di persone”;
  • quanto alle “categorie di interessati cui si riferiscono i dati”, esse individuano “lavoratori e collaboratori”;
  • quanto alle “finalità”, esse individuano la “gestione del personale”;
  • quanto alle “modalità”, esse individuano la “rilevazione sistematica di dati senza particolari elaborazioni” così come la “cancellazione di dati immediata o nel breve periodo (massimo alcuni giorni)”;

prudenza imporrebbe di considerare come rientrante nella fattispecie in oggetto, e quindi soggetto a notificazione, un trattamento di dati correlato all’utilizzo di un “sistema di controllo accessi e/o rilevazione presenze” dei dipendenti, a condizione tuttavia che il sistema tratti i dati mediante una rete di comunicazioni elettronica.

Proprio in relazione a tale espressione sorge il dubbio maggiore. Se, cioè, vada considerata come rilevante anche una semplice rete interna, che metta in collegamento i vari dispositivi posti in corrispondenza delle entrate (o anche di una sola entrata) con il sistema che elabora/memorizza i dati delle presenze e degli accessi. Ovvero, se a fini dell’obbligo della notificazione sia richiesto un quid in più.

A mio giudizio dovrebbe risultare necessario un qualcosa in più. Vale a dire un vero e proprio “sistema di interconnessione” tra i sistemi di rilevazione del passaggio o della presenza dell’interessato (lavoratore e collaboratore) ed il sistema di elaborazione/memorizzazione dei dati, i quali dovrebbero inoltre insistere su luoghi fisicamente diversi tra loro. Ulteriore aspetto rilevante, mi sembra, dovrebbe essere la presenza di più sedi di lavoro ubicate su più siti, geograficamente distinti tra loro.

Ancorché indicativo della posizione fisica di una persona, la rilevazione presenza di un lavoratore presso un titolare che operi attraverso un sito unitario geograficamente non mi sembrerebbe rilevante ai fini della tutela delle libertà individuali dell’interessato. E’ evidente che un lavoratore deve recarsi (giornalmente) presso il luogo di lavoro, ed anzi solo in determinate e giustificate ipotesi è consentito che non si trovi in quel luogo.

Ben diverso appare, a giudizio di chi scrive, il caso di imprese ubicate su più siti operativi, distinti geograficamente. In questo caso mi sembra che la notificazione sia dovuta, sempre che venga impiegato un sistema di “rilevazione accessi” o “controllo presenze” collegato ad un sistema centrale attraverso una rete di comunicazione elettronica. Un dubbio potrebbe forse venire per il caso in cui tutti i siti operativi di un titolare siano ubicati nello stesso comune. In tal caso, tuttavia, ragioni di prudenza, consiglierebbero di procedere comunque alla notifica.

Trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria

L’intervento del Garante ha sottratto all’obbligo di notificazione alcuni trattamenti eseguiti da esercenti le professioni sanitarie. Tuttavia, anche il provvedimento del Garante “insiste” nell’uso di espressioni confuse, con predicati verbali e complementi di argomento impliciti.

Senza peccare d’esterofilia, dove l’uso della “tabulazione” nei documenti a carattere legale è “imposto” a fini di chiarezza, nell’ipotesi in commento una maggiore chiarezza sarebbe auspicabile.

Se dal un lato appare indubbio che l’ipotesi in commento riguardi il “trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita”, i problemi intepretativi nascono a mano a mano che ci si addentra nell’espressione utilizzata.

Ci si domanda, infatti, se “trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di” non debba essere considerata espressione comune, che regge tutte le altre che seguono.

In tal caso, sembrerebbe forse sensato individuare l’espressione “trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni”, ipotesi più circoscritta rispetto alla mera “prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni”, in entrambi i casi comunque oscura e di difficile decifrazione, anche se il riferimento ai dati idonei a rivelare la “vita sessuale” appare strampalato.

Stesse considerazioni valgono per le espressioni che seguono. Vale a dire se debbano essere considerate isolatamente le espressioni “indagini epidemiologiche”, “rilevazione di malattie mentali, infettive e diffusive, sieropositività”, “trapianto di organi e tessuti” e “monitoraggio della spesa sanitaria”, ovvero se anch’esse debbano essere raccordate alla radice comune.
Dato che non viene usata una formula disgiuntiva, bensì cumulativa, “dati idonei a rivelare lo stato di salute e la vita sessuale”, verrebbe da pensare che:

  • avrebbe, forse, qualche senso compiuto il risultato combinato “trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di indagini epidemiologiche”;
  • poco senso avrebbe l’espressione “trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di rilevazione di malattie mentali, infettive e diffusive, sieropositività” ;
  • ancor meno senso avrebbe l’espressione “trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di trapianto di organi e tessuti”, per non parlare del “trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di monitoraggio della spesa sanitaria”

Tutto sommato risulta preferibile concludere, anche se con dubbi circa la possibile arbitrarietà di una simile operazione, che si tratti di ipotesi distinte tra loro, non accomunate dall’ipotizzata radice comune e che la notificazione risulta dovuta qualora il trattamento riguardi:

  • dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita;
  • prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni;
  • indagini epidemiologiche;
  • rilevazione di malattie mentali, infettive e diffusive, sieropositività;
  • trapianto di organi e tessuti; e,
  • monitoraggio della spesa sanitaria.

Tutto questo anche se nel provvedimento del Garante tale radice comune viene in qualche modo indirettamente suggerita sub lettera A, punto 2).

Da notare che l’espressione utilizzata nella lettera b) appare particolarmente infelice, laddove si consideri che in talune ipotesi vengono in rilievo dati sensibili, sanitari o relativi alla vita sessuale in relazione a determinate finalità o anche modalità di trattamento, mentre in altre ipotesi, non vengono in rilievo particolari finalità e/o modalità, dal che si intuisce che la “pericolosità” del trattamento è insita nella natura dei dati.

Trattamento effettuato con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con l’esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti

Il provvedimento del Garante ha sottotratto all’obbligo di notificazione due trattamenti molto diffusi, che avrebbero interessato moltissimi soggetti: (i) definizione di profili professionali per finalità di occupazione e (ii) definizione di profili di investitori da parte di intermediari finanziari in esecuzione di specifici regolamenti (Consob). Ciò non di meno, potrebbe risultare ancora ampio il novero delle ipotesi che rientrano nella lettera d), tanto che un numero rilevante d’imprese si domanda se dovrà procedere o meno alla notificazione, giusto l’obiettivo (dichiarato dal legislatore) di ridurre al minimo tale onere.

Osservato preliminarmente che il Codice non fornisce una definizione di “profilo dell’interessato” né di “analisi delle abitudini o scelte di consumo”, e che quindi risulta più difficoltoso interpretare la disposizione, anche in questo caso conviene valutare il contenuto delle Tabelle per ottenere qualche elemento di chiarimento.

Ebbene, considerato che:

  • quanto alle “categorie di dati”, esse individuano un insieme ampio, tra cui “dati relativi allo svolgimento di attività economiche e informazioni commerciali (es. fatturato, bilanci, aspetti economici, finanziari, organizzativi, produttivi, industriali, commerciali, imprenditoriali)”;
  • quanto alle “categorie di interessati cui si riferiscono i dati”, esse individuano un novero molto ampio di soggetti interessati che comprende, tra l’altro, “persone giuridiche, fisiche”, “consumatori”, “clienti o utenti;
  • quanto alle “finalità”, esse individuano con ipotesi molto ampia “attività commerciale”, “creazione di profili professionali relativi a clienti o consumatori”, “analisi delle abitudini o scelte di consumo”, “fornitura di beni e servizi”;
  • quanto alle “modalità”, esse individuano la “definizione di profili dell’interessato” solo come aggiuntiva ed ulteriore rispetto a “raccolta” e soprattutto “organizzazione in banche dati in forma prevalentemente automatizzata” o addirittura “organizzazione in banche dati in forma prevalentemente non automatizzata”.

A prima vista sembrerebbe che anche la mera attività di raccolta ed organizzazione di informazioni commerciali relative a propri clienti e fornitori rientrerebbe nella fattispecie in oggetto, e quindi sarebbe soggetta a notificazione, a patto che sia effettuata mediante “l’ausilio di strumenti elettronici”. Tale conclusione appare tuttavia eccessiva.

Potrebbe forse sorgere il dubbio che l’espressione della lettera d), dell’art. 37 del Codice, “dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo” implichi la presenza di un quid in più del mero trattamento elettronico, della mera memorizzazione delle informazioni commerciali in archivi elettronici (files), anche tra loro non coordinati (di fatto slegati tra loro), e che sia, invece, richiesta una vera e propria “applicazione” informatica che fornisca come output il “profilo dell’interessato” o l’analisi delle “abitudini e scelte di consumo”. Tale quid aggiuntivo richiesto potrebbe essere ravvisato qualora si ritenesse che l’espressione ” volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo” sia riferita non ai “dati”, bensì agli “strumenti elettronici”.

Accedendo a tale interpretazione, è evidente, si eviterebbe la notificazione per un numero molto ampio di soggetti (imprese) i quali trattano sì dati di soggetti (clienti, fornitori), tuttavia semplicemente raccogliendo e memorizzando informazioni, senza l’ausilio di un vero e proprio sistema automatizzato in grado di produrre profili degli interessati.

Ed in effetti, tale interpretazione potrebbe trovare conferma se si considerano attentamente le espressioni utilizzate nel provvedimento del Garante ai fini d’individuazione dei trattamenti sottratti all’obbligo di notificazione. Il Garante, infatti, alle lettere a) e b) del punto 4) stabilisce l’esonero dalla notificazione per i “trattamenti di dati personali che non siano fondati unicamente su un trattamento automatizzato volto a definire profili professionali, effettuati per esclusive finalità di occupazione o di gestione del rapporto di lavoro …” ovvero per i “trattamenti di dati personali che non siano fondati unicamente su un trattamento automatizzato volto a definire il profilo di un investitore …”.

Da un lato, sembrerebbe subito da escludere che il Garante abbia inteso riferirsi, al fine dell’esonero, anche alla contemporanea presenza di trattamenti “senza l’ausilio di strumenti elettronici”, dato che la lettera d), dell’art 37 del Codice, è riferita esclusivamente a trattamenti effettuati con l’ausilio di strumenti elettronici, e quindi non avrebbe molto senso una simile ipotesi.

D’altro lato, è indubbio che il Garante ha utilizzato l’espressione “trattamenti automatizzati” mentre la lettera d), dell’art. 37 del Codice, utilizza l’espressione “dati trattati con l’ausilio di strumenti elettronici”. Dato che vi è una differenza, e considerato che l’esonero non sarebbe applicabile nel caso in cui il trattamento riguardasse o “categorie di interessati” o “finalità” differenti, o eccedenti, rispetto a quelle elencate, a questo punto sembrerebbe corretto interpretare l’espressione “che non siano fondati unicamente su un trattamento automatizzato” nel senso di prevedere l’obbligo di notificazione per i soli casi in cui sia operante un vero e proprio sistema automatizzato che produce profili di individui. Diversamente, sarebbe difficile trovare un senso compiuto all’espressione utilizzata a fini d’esonero.

Ed in effetti, ad ulteriore conferma, occorre notare come anche l’art. 14 del Codice, che disciplina la “definizione di profili e della personalità dell’interessato” parla di “trattamento automatizzato di dati personali volto a definire il profilo o la personalità dell’interessato”.

Ora, se è vero che l’esonero è previsto solo per specifiche “categorie di interessati” e “finalità di trattamento” (quelle indicate alle lettere a) e b) del punto 4) del provvedimento del Garante), nonostante la presenza di un “trattamento automatizzato”, allora si può concludere, per logica conseguenza, che (i) per il caso di trattamenti che dovessero riguardare, o comprendere anche, altre “categorie di interessati” e/o “finalità di trattamento” (ovviamente) l’esonero non vale; ma anche, argomentando a contrariis, che (ii) in assenza di un vero e proprio “trattamento automatizzato” (vale a dire di un quid elaborativo in più rispetto al mero trattamento con l’ausilio di strumenti elettronici), l’obbligo di notificazione non è dovuto, dato che, in via interpretativa, non si rientrerebbe nella fattispecie prevista dalla lettera d) dell’art. 37 del Codice.

Se queste considerazioni sono valide, ne consegue che in tutti i casi in cui vengono raccolti e trattati dati commerciali, ad esempio di clienti e fornitori, e ciò mediante l’ausilio di strumenti elettronici, senza tuttavia la presenza di un vero e proprio trattamento automatizzato per mezzo di apposito sistema di generazione profili, allora non sarà dovuta la notificazione ai sensi della lettera d).

Naturalmente, l’obbligo di notificazione sarà dovuto, viceversa, per il caso in cui il titolare si avvalga di un sistema automatizzato (quid pluris) per la generazione dei profili (non essendo operante, al di fuori delle ipotesi descritte l’esonero concesso dal Garante).

Trattamento di dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti

Fortunatamente il provvedimento del Garante ha sottratto all’obbligo della notificazione ben sei fattispecie di trattamento di dati personali rientranti nelle ipotesi in commento e, tra queste, anche quella che maggiormente preoccupava le imprese e gli imprenditori. In effetti, analizzando il contenuto delle Tabelle sembrava ineluttabile concludere per l’obbligo di notificazione per qualunque soggetto che avesse anche solo strumenti minimi di controllo delle fatture emesse e dei crediti di fornitura non ancora estinti.

La formulazione adottata da Garante appare ampia e rassicurante, anche se il testo letterale appare non del tutto logico. Dispone, infatti, che non rilevano, e quindi non sono soggetti a notificazione, “i trattamenti di dati personali registrati in banche di dati utilizzate in rapporti con l’interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l’interessato”.

La definizione non specifica la natura del rapporto, tuttavia concordo che appare superfluo dato che non potrebbe altro trattarsi che di rapporti di natura contrattuale o derivanti da atto unilaterale. Piuttosto, rilevo che viene effettuata una distinzione tra rapporti di fornitura e adempimenti contabili o fiscali. Ciò legittima l’interpretazione che il beneficio si estenda anche a chi effettua trattamenti per fini contabili o fiscali senza avere rapporto con l’interessano. Anche ciò appare logico e sensato.
Qualche dubbio desta la parte finale “anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l’interessato”.

Dato che è stata individuata l’ipotesi principale del rapporto con l’interessato per la fornitura di beni, prestazioni o servizi (tripartizione singolare, giacché di solito cisi riferisce a “fornitura di beni” o “prestazione di servizi” ed è difficile immaginare la “fornitura di prestazioni”), ipotesi che include ogni possibile ulteriore attività conseguente o derivata, non si comprende il senso della specificazione estensiva. L’uso della parola “anche” esclude categoricamente che le ipotesi in questione possano essere considerate autonomamente. Anche perché, in tale ipotesi, sarebbe, ad esempio, esonerata l’attività (eventuale e susseguente) di vero e proprio recupero del credito, o contenziosa, mentre “scatterebbe” paradossalmente l’obbligo di notifica alla preventiva e naturale attività di mero controllo delle poste in scadenza, secondo la normale prassi commerciale. Preferisco concludere che si tratta d’espressione pleonastica ed irrilevante, ed osservo che sarebbe preferibile, in testi che modificano la portata di norme primarie, maggiore chiarezza.

01Sep/02

Requerimientos de copias de seguridad de ficheros que contengan datos personales

Requerimientos de copias de seguridad de ficheros que contengan datos personales

Se trata de un requerimiento para los ficheros que contengan datos de nivel alto exclusivamente. Viene contenido en los artículo 23 y 26 del Reglamento:

“CAPÍTULO IV
Medidas de seguridad de nivel alto

Artículo 23. Distribución de soportes.

La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.

Artículo 26. Telecomunicaciones.

La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. ”

En la práctica, lo que significa es que los ficheros informáticos que contengan datos de nivel alto han de estar permanentemente cifrados, y al transmitirse por las redes de telecomunicaciones (por ejemplo, mandando un correo electrónico a través de la red Internet), igualmente, habrán de cifrarse de manera que no se pueda acceder al contenido de éstos. El reglamento habla de cifrado o “cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros”.

No encontramos una definición de cifrado ni en la Ley ni en el Reglamento. Está claro que es un mecanismo que va unido a la disponibilidad del dato a cifrar: se quiere que solo esté disponible para aquel que conozca la forma de descifrarlo. Se trata de un término muy unido a la Criptografía: técnica de transformar un mensaje inteligible, denominado texto en claro, en otro que sólo puedan entender las personas autorizadas a ello, que llamaremos criptograma o texto cifrado.

Por lo tanto, vemos que el Reglamento impone el uso del cifrado en ficheros de datos de nivel alto. Sin embargo, es grato encontrarse con programas que usan complicados sistemas de encriptación y que hacen prácticamente inaccesible a un determinado documento o fichero con un par de clicks. Es importante que desaparezca la idea de “dificultad” del uso del cifrado: con el uso de los programas que desde este site recomendamos, cifrar, firmar, descifrar…es prácticamente un juego de niños. Es necesario que los ficheros que contengan datos sensibles (nivel alto) estén cifrados con alguno de los programas de cifrado existentes en la actualidad, y que cuando éstos se transmitan por las redes de telecomunicaciones (internet, redes lan o wan) vayan igualmente cifrados.

Las soluciones software existentes en la actualidad cumplen sobradamente el objeto de garantizar la confidencialidad de los archivos de datos personales de estas características. A continuación, recomendamos los programas más usuales que garantizan esta confidencialidad, a la vez que señalamos los sites oficiales de Internet desde donde pueden ser descargados.

Programas de Cifrado

Gnupg

Reune prácticamente todo lo que se le puede pedir un software: es efectivo, claro, sencillo, conciso, no requiere de mucho procesador…y para colmo es libre y la licencia que lo acompaña es gratuita, incluso para usos comerciales, lo que hace que lo recomendemos encarecidamente. Sus tres primeras letras (gnu) ya nos referencian que se trata de un software bajo este tipo de licencia, muy común en los sistemas operativos linux. Sin embargo, podemos encontrar versiones para windows desde su página web, en http://gnupg.org. Actualmente, es el programa de cifrado de mas éxito y se está imponiendo de forma apabullante. Además, está siendo avalado de una manera muy fuerte por toda la comunidad del software libre.

Pgp freeware

Se ha anunciado que no habrá nuevas versiones de este soft, pero eso no quita para que en la actualidad sea poco menos que un estándar. Con pgp, siglas que corresponden a “pretty good privacy”, se pueden firmar y cifrar emails y ficheros de datos, lo que lo hace ideal para los requerimientos del Reglamento. PGP está bien caracterizado y es rápido, con un sofisticado manejo de llaves, firmas digitales, compresión de datos, y un buen diseño ergonómico. La página web oficial del programa es http://www.pgp.com. Se trata de un software para todo tipo de plataformas y es completamente gratuito. Recomendamos la guía sobre el pgp que la Asociación de internautas ha preparado en su página web:
http://seguridad.internautas.org/pgp.php

 

 

14Feb/01

Iniciativa de Ley Federal de Protección de Datos Personales

Iniciativa de Ley Federal de Protección de Datos Personales, presentada por el Senador Antonio García Torres, del Grupo Parlamentario del PRI, en la sesión de la Comisión Permanente del Miércoles 14 de Febrero de 2001

Antonio García Torres, senador de la República por el Estado Libre y Soberano de Michoacán de Ocampo, en ejercicio de la facultad que me concede el artículo 71, fracción II, de la Constitución Política de los Estados Unidos Mexicanos, someto a la consideración y, en su caso, aprobación de esa Asamblea, iniciativa de Ley Federal de Protección de Datos Personales, apoyándome para ello en la siguiente:

Exposición de motivos

La historia muestra la importancia que ha tenido la información en el desarrollo de la sociedad humana.

Sin embargo, la información, su tratamiento, nunca antes tuvo la potencialidad de daño que tiene actualmente por la misma fuerza de las nuevas tecnologías. Ahora, gracias a las computadoras que se conectan en una red local, o mundial, por ejemplo, se pueden conocer y manipular datos de las personas, físicas o jurídicas.

Esto ha hecho evidente la necesidad de contener los efectos nocivos de estas nuevas tecnologías sobre los derechos fundamentales de las personas.

Con este objetivo, han surgido nuevas garantías procesales en las que se puede reconocer al habeas data1 y otros recursos.

En el exterior existen antecedentes diversos de esta nueva garantía procesal y de los recursos que se han establecido para la defensa de la intimidad y el honor de la persona en el tratamiento de sus datos.

Antecedentes externos

En el orden internacional destacan como antecedentes de la protección de la intimidad y el honor de la persona en el tratamiento de sus datos:

La Declaración Universal de los Derechos Humanos

* En su artículo 8 dice que “Toda persona tiene derecho a un recurso efectivo, ante los tribunales nacionales, que la ampare contra actos que violen sus derechos fundamentales reconocidos por la Constitución o la ley”.* El artículo 12 prescribe: “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia ni de ataques a su honra o su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”.

La Declaración Americana de los Derechos y Deberes del Hombre

* El artículo 5 declara que “Toda persona tiene derecho a la protección de la ley contra los ataques abusivos a su honra, a su reputación y a su vida privada y familiar”.* El artículo 18 proclama que “Toda persona puede recurrir a los tribunales para hacer valer sus derechos. Asimismo debe disponer de un procedimiento sencillo y breve por el cual la justicia la ampare contra actos de la autoridad que violen, en perjuicio suyo, alguno de los derechos fundamentales consagrados constitucionalmente”.

Incluso, cabe destacar el Proyecto de Convención Americana sobre Autodeterminación informativa de 1997, compuesto de 21 artículos en los que se propone una regulación para la protección y movimiento internacional de datos, y el cual aborda temas importantes como el derecho a la información en la recolección de los datos, el consentimiento del afectado, la calidad, categorías, seguridad y cesión de los datos, los derechos y las garantías de las personas, el habeas data, las sanciones, los recursos, la agencia de protección de datos y el registro de datos.

En Europa

En Alemania

El 7 de abril de 1970, el Parlamento del estado alemán de Hesse, promulga su normativa de protección de datos Datenshutz convirtiéndose en el primer territorio con una norma dirigida a la protección de datos.

Después, el 27 de febrero de 1977, el Parlamento Federal de Alemania aprueba la Datenshutz Federal. En estos casos, se crea un Comisario Federal para la Protección de Datos (Bundesbeauftragter fur den Datenshutz).

En Francia

En 1978 se establece la Comisión Nacional de la Informática y de las Libertades, un organismo colegiado que tiene por objeto establecer un registro de bancos de datos de consulta ciudadana.

En España

Desde 1978, la Constitución, en su artículo 18, apartado 4, dice: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos … ”

Relacionada con esta disposición constitucional, en España se ha publicado la Ley Orgánica 5/1992, de 29 de octubre, de regulación de tratamiento automatizado de los datos de carácter personal que tiene como objeto básico la protección de la intimidad y el honor de las personas.

En los Estados Unidos de América

El 31 de diciembre de 1974, el Congreso expide el “Privacy Act (literalmente acto de retiro)”, con el objeto de proteger a los individuos en sus libertades y derechos fundamentales frente a la recolección y tratamiento automatizado de datos personales por parte de las agencias federales.

En América Latina

En Brasil

En 1988 la Constitución Brasileña, en su artículo 5, numeral LXXII, se refiere al “conocimiento de informaciones relativas a la persona de la impetrante…” y a la rectificación de datos.

Aproximadamente 10 años más tarde, en Brasil se expide la Ley número 9.507, de 12 de noviembre de 1997 que reglamenta la disposición constitucional, con base en 23 artículos.

En Colombia

A partir de 1991, el artículo 15 de la Constitución de este país reconoce al habeas data como un derecho fundamental aún no reglamentado.

En Paraguay

Es a partir de 1992, teniendo como antecedente los registros obrantes en poder de la Policía Nacional, que la Constitución, en su artículo 135 reconoce el derecho de las personas para acceder a la información que le corresponda en archivos públicos y privados, para conocer la finalidad de esos registros y para actualizar, rectificar o destruir los mismos datos.

En Perú

Desde 1993, el artículo 200, inciso 3, de la Constitución establece de manera expresa el habeas data con los objetivos de que el interesado pueda acceder a la información pública, con ciertas limitantes, y evitar la difamación de la persona por la difusión o suministro a terceros de informaciones que afecten la intimidad personal y familiar.

En Ecuador

El artículo 30 de la Constitución vigente establece el habeas data con los objetos de acceder a los registros, bancos o bases de datos, conocer su uso y finalidad, así como para solicitar la rectificación, actualización, eliminación o anulación de los datos, en caso de que éstos sean erróneos o afecten ilegítimamente los derechos de las personas.

La ley de Control Constitucional de 1997 ya ha reglamentado la acción de habeas data.

En Argentina

La nueva Constitución de 1994, en su artículo 43, en su párrafo tercero, establece el habeas data como un amparo especial.

Sin embargo, pese a la gran demanda porque se regulara en ley secundaria el habeas data, es hasta el año 2000 que se expide la Ley 25326 de Protección de los Datos Personales, publicada en el Boletín Oficial correspondiente al 2 de noviembre del año mencionado.

En Argentina, el habeas data ha tenido gran recepción, y muestra de ello es que las provincias de Buenos Aires (artículo 20, inciso c de la Constitución local), Córdoba (artículo 50 de su Constitución), Chubut (artículo 56 de su Ley primaria) y Jujuy (artículo 23, inciso 6, de su Constitución), entre otras, prevén el habeas data.

En México, no obstante la gran tradición y entramado constitucional que se posee, no se ha otorgado a los gobernados la garantía procesal del habeas data. México no puede quedarse atrás de los países europeos y latinoamericanos, máxime si se toma en cuenta que los países que ya regulan el habeas data limitan el movimiento internacional de datos con aquellos países que no brinden condiciones equivalentes de seguridad a las propias, de donde se sigue que México, en alguna medida, se encontraría marginado de este movimiento internacional de datos en diferentes materias en las que pueden incluirse la comercial y económica.

La autonomía, la inviolabilidad y la dignidad de la persona

En un estado democrático que se consolida cada día más como el mexicano, se reconocen a las personas prerrogativas de libertad, de igualdad, de equidad, de seguridad, como el derecho de tránsito, de elegir el trabajo que más le acomode, de asociación con todo fin lícito, de un salario digno y remunerador, el derecho a la tierra, el derecho a un proceso justo, entre otras.

Estas prerrogativas descansan en los principios de autonomía, inviolabilidad y dignidad de la persona que se traducen en una esfera de derecho, en la legitimación para buscar la felicidad en el modo particular que se entienda, privilegiando el interés general, pero sin demérito de la persona en lo particular, quien además puede, en cierta medida y en ciertos casos limitar sus derechos.

Sobre estos principios, es natural, descansa el derecho a la integridad física y moral de la persona, el derecho a que se proteja su intimidad, personal y familiar, y su honor.

Paralelos a estos derechos se ubica la garantía procesal del habeas data que tiene el objeto de su tutela efectiva.

Objeto jurídico

Se propone que la garantía procesal tenga por objeto:

1. Que el interesado pueda acceder a los datos personales que le conciernen.

2. Que toda persona pueda acceder a los registros, archivos y bancos de datos públicos o privados de carácter público, y conocer su uso o fin para el que están destinados.

3. Que el interesado pueda pedir la inclusión, actualización, complementación, rectificación, reserva, suspensión y cancelación de los datos relativos a su persona.

Bienes protegidos

Los bienes protegidos se identifican con el honor, la intimidad y cualquiera otra garantía del gobernado.

Legitimación activa

Del interesado, esto es, de la persona a la que corresponden o conciernen los datos registrados o archivados, para acceder a ellos, para incluir datos, para actualizarlos, complementarlos, rectificarlos, reservarlos, suspenderlos o cancelarlos.

De toda persona para acceder a los registros, archivos o bancos de datos públicos o privados de carácter público, así como para conocer el uso o fin para el que están destinados.

Legitimación pasiva

Son sujetos pasivos del proceso los archivos, registros, bancos o bases de datos públicos o privados en sus diferentes hipótesis.

En esta tesitura se propone que al artículo 16 de la Constitución Política de los Estados Unidos Mexicanos se adicionen la garantía procesal indicada, en documento por separado y que de ninguna manera condiciona la procedencia de esta proposición, pues ésta sólo tiene por objeto ampliar el marco de garantías existente, no su limitación, además de que esta iniciativa no se contrapone a lo dispuesto en la proposición de reforma constitucional indicada.

En esta iniciativa se comprenden V capítulos, el primero relativo a las disposiciones generales, el segundo a los derechos de los interesados o titulares de los datos, así como a los responsables de los registros, el tercero al Instituto Federal de Protección de Datos Personales, el cuarto a las sanciones, y el quinto a la acción protectora de datos.

En el Capítulo I, se mencionan los objetos de la ley, las expresiones equivalentes, el ámbito de validez, y los principios sobre los cuales descansa la ley, sobresaliendo la circunstancia de que en ningún caso se pueden afectar los archivos, registros, bases o bancos de datos ni las fuentes de información periodísticas.

En el Capítulo II, se regulan los derechos de los interesados, estableciendo un catálogo de obligaciones correspondientes a los organismos públicos y privados titulares de los datos.

De este apartado conviene resaltar los derechos de los interesados para solicitar al Instituto Federal de Protección de Datos Personales la existencia de registros personales, las finalidades y la identidad de los responsables, así como el derecho de pedir a los responsables de archivos, registros, bases o bancos de datos informes, y de pedir de igual manera la inclusión, actualización, complementación, rectificación, reserva, suspensión y cancelación de los registros de datos que les correspondan, siempre que no se lesionen derechos de terceros o se atente contra intereses de carácter general o social.

Asimismo, en este Capítulo II, se habla de las responsabilidades de los titulares de los Registros de las diversas categorías (públicos y privados) de bases o bancos de datos, quienes deben adoptar todas las medidas necesarias para la seguridad y conservación idónea de los datos, imponiéndoseles, incluso, el deber de secreto que se extiende a todos aquellos que hayan intervenido en el tratamiento automatizado de los datos.

En el Capítulo III, se establecen las líneas generales para la creación y operación del organismo que tendrá por objeto el control de los responsables de los registros, bases o bancos de datos, así como sus atribuciones, en las que destaca la facultad de sancionar a los responsables de los archivos o registros por la comisión de violaciones leves y graves a esta ley.

En el Capítulo IV, se propone la regulación específica de las sanciones, que van desde el apercibimiento hasta la cancelación de los registros, archivos, bases o bancos de datos.

En el Capítulo V, se propone la regulación de un procedimiento especial del que conozcan los juzgados de distrito competentes con relación a causas federales, pues ello persigue que se resuelvan las controversias de manera pronta y sin obstáculos en tiempos más breves que los que corresponden, incluso a los juicios de amparo, pues una administración de justicia que no se otorgue en esos términos, prácticamente inutilizaría el recurso.

El objeto, los bienes protegidos, la legitimación pasiva y la legitimación activa, han quedado ya establecidas con anterioridad.

Cabe señalar que este procedimiento se establece con entera independencia de los procedimientos que correspondan en tratándose de responsabilidad civil, administrativa o penal.

Finalmente, en las disposiciones transitorias se prevé que los archivos, bases o bancos de datos existentes se puedan registrarse, conforme lo determine el reglamento, en un lapso posterior al establecimiento del Instituto Federal de Protección de Datos.

En estos términos, y de conformidad con lo dispuesto en los artículos 55, fracción II, y 56 del Reglamento para el Gobierno Interior del Congreso General de los Estados Unidos Mexicanos, presento a la consideración de esa Asamblea, la siguiente iniciativa de

Ley Federal de Protección de Datos Personales

Capítulo I
Disposiciones generales

Artículo 1.

1. Esta ley tiene por objeto asegurar que el trato de datos personales se realice con respeto a las garantías de las personas físicas.2. Las disposiciones de esta ley también son aplicables, en lo conducente, a los datos de las personas jurídicas.

3. En ningún caso se podrán afectar los registros y fuentes periodísticas.

Artículo 2.

1. Esta ley es aplicable a los datos de carácter personal que figuren en archivos, registros, bancos o bases de datos de personas físicas o jurídicas, públicas o privadas, y a todo uso posterior, incluso no automatizado, de datos de carácter personal registrados en soporte físico susceptible de tratamiento automatizado.2. Esta ley no es aplicable a los archivos, registros, bases o bancos de datos:

I. De titularidad pública cuyo objeto por ley sea almacenar datos para su publicidad con carácter general;

II. Cuyo titular sea una persona física y tengan un fin exclusivamente personal;

III. De información científica, tecnológica o comercial que reproduzcan datos ya publicados en medios de comunicación oficial;

IV. De resoluciones judiciales publicadas en medios de comunicación oficial; y,

V. Administrados por los partidos políticos, sindicatos, iglesias y asociaciones religiosas, sola y exclusivamente en lo tocante a los datos que se refieren a sus asociados, miembros o ex miembros y que se relacionen con su objeto, sin perjuicio de que la cesión de datos quede sometida a lo dispuesto en esta ley.

3. Se regulan por sus disposiciones específicas los archivos, registros, bases o bancos de datos:

I. Electorales, conforme a los ordenamientos aplicables;

II. Referentes al registro civil, a la prevención, persecución y sanción de los delitos, así como a la ejecución de las sanciones penales;

III. Con fines exclusivamente estadísticos, regulados por la Ley del Instituto Nacional de Geografía, Estadística e Informática; y,

IV. Personales concernientes a integrantes de las fuerzas armadas y los cuerpos de seguridad pública o a datos relativos a esos cuerpos.

4. los archivos, registros, bancos o bases de datos relativos a la prevención, persecución, sanción de los delitos, ejecución de sanciones penales, o a los datos correspondientes a los cuerpos de las fuerzas armadas y de seguridad pública o a sus integrantes, serán reservados, y se actualizarán, complementarán, corregirán, suspenderán, o cancelarán en los términos de sus propias disposiciones, sin que les resulte aplicable el régimen general de esta ley.

Artículo 3.

1. La integración, implementación y funcionamiento de los archivos, registros, bancos y bases de datos es lícita cuando se ajusta a los principios que establece esta ley y su reglamentación.2. En ningún caso los archivos, registros, bases o bancos de datos pueden tener un fin contrario a la ley o la moral.

3. Los datos sensibles y los relativos a condenas y sanciones penales, sólo se pueden tratar automatizadamente para su acceso al público o a institución no competente con el permiso previo del interesado y siempre que el responsable del archivo, registro, base o banco de datos garantice, a satisfacción del Instituto Federal de Protección de Datos Personales, la disociación de datos.

Artículo 4.

1. Para los efectos de esta ley se entiende por:I. Datos personales: La información de persona física o jurídica determinada o determinable;

II. Datos sensibles: Aquellos que revelan el origen racial, étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical, salud o vida sexual;

III. Archivo, registro, base o banco de datos: Conjunto de datos personales organizados, tratados automatizadamente;

IV. Tratamiento de datos: Operaciones y procedimientos sistemáticos que tienen por objeto recolectar, guardar, ordenar, modificar, relacionar, cancelar y cualquiera otra que implique el procesamiento de datos, o su cesión a terceros a través de comunicaciones, consultas, interconexiones y transferencias;

V. Responsable del archivo, registro, base o banco de datos: Persona física o jurídica que ostenta la titularidad del archivo, registro, banco o base de datos;

VI. Datos informáticos: Los datos personales tratados automatizadamente;

VII. Usuario de datos: Toda persona física, jurídica, pública o privada que trata datos personales de manera voluntaria, ya sea en archivos, registros, bancos de datos propios o a través de conexión con los mismos;

VIII. Disociación de datos: Todo tratamiento de datos personales que impida asociarlos a persona determinada o determinable; y,

IX. Interesado: La persona física o jurídica a la que conciernen los datos personales.

Artículo 5.

1. Los datos colectados deben ser adecuados, ciertos, pertinentes y proporcionales al ámbito y fin para el que se colectan.2. La colecta de datos se debe hacer por medios lícitos que garanticen el respeto a las garantías individuales y, especialmente, de los derechos al honor y a la intimidad de la persona a la que conciernen.

3. Los datos sólo pueden ser utilizados para los fines que motivaron su obtención, o para fines compatibles con estos.

4. Los datos objeto de tratamiento deben ser exactos y actualizados de manera que sean congruentes con los concernientes al interesado.

5. Los datos no incluidos, incompletos, inexactos o que estén en desacuerdo con la realidad de los que corresponden a la persona que conciernen, deben ser incluidos, complementados, actualizados, rectificados o cancelados, según corresponda.

6. Los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso por parte del interesado.

7. Los datos deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para los fines para los que fueron colectados.

Capítulo II
De los interesados y los responsables de los registros

Artículo 7.

1. Todo interesado tiene derecho a que se le informe de manera expresa y suficiente:I. De la existencia de un archivo, registro, base o banco de datos de carácter personal, el ámbito y la finalidad de la colección de éstos y de los destinatarios de la información;

II. Del carácter obligatorio o potestativo de su respuesta a las preguntas planteadas para la colecta de datos;

III. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos;

IV. De la posibilidad de ejercitar los derechos de acceso, inclusión, complementación, rectificación, suspensión, reserva y cancelación de los datos personales que le conciernan y de la forma y términos en que puede ejercitarlos; y,

V. De la identidad, dirección y domicilio del responsable del archivo, registro, base o banco de datos.

Artículo 8.

1. La colecta y el tratamiento automatizado de los datos requieren del consentimiento previo del interesado, salvo que la ley disponga otra cosa.2. El interesado, sin su responsabilidad, tiene el derecho de revocar su consentimiento para el tratamiento automatizado de datos, dando aviso oportuno e indubitable al titular del archivo, registro, base o banco de datos, salvo que la ley disponga otra cosa.

3. No se requiere el consentimiento del interesado, cuando los datos de carácter personal se colecten de fuentes de información de acceso público, cuando se recojan para el ejercicio de las funciones propias de entidades y organismos públicos en el ámbito de su competencia, ni cuando se refieran a personas vinculadas por una relación comercial, laboral, administrativa, contractual y sean necesarios para el mantenimiento de la relación o para el cumplimiento del contrato.

Artículo 9.

1. Ninguna persona está obligada a proporcionar datos personales de carácter sensible que le conciernen.2. Los datos sensibles sólo pueden ser colectados y tratados por razones de interés general previstas en la ley, cuando previamente el interesado ha otorgado su consentimiento, o cuando se colecten y traten con fines estadísticos o científicos, siempre que no se puedan atribuir a persona determinada o determinable.

3. Queda prohibida la formación de archivos, registros, bases o bancos que revelen datos sensibles, salvo lo dispuesto en esta ley.

4. Los datos personales relativos a los antecedentes penales o faltas administrativas sólo pueden ser tratados por los órganos y organismos públicos correspondientes en la esfera de su competencia.

5. Queda prohibido a los responsables de los archivos, registros, bancos o bases de datos formular juicios de valor sobre los datos personales que traten automatizadamente.

Artículo 10.

1. Los organismos públicos o privados de salud y los profesionales vinculados a las ciencias de la salud, pueden colectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hayan estado bajo tratamiento de aquellos, respetando en todo caso el secreto profesional, y siempre que esos datos se disocien.Artículo 11.

1. Queda prohibido registrar datos personales en archivos, registros o bancos de datos que no reúnan condiciones técnicas de integridad o seguridad.2. El responsable del archivo, registro, base o banco de datos debe adoptar todas las medidas técnicas y de organización necesarias para evitar la adulteración, pérdida, inexactitud, insuficiencia, falta, consulta, reserva, cancelación o tratamiento de datos no autorizado.

3. El reglamento de esta ley determinará los requisitos y condiciones mínimas de seguridad y de organización, en función del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos.

Artículo 12.

1. El responsable del archivo, registro, base o banco de datos y quienes intervengan en la colecta y el tratamiento de los datos personales están obligados a guardar el secreto profesional, incluso aún después de que concluyan sus relaciones con el interesado.2. El titular del archivo, registro, base o banco de datos, o quienes intervengan en la colecta o el tratamiento de los datos personales los deben revelar cuando se les pida en cumplimiento de una resolución judicial, por razones de interés social o relativas a la seguridad pública o nacional, o a la salud pública.

Artículo 13.

1. Los datos que obren en archivos, registros, bases o bancos de datos personales sólo se pueden ceder a persona con interés legítimo, con el previo consentimiento del interesado, al que se debe informar suficientemente sobre la identidad del cesionario, y la finalidad de la cesión.2. El consentimiento de la cesión es revocable, mediante notificación indubitable al titular del archivo, registro, base o banco de datos.

3. La cesión no requiere el consentimiento del interesado, cuando:

I. La ley no lo exija;

II. La cesión se realice entre dependencias y organismos públicos en forma directa, en el ejercicio de sus atribuciones y en el ámbito de sus competencias;

III. Por razones de interés social, de seguridad pública o nacional, o salud pública; y,

IV. Se aplique un procedimiento de disociación de datos de manera que no se puedan atribuir a persona determinada o determinable.

4. El cesionario queda sujeto a las mismas obligaciones legales y reglamentadas del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el interesado.

Artículo 14.

1. Se prohibe la transferencia de datos personales con Estados u organismos internacionales, que no proporcionen niveles de seguridad y protección cuando menos equivalentes a los que se proporcionan en el Estado Mexicano.2. La prohibición no rige en los supuestos siguientes:

I. Colaboración judicial internacional;

II. Intercambio de datos en materia de salud, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica;

III. Transferencias bancarias o bursátiles, conforme a la legislación que le resulte aplicable;

IV. Cuando la transferencia se acuerde en un tratado, convenio o instrumento internacional vigente en el que el Estado Mexicano sea parte; y,

V. Cuando la transferencia tenga por objeto la cooperación internacional para la lucha contra el crimen organizado, el terrorismo, el narcotráfico y delitos contra la humanidad.

Artículo 15.

1. Toda persona tiene derecho de solicitar al Instituto Federal de Protección de Datos Personales, informes sobre la existencia de archivos, registros, bases o bancos de datos personales, sobre las finalidades y la identidad de sus responsables.2. El registro en el que conste la información anterior será de consulta pública y gratuita.

Artículo 16.

1. Todo interesado que se identifique tiene derecho de solicitar y obtener informes de los datos personales que le conciernan y obren en archivos, registros, bases o bancos de datos públicos o privados que se destinen a proveer informes.2. Los informes que se otorguen conforme al inciso anterior, pueden consistir en la simple observación o la comunicación por cualquier medio fiable que garantice la comunicación integra, y la constancia de su envío y recepción.

El informe se debe proporcionar dentro de los diez días hábiles posteriores a la recepción de la solicitud; vencido el plazo sin que se haya rendido el informe, el interesado puede promover la acción de protección de datos personales prevista en esta ley.

3. El derecho de información a que se refiere este artículo sólo se puede ejercer de manera gratuita a intervalos no menores de tres meses, salvo que el afectado acredite un interés legítimo, caso en el cual puede ejercerlo antes y cuantas veces sea necesario.

4. Para el caso de que el interesado directo haya fallecido, el representante legítimo de la sucesión pueden solicitar y recibir la información a que se refiere este artículo, previa la acreditación de su carácter.

Artículo 18.

1. Los informes se deben realizar de manera clara y sencilla, de forma que se puedan entender por el interesado.2. La información debe ser completa y concerniente al interesado, aunque éste haya solicitado sólo parte de la información, pero no se podrán revelar datos relativos a terceros aunque estos se relacionen con aquél.

3. Los informes se suministrarán, dependiendo de la capacidad técnica del responsable del archivo, registro, base o banco de datos: impresos en papel, en medios electrónicos, ópticos o cualquiera otro que determine el interesado.

Artículo 19.

1. Toda persona tiene derecho de solicitar y obtener, en su caso y sin costo alguno, la inclusión, complementación, rectificación, actualización, reserva, suspensión, o cancelación de los datos personales que le conciernen y se contengan en archivos, registros, bases o bancos de datos.2. Dentro de los cinco días hábiles siguientes a la recepción de la solicitud, el titular del archivo, registro, base o banco de datos debe incluir, complementar, rectificar, actualizar, reservar, suspender o cancelar los datos personales concernientes al interesado, informándole por escrito de manera completa, clara y sencilla el tratamiento realizado.

3. Si el titular del archivo, registro, base o banco de datos no cumple con la obligación que le impone el inciso anterior, el interesado puede ejercitar la acción de protección de datos o habeas data prevista en esta ley.

4. En el caso de que la información se haya cedido o transferido, el responsable del archivo, registro, base o banco de datos, sin cargo alguno para el interesado, debe comunicar la inclusión, complementación, rectificación, actualización o cancelación de los datos al cesionario, dentro de los tres días hábiles siguientes al en que se haya resuelto el tratamiento correspondiente.

5. La cancelación de los datos no procede por razones de interés social, de seguridad pública o nacional, de salud pública o por afectarse derechos de terceros, en los términos que lo disponga la ley.

6. Durante el procedimiento que se siga para complementar, rectificar, actualizar, reservar, suspender o cancelar los datos personales que conciernan al interesado, el titular del archivo, registro, base o banco de datos, debe bloquear los datos materia de la solicitud o consignar al proveer la información relativa que se tramita un procedimiento con determinado objeto.

7. Los datos se deben conservar por el tiempo que determinen la ley o las disposiciones contractuales vigentes entre las partes.

Artículo 20.

1. Los titulares de los archivos, registros, bases o bancos de datos públicos pueden negar la inclusión, complementación, actualización, rectificación, reserva o cancelación de datos personales solicitada, por resolución debidamente fundada y motivada en ley, la cual debe ser notificada al interesado.2. Los interesados tienen derecho de acceder a los datos personales que les conciernan y que obren en archivos, registros, bases o bancos de datos con el fin de ejercer cabalmente su derecho de defensa.

Artículo 21.

1. Todo archivo, registro, base o banco de datos que tenga como fin proporcionar informes se debe inscribir en el Registro que al efecto implemente y establezca el Instituto de Federal de Protección de Datos Personales.2. El Registro al que se refiere el inciso antecedente, cuando menos debe recabar del titular del archivo, registro, base o banco de datos la información siguiente:

I. El nombre, dirección y domicilio del responsable;

II. En el caso de personas jurídicas de derecho privado, nombre del representante legal, integrantes del consejo de administración, objeto de la sociedad o asociación, razón social, fecha de constitución y registro federal de causantes;

III. Características y finalidad del archivo;

IV. Categorías de datos personales que se han de colectar y tratar;

V. Forma, tiempo y lugar de recolección y actualización de los datos;

VI. Destino de los datos y personas físicas o jurídicas a las que se pueden transmitir o se les puede permitir la consulta;

VII. Procedimiento para relacionar la información colectada y tratada;

VIII. Metodologías y procedimientos técnicos para asegurar la información colectada y tratada;

IX. Nombre y domicilio de las personas que intervienen en la colecta y tratamiento de los datos;

X. Tiempo durante el cual se han de conservar los datos; y,

XI. Formas y procedimientos por los cuales las personas pueden acceder a los datos personales que les conciernen, o por los cuales se puede solicitar su inclusión, complementación, actualización, rectificación, reserva y cancelación.

3. Cualquier modificación a la información contenida en el registro debe ser comunicada por el responsable dentro de los tres días hábiles siguientes al en que haya tenido lugar.

4. El incumplimiento de las normas anticipadas dará lugar a las sanciones previstas en esta Ley.

Artículo 22.

1. Los archivos, registros, bases o bancos de datos de carácter público sólo se pueden crear, modificar o extinguir por medio de disposiciones de carácter general de conformidad con las normas jurídicas aplicables, que se deberán publicar en el Diario Oficial de la Federación.2. Las disposiciones a que hace referencia el inciso anterior, deben indicar:

I. El órgano u organismo público responsable del archivo, registro, base o banco de datos, y dependencia o entidad pública de la que dependa, en su caso;

II. Estructura básica, características y finalidad del archivo;

III. Personas de las que se pretende colectar datos y el carácter potestativo u obligatorio del suministro de la información;

IV. Categorías de datos personales que se han de colectar y tratar;

V. Forma, tiempo y lugar de recolección y actualización de los datos;

VI. Cesiones, transferencias o interconexiones previstas; y,

VII. Organos u organismos públicos ante los que el interesado puede solicitar los derechos de inclusión, complementación, actualización, rectificación, reserva, suspensión o cancelación.

3. En la resolución o disposición que determine la cancelación de archivos, registros, bases o bancos de datos personales, se debe precisar el destino de los mismos o las medidas tomadas para su destrucción.

Artículo 23.

1. Los archivos, registros, bancos o bases da datos personales que por ser colectados y tratados para fines administrativos, deben permanecer indefinidamente, estarán sujetos al régimen general de esta ley.2. La colecta y el tratamiento automatizado de datos personales que se hayan realizado con fines de seguridad pública, se limitarán a los necesarios para prevenir un peligro inminente de seguridad pública, policial o para la represión de infracciones penales, se almacenarán en archivos específicos establecidos al efecto y se clasificarán por categorías en función de su grado de fiabilidad.

3. Los datos personales con fines de seguridad pública o policiales se cancelarán luego que se haya cumplido el objeto para el cual fueron colectados y tratados o ya no sean útiles para el mismo objeto.

Artículo 24.

1. Los particulares que formen archivos, registros, bancos o bases de datos personales que no sean para uso exclusivamente personal, deben registrarse conforme a lo dispuesto en el artículo 21 de esta ley.Artículo 25.

1. Los terceros que presten servicios de tratamiento automatizado de datos personales, no pueden aplicarlos o utilizarlos para fin distinto del que figure en el contrato de servicios, ni cederlos a persona diversa, aún para fines de conservación.2. Cumplida la prestación contractual, los datos personales tratados que hayan quedado en poder del prestador de servicios deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un periodo de hasta dos años.

Artículo 26.

1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y de crédito sólo podrán tratar automatizadamente datos de carácter personal obtenidos de fuentes accesibles al público, facilitados por el interesado o con su consentimiento previo.2. Los datos personales concernientes al cumplimiento de las obligaciones pecuniarias pueden ser tratados automatizadamente cuando sean facilitados por el acreedor, con su consentimiento previo o por quien actúe en su nombre y cuenta.

3. Los titulares de los archivos, registros, bancos o bases de los datos referidos en los incisos anteriores, dentro de los treinta días siguientes a su registro, deben comunicar a los interesados los datos que se hayan incluido y el derecho que les asiste para recabar informe total de ellos, en los términos establecidos en la ley.

4. En caso de que el interesado lo solicite, el responsable del archivo le informará los datos que le conciernen, las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos tres meses y el nombre, domicilio y dirección del cesionario.

5. Sólo se pueden archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico financiera de los afectados durante los últimos cinco años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo se extinga la obligación, debiéndose hacer constar dicho hecho.

6. La prestación de servicios de información crediticia no requerirá el previo consentimiento del interesado, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios.

7. Los responsables de los archivos, registros, bancos o bases de datos rendirán informes sobre la solvencia patrimonial y de crédito de los interesados sin calificar la viabilidad de éstos para ser sujetos de obligaciones pecuniarias.

Artículo 27.

1. Los archivos, registros, bases o bancos de datos destinados al reparto de documentos, publicidad, venta directa u otras actividades análogas sólo pueden incorporar datos personales con el consentimiento de la persona a la cual concierne, cuando ésta los ha facilitado, o cuando los datos obren en fuentes accesibles al público.2. El interesado puede acceder sin costo alguno a los archivos, registros, bases o bancos de datos referidos en el inciso anterior.

3. El interesado tiene en todo tiempo el derecho de conocer el origen de sus datos personales, el destino de los mismos, y a que se cancelen, bastando en este caso su simple solicitud.

Artículo 28.

1. Sólo se pueden colectar y tratar automatizadamente datos de carácter personal por encuestas de opinión, investigación científica y actividades análogas si el interesado otorga su consentimiento.2. Los datos personales a que hace referencia el inciso anterior se deben destinar exclusivamente al cumplimiento de la finalidad para la que fueron recabados y sólo se pueden ceder con el consentimiento previo del interesado.

Capítulo III
Del Instituto Federal de Protección de Datos Personales

Artículo 29.

1. El Instituto Federal de Protección de Datos Personales es el organismo público descentralizado de la administración pública federal, con personalidad jurídica y patrimonio propios que tiene por objeto el control de los responsables de los archivos, registros, bases o bancos de datos personales y la protección de éstos.

2. El domicilio del Instituto se ubica en la ciudad de México, Distrito Federal, independientemente de que puede establecer delegaciones en diversos puntos de la República.Artículo 30.

1. Compete al Instituto Federal de Protección de Datos Personales el ejercicio de las atribuciones siguientes:I. Otorgar asesoría a las personas físicas o jurídicas que lo requieran acerca del contenido y alcance de la presente ley;

II. Dictar las normas y disposiciones administrativas necesarias para la realización de su objeto en el ámbito de su competencia;

III. Llevar un registro actualizado y completo de los archivos, registros, bases o bancos de datos personales;

IV. Vigilar que las normas sobre integridad y seguridad de los datos personales se respeten y apliquen por los titulares de los archivos, registros, bases o bancos de datos correspondientes;

Con ese objeto, podrá solicitar a la autoridad judicial competente autorización para inspeccionar los inmuebles, equipos, herramientas y programas de captura y tratamiento de datos;

V. Solicitar la información que requiera para el cumplimiento de su objeto a las entidades públicas y privadas titulares de los archivos, registros, bases o bancos de datos personales, garantizando en todo caso la seguridad, la integridad y confidencialidad de la información;

VI. Imponer las sanciones administrativas que correspondan a los infractores de esta ley;

VII. Formular y presentar las denuncias y querellas por violaciones a lo dispuesto en esta ley; y,

VIII. Cerciorarse de que los archivos, registros, bases o bancos de datos personales destinados a suministrar informes cuenten con los requisitos necesarios para que proceda su inscripción en el Registro de Archivos, Registros, Bases o Bancos de Datos.

Artículo 31.

1. El Director del Instituto será nombrado y removido libremente por el Titular del Poder Ejecutivo Federal.

Artículo 32.

1. El Director del Instituto debe reunir los requisitos siguientes:I. Ser mexicano por nacimiento, con plena capacidad de goce y ejercicio de sus derechos políticos y civiles;

II. Tener 30 años cumplidos al momento de ser designado;

III. Tener título oficial de profesión afín al objeto del Instituto;

IV. Haberse destacado por sus estudios y/o aplicaciones en el ámbito de la informática o de las nuevas tecnologías de la información; y,

V. No haber sido condenado por la comisión de delito intencional.

Artículo 33.

1. El Instituto de Protección de Datos contará con la siguiente estructura básica para el cumplimiento de sus funciones:I. Junta de Gobierno;

II. Dirección General;

III. Consejo Consultivo;

IV. Dirección del Registro de Archivos, Registros, Bases o Banco de Datos;

V. Dirección Seguridad y Protección de Datos;

VI. Dirección de Programas y Comunicaciones, y,

VII. Dirección Jurídica.

2. El Instituto contará con el personal profesional, técnico y administrativo que autorice el presupuesto.

Artículo 34.

1. La Junta de Gobierno se compone por los integrantes siguientes:I. Titular del Poder Ejecutivo Federal o su representante, quien la presidirá;

II. El Secretario de Gobernación, como Secretario;

III. El Secretario de Energía, como vocal;

IV. El Secretario de Educación Pública, como vocal;

V. El Secretario de Hacienda y Crédito Público, como vocal;

VI. El Secretario de Economía, como vocal;

VII. Un representante de la Cámara de Diputados, como vocal;

VIII. Un representante de la Cámara de Senadores, como vocal;

IX. Un representante del Poder Judicial Federal, como vocal; y,

X. Un representante del Consejo Nacional de Ciencia y Tecnología, como vocal.

2. La Junta de Gobierno se considera válidamente constituida con la asistencia de la mitad más uno de sus integrantes.

3. Las decisiones se tomarán por mayoría de votos de los integrantes presentes y, en caso de empate, el Presidente tiene voto de calidad.

Artículo 35.

1. Compete a la Junta de Gobierno:

I. Conocer de los planes y programas del Instituto que someta a su consideración el Director General del mismo;II. Aprobar el Reglamento Interior del Instituto que, en proyecto, presente a su consideración el Director General;

III. Supervisar y dar seguimiento a los trabajos realizados por el Instituto;

IV. Aprobar el informe semestral que le presente el Director General;

V. Emitir las recomendaciones e instrucciones que estime necesarias para el correcto funcionamiento del Instituto;

VI. Nombrar a los directores de las diversas áreas del Instituto que le proponga el Director General, removiéndolos en su caso; y,

VII. Las demás que le correspondan conforme al derecho vigente.

Artículo 36.

1. El Titular del Poder Ejecutivo Federal o quien éste designe en su representación, presidirá la Junta de Gobierno y dirigirá sus sesiones, velando por el buen orden y despacho de los asuntos sometidos a su conocimiento.2. En caso de que el Titular del Poder Ejecutivo Federal o su representante no asistan, presidirá y dirigirá los trabajos de la sesión el Secretario, y a falta de éste cualquiera de los vocales, por designación de la propia Junta.

Artículo 37.

1. El Consejo Consultivo se integra por.I. Un experto en la materia, designado por la Asociación Nacional de Universidades e Instituciones de Educación Superior;

II. Un representante designado por los titulares de archivos, registros, bases o bancos de datos reconocidos oficialmente;

III. Un representante de la Comisión Nacional de Derechos Humanos; y,

IV. Un representante de la Procuraduría General de la República.

2. Los integrantes del Consejo Consultivo durarán en su encargo tres años, y será honorífico.

3. El Consejo Consultivo es el órgano de asesoría de la Junta de Gobierno y de la Dirección General del Instituto.

4. El funcionamiento del Consejo Consultivo se determinará en el Reglamento de esta ley.

Artículo 38.

1. La organización y funcionamiento interior de las direcciones de área del Instituto se regularán en el Reglamento del propio Instituto.2. los titulares de las direcciones de área del Instituto, deben reunir los mismos requisitos que el Director General.

Capítulo IV
De las sanciones

Artículo 39.

1. Son infracciones leves a esta Ley:I. Omitir la inclusión, complementación, rectificación, actualización, reserva, suspensión o cancelación, de oficio o a petición del interesado, de los datos personales que obren en archivos, registros, bases o bancos de datos;

II. Incumplir las instrucciones dictadas por el Director General del Instituto; y,

III. Cualquiera otra de carácter puramente formal o documental que no pueda ser catalogada como grave.

Artículo 40.

1. Son infracciones graves a esta Ley:I. Colectar o tratar datos de carácter personal para constituir, o implementar archivos, registros, bases o bancos de datos de titularidad pública, sin la previa autorización de la normativa aplicable;

II. Colectar o tratar automatizadamente datos de carácter personal para constituir, o implementar archivos, registros, bases o bancos de datos de titularidad privada, sin el consentimiento del interesado o de quien legítimamente puede otorgarlo;

III. Colectar, tratar automatizadamente o administrar datos de carácter personal con violación de los principios que rigen esta ley o de las disposiciones que sobre protección y seguridad de datos sean vigentes;

IV. Impedir u obstaculizar el ejercicio del derecho de acceso, así como negar injustificadamente la información solicitada;

V. Violentar el secreto profesional que debe guardar por disposición de esta ley;

VI. Mantener archivos, registros, bases o bancos de datos, inmuebles, equipos o herramientas sin las condiciones mínimas de seguridad requeridas por las disposiciones aplicables; y,

VII. Obstruir las inspecciones que realice el Instituto.

Artículo 41.

1. Sin perjuicio de las responsabilidades administrativas que correspondan en los casos de responsables o usuarios de bancos de datos públicos; de la responsabilidad por daños y perjuicios derivados de la inobservancia de la presente ley, y de las sanciones penales que correspondan, el organismo de control podrá aplicar las sanciones de:I. Apercibimiento;

II. Suspensión de operaciones;

III. Multa hasta por el equivalente de 1 a 100 días de salario mínimo vigente en el Distrito Federal al momento de comisión de la infracción; y,

IV. Clausura o cancelación del archivo, registro o banco de datos.

2. En el caso de infracciones leves a esta ley, se aplicarán al infractor, dependiendo de las circunstancias del caso, del daño causado y de las condiciones del propio infractor, la sanción que corresponda conforme a las fracciones de la I a la III de este artículo.

3. En el caso de infracciones graves, se impondrán al infractor dependiendo de las circunstancias del caso, del daño causado y de las condiciones del propio infractor, la sanción que corresponda conforme a las fracciones III y IV de este artículo.
Capítulo V
De la acción de protección de datos personales

Artículo 42.

1. la acción de protección de los datos personales o de habeas data procede:I. Para conocer los datos personales almacenados en archivos, registros o bancos de datos públicos o privados destinados a proporcionar informes, y de la finalidad de aquellos; y,

II. En los casos en que se presuma la falsedad, inexactitud, desactualización, omisión, total o parcial, o ilicitud de la información de que se trata, para exigir su rectificación, actualización, inclusión, complementación, reserva, suspensión o cancelación.

Artículo 43.

1. La acción de protección de los datos personales o de habeas data puede ser ejercida por el afectado, sus tutores o curadores y los sucesores de las personas físicas señalados por el Código Civil Federal, por sí o por medio de apoderado con cláusula especial.2. Cuando la acción sea ejercida por personas jurídicas, deberá ser interpuesta por sus representantes legales, o apoderados con cláusula especial que éstas designen al efecto.

3. En el proceso podrá intervenir en forma coadyuvante el Defensor Público Federal.

Artículo 44.

1. La acción procede respecto de los responsables y usuarios de bancos de datos públicos, y de los privados destinados a proveer informes.Artículo 45.

1. Es competente para conocer de esta acción el juez de distrito del domicilio del actor; el del domicilio del demandado; el del lugar en el que el hecho o acto se exteriorice o pudiera tener efecto, a elección del actor.2. Procede la competencia federal:

I. Cuando se interponga en contra de los responsables de archivos, registros, bancos o bases de datos públicos de órganos u organismos públicos federales; y,

II. Cuando los archivos, bases o bancos de datos de datos de carácter público o privado se encuentren interconectados en redes interestatales, nacionales o internacionales.

Artículo 46.

1. La demanda debe expresar:I. El tribunal ante el cual se promueve;

II. El nombre del actor y del demandado;

III. El objeto de la acción;

IV. Con la mayor precisión que sea posible, el nombre y domicilio del archivo, registro, banco o base de datos y, en su caso, el nombre y responsable del usuario del mismo;

V. En el caso de archivos, registros, bancos o bases de datos públicos, se procurará establecer el organismo estatal del cual dependen;

VI. los hechos en que el actor funde su petición, narrando sucintamente, con claridad y precisión, los motivos en los que apoya su acción, y por los cuales considera que los registros, archivos, bancos o bases de datos son omisos, incompletos, incorrectos, falsos, inexactos, o por los cuales considera que los datos deben reservarse, suspenderse, o cancelarse y destruirse;

VII. El interesado o quien promueva en su nombre y representación pueden solicitar que se asiente mientras dure el proceso que la información cuestionada se encuentra sujeta a proceso judicial;

VIII. El juez puede disponer de oficio, por causa fundada y motivada, la suspensión o reserva de los datos personales;

IX. El fundamento de derecho; y,

X. Lo que se pida, designándolo con toda exactitud, en términos claros y precisos.

Artículo 47.

1 . Con la demanda, el actor debe presentar los documentos en que funde su acción, o señalar, bajo protesta de decir verdad, el archivo o lugar en donde se encuentren si no los tiene a su disposición.2. Con la sola protesta que haga el actor, el juez mandará expedir a costa de aquél copia de los documentos correspondientes.

Artículo 48.

1. De la demanda admitida, se correrá traslado a la persona contra la que se proponga, emplazándola para que la conteste dentro de los tres días siguientes.

2. Las cuestiones de jurisdicción, competencia y personalidad, deberán promoverse en la contestación de demanda y se resolverán de plano en el auto en el que se provea sobre ella.3. En los procedimientos seguidos por el ejercicio de una acción de protección de datos personales no procede la contrademanda, ni la ampliación de la contestación.

Artículo 49.

1. El juez puede, en todo momento, y hasta antes de dictar sentencia, recabar informes sobre el soporte técnico de datos, documentación de base relativa a la recolección y cualquier otro aspecto que resulte conducente a la resolución de la causa.Artículo 50.

1. Los responsables de los archivos, registros, bancos o bases de datos no puedan alegar confidencialidad de la información que se les requiera, salvo en el caso de que se afecten fuentes de información periodística o así corresponda conforme a esta ley.2. Cuando la confidencialidad se alegue en los casos de excepción previstos en la ley, el juez puede tomar conocimiento personal y directo de los datos, asegurando el mantenimiento de su confidencialidad.

Artículo 51.

1. Contestada la demanda, inmediatamente el juez de oficio abrirá el proceso a prueba por un término único de 5 días comunes a las partes.Artículo 52.

1. Vencido el plazo de prueba, de oficio el juez dictará sentencia dentro de los tres días siguientes.2. Si la acción se resuelve fundada, el juez determinará los datos que deben ser incluidos, complementados, actualizados, rectificados, reservados, suspendidos o cancelados y destruidos, estableciendo un plazo no superior de quince días para su cumplimiento y acreditación y, en su caso, la forma de hacerlo.

3. La improcedencia de la acción no presume responsabilidad alguna en la que pudiera incurrir el demandante.

4. La sentencia, cualquiera que sea el sentido en que se pronuncie, se comunicará inmediatamente al Instituto Federal de Protección de Datos Personales, con el objeto de que lleve un registro al efecto.

Artículo 53.

1. La acción de protección de datos o habeas data se tramitará según las disposiciones de la presente ley y supletoriamente por las normas del Código Federal de Procedimientos Civiles.Artículos Transitorios

Artículo primero. La presente ley entrará en vigor a los 180 días siguientes al de su publicación en el Diario Oficial de la Federación.

Artículo segundo. El Ejecutivo Federal establecerá el Instituto Federal de Protección de Datos Personales dentro de los 30 días siguientes a la entrada en vigor de la presente ley.

Artículo tercero. El Ejecutivo Federal reglamentará esta ley dentro de los 180 días siguientes a su publicación.

Artículo cuarto. El Ejecutivo Federal determinará en el reglamento de esta ley la forma, términos y plazos en que los archivos, registros, bancos o bases de datos destinados a otorgar informes deben registrarse en el organismo a que se refiere el artículo 33, fracción IV.

Artículo quinto. Se derogan las disposiciones legales, reglamentarias y administrativas que se opongan a lo dispuesto en esta ley.

México Distrito Federal, enero 31 de 2001.

Túrnese a las Comisiones de Puntos Constitucionales y de Estudios legislativos de la Cámara de Senadores y Publíquese en la Gaceta Parlamentaria y en el Diario de los Debates. Febrero 14 de 2001.

Notas:

1 Habeas data significa, en términos generales, un recurso pronto y expedito para lograr que un dato que obre en archivos, registros, bancos o bases de datos sea complementado, actualizado, corregido, suspendido, bloqueado, destruido, o bien que una sede de datos sean incluidos en esos mismos registros, archivos, bancos o bases de datos, además de que se pueda acceder a registros o bancos de datos.

31Ene/01

Propuesta de reformas al Art. 16 constitucional en materia de protección de datos personales

Propuesta de reformas al Art. 16 constitucional en materia de protección de datos personales

Iniciativa de reformas al articulo 16 de la Constitución Política de los Estados Unidos Mexicanos, suscrita por el Senador Antonio García Torres, del Grupo Parlamentario del PRI – Protección de Datos Personales

Antonio García Torres, Senador de la República por el Estado Libre y Soberano de Michoacán de Ocampo, en ejercicio de la facultad que me concede el artículo 71, fracción II, de la Constitución Política de los Estados Unidos Mexicanos, someto a la consideración y, en su caso, aprobación del órgano a que se refiere el artículo 135 de la Constitución, Iniciativa de adición al artículo 16 de la propia Constitución, apoyándome para ello en la siguiente:

Exposición de Motivos

La concepción de garantía tiene su antecedente en la Declaración de los Derechos y Deberes del Hombre de 1789, en Francia, que parte de la idea del respeto de estos derechos para la construcción de una sociedad justa, y además de la necesidad de reconocerlos expresamente.

Los derechos del hombre requieren de ser asegurados mediante el reconocimiento formal del Estado en lo que comúnmente conocemos como garantía.

Es así como la Declaración de los Derechos y Deberes del Hombre, en su artículo 16 disponía que una sociedad que no garantiza los derechos del hombre, ni establece la separación de poderes (condición esta necesaria, incluso, para el respeto y aseguramiento de los derechos del hombre), no tiene constitución o, dicho en otros términos, se encuentra en el desorden y la arbitrariedad.

Posteriormente, en la Constitución de Francia de 1791 se reitera esta idea y se establece un catálogo de derechos naturales y civiles del hombre.

Las garantías, por otro lado, tienen una concepción doble, esto es, desde un punto de vista sustantivo y, por el otro, desde un ángulo procesal.

Desde la óptica sustantiva, las garantías constituyen derechos que tiene el hombre, ya sea porque el Estado se los otorga, esto quiere decir que el orden jurídico crea esas garantías, o bien, porque simplemente reconoce que el hombre ya posee esos derechos por el hecho mismo de ser hombre, esto es, que son consustanciales a su naturaleza humana.

Por otro lado, desde el vértice procesal, la garantía es el medio que otorga la Constitución al gobernado para asegurar o hacer valer eficazmente esos derechos.

Esta explicación es importante para reconocer que, independientemente de los puntos de vista que se adopten:

1. Es necesario que los derechos del hombre se reconozcan formalmente por la ley con el objeto de asegurar de mejor manera su respeto, y que estos sean un dique a los excesos en el ejercicio del poder público, a la vez que un objetivo de fortalecimiento de éste y que, en cierta medida, puedan ser oponibles, incluso a los propios particulares.

2. Los derechos del hombre deben estar provistos de los medios para asegurar su goce, pues un derecho que no se puede hacer valer es punto menos que una declaración.

3. Y finalmente, también hay que señalar con toda precisión que la Constitución Política de los Estados Unidos Mexicanos, en su artículo 1º, concibe que ella es la que otorga los derechos al hombre, sus garantías, por lo que esto viene a fortalecer la idea de que las garantías, tanto del ángulo sustantivo, como del punto de vista procesal deben incorporarse a la Constitución para su aseguramiento mayor.

Un punto importante que no debe soslayarse es la calidad de derechos mínimos de estas garantías que bien pueden ampliarse en otros ordenamientos jurídicos, así como pueden restringirse, fundamentalmente por razones de interés público, social, en suma, por el derecho de las mayorías de manera directa o indirecta.

En nuestra historia constitucional, el primer antecedente conocido se encuentra en la Constitución de Cádiz de 1812, en su artículo 4º, que decía: “La nación está obligada a conservar y proteger por leyes sabias y justas la libertad civil, la propiedad y los demás derechos legítimos de todos los individuos que la componen”.

Posteriormente, José María Morelos redacta el 14 de septiembre de 1813 sus Sentimientos de la Nación, en cuyos 23 puntos encontramos diseminadas múltiples garantías de igualdad, de seguridad jurídica e, incluso, económicas.

El Decreto Constitucional para la Libertad de la América Mexicana, sancionado en Apatzingán el 22 de octubre de 1814, reitera la vocación de protección a los derechos del hombre en sus artículos 19, 24 y 27.

En adelante, el Reglamento Provisional Político del Imperio Mexicano de 1822, (artículos 6º y 9º), el Acta Constitutiva de la Federación de 1824 (artículo 30, entre otros), las Leyes Constitucionales de la República de 1836 (artículo 45, fracción V, de la ley tercera), las Bases Orgánicas de 1843 (artículo 67, fracción IV), el Acta Constitutiva de las Reformas de 1847 (artículo 5º), el Estatuto Orgánico Provisional de la República Mexicana de 1856 (artículos 3º, 5º, 30, 73, 77), la Constitución Política de la República Mexicana de 1857 (artículo 1º), el Estatuto Provisional del Imperio Mexicano de 1865 (artículos 58 y 59), hasta llegar a la Constitución Política de los Estados Unidos Mexicanos en su artículo 1º, reconocen u otorgan derechos mínimos a las personas.

La Constitución Política de los Estados Unidos Mexicanos es la primera del siglo anterior que incorpora garantías sociales, además de las individuales, lo que sin lugar a dudas sugiere que los principios que sustentan a la Constitución son de corte liberal social, a saber:

El principio de autonomía, el de inviolabilidad y el de dignidad personal, conforme a los cuales las personas tienen ciertos derechos mínimos para procurar su felicidad en el modo particular en que entienden esta felicidad y la consecución legítima de sus intereses; en tanto que se debe suponer que los intereses de las mayorías, por regla general, son prevalentes frente a los intereses particulares, existiendo la posibilidad para el equilibrio entre ambas ideas de que las persona puedan renunciar a ciertos y determinados derechos.

Con base en estos principios, la Constitución incorpora garantías de libertad, de seguridad jurídica, de equidad, entre otras, que se expresan en el derecho de libre tránsito, en la libre manifestación de las ideas, en el derecho de acceder a la justicia de manera pronta, expedita, completa e imparcial, en el derecho de huelga, a un salario mínimo, digno y suficiente.

Estas garantías, en sus orígenes tienen como medio circundante uno diverso al que prevalece en la actualidad en el que las nuevas tecnologías han dado lugar a hechos y actos que potencialmente pueden lesionar los derechos reconocidos expresamente y otros que, bajo una interpretación sistemática y finalista, se encuentran subsumidos: el derecho a la intimidad y al honor.

Este derecho a la intimidad y al honor se puede definir como un derecho a la vida personal propia, a controlarla y a que los testimonios que existan sobre ella sean congruentes con la realidad para la conservación de la imagen propia.

Este derecho, implícitamente reconocido en la Constitución Política de los Estados Unidos Mexicanos, en su artículo 16, se encuentra en constante riesgo ante el avance de las nuevas tecnologías, fundamentalmente de la información que, ahora, tienen la potencialidad de colectar, tratar y comunicar o difundir en tiempos, formas y condiciones prontas, rápidas e, incluso, automáticas, la información atinente a una persona, con riesgo de lesionar sus derechos fundamentales, cualquiera que estos sean, y de manera especial, los derechos a la intimidad subyacentes en el supramencionado artículo 16 constitucional.

En el orden mundial, ordenamientos internacionales y la mayoría de las Constituciones han reconocido este derecho, incluyendo la garantía procesal para su tutela efectiva, además de que se ha reglamentado puntualmente; para este efecto se citan a continuación los antecedentes subsecuentes:

La Declaración Universal de los Derechos Humanos:

* En su artículo 8 dice que “Toda persona tiene derecho a un recurso efectivo, ante los tribunales nacionales, que la ampare contra actos que violen sus derechos fundamentales reconocidos por la Constitución o la ley”.

* El artículo 12 prescribe: “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia ni de ataques a su honra o su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”.

La Declaración Americana de los Derechos y Deberes del Hombre:

* El artículo 5 declara que “Toda persona tiene derecho a la protección de la ley contra los ataques abusivos a su honra, a su reputación y a su vida privada y familiar”.

* El artículo 18 proclama que “Toda persona puede recurrir a los tribunales para hacer valer sus derechos. Asimismo debe disponer de un procedimiento sencillo y breve por el cual la justicia la ampare contra actos de la autoridad que violen, en perjuicio suyo, alguno de los derechos fundamentales consagrados constitucionalmente”.

Incluso, cabe destacar el Proyecto de Convención Americana sobre Autodeterminación Informativa de 1997, compuesto de 21 artículos en los que se propone una regulación para la protección y movimiento internacional de datos, y el cual aborda temas importantes como el derecho a la información en la recolección de los datos, el consentimiento del afectado, la calidad, categorías, seguridad y cesión de los datos, los derechos y las garantías de las personas, el habeas data, las sanciones, los recursos, la agencia de protección de datos y el registro de datos.

Europa:

En Alemania

El 7 de abril de 1970, el Parlamento del Estado alemán de Hesse, promulga su normativa de protección de datos “Datenshutz” convirtiéndose en el primer territorio con una norma dirigida a la protección de datos.

Después, el 27 de febrero de 1977, el Parlamento Federal de Alemania aprueba la normativa protectora de datos Datenshutz Federal. En estos casos, se crea un Comisario Federal para la Protección de Datos (Bundesbeauftragter fur den Datenshutz).

En Francia

En 1978 se establece la Comisión Nacional de la Informática y de las Libertades, un organismo colegiado que tiene por objeto establecer un registro de bancos de datos de consulta ciudadana.

En España

Desde 1978, la Constitución, en su artículo 18, apartado 4, dice: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos…”

Relacionada con esta disposición constitucional, en España se ha publicado la Ley Orgánica 5/1992, de 29 de octubre, de regulación de tratamiento automatizado de los datos de carácter personal que tiene como objeto básico la protección de la intimidad y el honor de las personas.

En los Estados Unidos de América

El 31 de diciembre de 1974, el Congreso expide el “Privacy Act (ley de privacía)”, con el objeto de proteger a los individuos en sus libertades y derechos fundamentales frente a la recolección y tratamiento automatizado de datos personales por parte de las agencias federales.

En América Latina

En Brasil

En 1988 la Constitución Brasileña, en su artículo 5, numeral LXXII, se refiere al “conocimiento de informaciones relativas a la persona de la impetrante…” y a la rectificación de datos.

Aproximadamente 10 años más tarde, en Brasil se expide la Ley número 9.507, de 12 de noviembre de 1997 que reglamenta la disposición constitucional, con base en 23 artículos.

En Colombia

A partir de 1991, el artículo 15 de la Constitución de este país reconoce al habeas data como un derecho fundamental aún no reglamentado.

En Paraguay

Es a partir de 1992, teniendo como antecedente los registros obrantes en poder de la Policía Nacional, que la Constitución, en su artículo 135 reconoce el derecho de las personas para acceder a la información que le corresponda en archivos públicos y privados, para conocer la finalidad de esos registros y para actualizar, rectificar o destruir los mismos datos.

En Perú

Desde 1993, el artículo 200, inciso 3, de la Constitución establece de manera expresa el habeas data con los objetivos de que el interesado pueda acceder a la información pública, con ciertas limitantes, y evitar la difamación de la persona por la difusión o suministro a terceros de informaciones que afecten la intimidad personal y familiar.

En Ecuador

El artículo 30 de la Constitución vigente establece el habeas data con los objetos de acceder a los registros, bancos o bases de datos, conocer su uso y finalidad, así como para solicitar la rectificación, actualización, eliminación o anulación de los datos, en caso de que estos sean erróneos o afecten ilegítimamente los derechos de las personas.

La Ley de Control Constitucional de 1997 ya ha reglamentado la acción de habeas data.

En Argentina

La nueva Constitución de 1994, en su artículo 43, en su párrafo tercero, establece el habeas data como un amparo especial.

Sin embargo, pese a la gran demanda porque se regulara en ley secundaria el habeas data, es hasta el año 2000 que se expide la Ley 25326 de Protección de los Datos Personales, publicada en el Boletín Oficial correspondiente al 2 de noviembre del año mencionado.

En Argentina, el habeas data ha tenido gran recepción, y muestra de ello es que las provincias de Buenos Aires (artículo 20, inciso c, de la Constitución local), Córdoba (artículo 50 de su Constitución), Chubut (artículo 56 de su Ley primaria) y Jujuy (artículo 23, inciso 6, de su Constitución), entre otras, prevén el habeas data.

En México, no obstante la gran tradición y entramado constitucional que se posee, no se ha otorgado expresamente a los gobernados la garantía a la intimidad y honor, sobre todo frente a los avances tecnológicos, ni se ha reconocido la garantía procesal del habeas data. México no puede quedarse atrás de los países europeos y latinoamericanos, máxime si se toma en cuenta que los países que ya regulan el habeas data limitan el movimiento internacional de datos con aquellos países que no brinden condiciones equivalentes de seguridad a las propias, de donde se sigue que México, en alguna medida, se encontraría marginado de este movimiento internacional de datos en diferentes materias en las que pueden incluirse la comercial y económica.

Por ello se propone reconocer el derecho a la intimidad y el honor, así como la garantía procesal de la misma, considerando como:

Objeto jurídico

Se propone que la garantía procesal tenga por objeto:

1. Que el interesado pueda acceder a los datos personales que le conciernen.

2. Que toda persona pueda acceder a los registros, archivos y bancos de datos públicos o privados de carácter público, y conocer su uso o fin para el que están destinados.

3. Que el interesado pueda pedir la inclusión, actualización, complementación, rectificación, reserva, suspensión y cancelación de los datos relativos a su persona.

Bienes protegidos

Los bienes protegidos se identifican con el honor, la intimidad y cualquiera otra garantía del gobernado.

Legitimación activa

Del interesado, esto es, de la persona a la que corresponden o conciernen los datos registrados o archivados, para acceder a ellos, para incluir datos, para actualizarlos, complementarlos, rectificarlos, reservarlos, suspenderlos o cancelarlos.

De toda persona para acceder a los registros, archivos o bancos de datos públicos o privados de carácter público, así como para conocer el uso o fin para el que están destinados.

Legitimación pasiva

Son sujetos pasivos del proceso los archivos, registros, bancos o bases de datos públicos o privados en sus diferentes hipótesis.

El reconocimiento coadyuvaría a la cristalización de un México más democrático y más justo, de manera indiscutible.

Atento a ello se propone la adición al artículo 16 de la Constitución en los términos siguientes:

Decreto

Artículo Unico. Se adicionan tres párrafos, un undécimo, otro duodécimo y un décimo tercero, recorriéndose los restantes del artículo 16 de la Constitución Política de los Estados Unidos Mexicanos, para quedar como sigue:

Artículo 16. Del párrafo primero al párrafo décimo…

Toda persona tiene derecho a la protección y al acceso de los datos personales que le conciernen, así como el de acceder a la información de archivos o registros públicos y privados destinados a dar informes, y a conocer el uso o finalidad de tales registros. Los datos se obtendrán y tratarán de modo que no se afecten el honor, la intimidad o cualquier otro derecho de las personas, para fin lícito determinado y con el previo consentimiento, libre e informado de su titular.

No se considera que la obtención y el tratamiento de datos afecta el honor, la intimidad o cualquier otra garantía de la persona a la que conciernen, cuando se realizan atendiendo al interés general del Estado mexicano, a intereses sociales, o con el fin de proteger los derechos fundamentales de terceros por causa legítima.

La persona tiene derecho a la inclusión, actualización, complementación, rectificación, suspensión, reserva y cancelación de los datos que le conciernen.

Artículos Transitorios

Artículo Primero. El presente Decreto entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación.

Artículo Segundo. Se derogan todas las disposiciones jurídicas que se opongan a lo dispuesto en este Decreto.

México, Distrito Federal, enero 31 de 2001.

09Abr/97

Law 2472/1997 on the Protection of Individuals with regard to the Processing of Personal Data

Law 2472/1997 on the Protection of Individuals with regard to the Processing of Personal Data of 9 April 1997. (amended by Laws 2819/2000 and 2915/2001)

CHAPTER A. GENERAL PROVISIONS

Article 1. Object

The object of this law is to establish the terms and conditions under which the processing of personal data is to be carried out so as to protect the fundamental rights and freedoms of natural persons and in particular their right to privacy.

Article 2. Definitions

For the purposes of this law:

a) “Personal data” shall mean any information relating to the data subject. Personal data are not considered to be the consolidated data of a statistical nature whence data subjects may no longer be identified.

b) “Sensitive data” shall mean the data referring to racial or ethnic origin, political opinions, religious or philosophical beliefs, membership to a society, association or trade-union, health, social welfare and sexual life as well as criminal charges or convictions.

c) “Data Subject” shall mean any natural person to whom such data refer and whose identity is known or may be found, i.e., his/her identity may be determined directly or indirectly, in particular by reference to an identity card number or to one or more factors specific to his/her physical, physiological, mental, economic, cultural, political or social identity.

d) “Processing of personal data” (“processing”) shall mean any operation or set of operations which is performed upon personal data by Public Administration or by a public law entity or private law entity or an association or a natural person, whether or not by automatic means, such as collection, recording, organisation, preservation or storage, modification, retrieval, use, disclosure by transmission, dissemination or otherwise making available, correlation or combination, interconnection, blocking (locking), erasure or destruction.

e) “Personal Data File” (“File”) shall mean any set of personal data which are or may be processed and which are kept by Public Administration or by a public law entity or a private law entity or an association or a natural person.

f) “Interconnection” shall mean a means of processing consisting in the possibility of co-relating the data from a file to the data from a file or files kept by another Controller or Controllers or with data from a file or files kept by the same Controller for another purpose.

g) “Controller” shall mean any person who determines the scope and means of the processing of personal data, such as any natural or legal person, public authority or agency or any other organisation. Where the purposes and means of processing are determined by national or Community laws or regulations, the Controller or the specific criteria for his/her nomination shall be designated by national or Community law.

h) “Processor” shall mean any person who processes personal data on behalf of a Controller, such as any natural person or legal person, public authority or agency or any other organisation.

i) “Third party” shall mean any natural or legal person, public authority or agency or any other body other than the data subject, the Controller and the persons authorised to process the data, provided that they act under the direct supervision or on behalf of the Controller.

j) “Recipient” shall mean any natural or legal person, public authority or agency or any other organisation to whom data are disclosed or transmitted, whether a third party or not.

k) “The Data Subject’s Consent” shall mean any freely given, explicit and specific indication of will, whereby the data subject expressly and fully cognisant signifies his/her informed agreement to personal data relating to him being processed. Such information shall include at least information as to the purpose of processing, the data or data categories being processed, the recipient or categories of recipients of personal data as well as the name, trade name and address of the Controller and his/her representative, if any. Such consent may be revoked at any time without retroactive effect.

l) “Authority” shall mean the Authority for the Protection of Personal Data, which is established pursuant to Chapter D of this law.

Article 3. Scope

1. The provisions of this law shall apply to the processing, in whole or in part, by automatic, means as well as to the processing by non-automatic means, of personal data which form part of a file or are intended to form part of a file.

2. The provisions of this law shall not apply to the processing of personal data, which is carried out by a natural person in the course of a purely personal or household activity.

3. The present law shall apply to any processing of personal data, provided that such processing is carried out:

a) by a Controller or a Processor established in Greek Territory or in a place where Greek law applies by virtue of public international law.

b) by a Controller who is not established in Greek Territory or in a place where Greek law applies, when such processing refers to persons established in Greek Territory. In this case, the Controller must designate in writing, by a statement addressed to the Authority, a representative established in Greek territory, who will substitute the Controller to all the Controller’s rights and duties, without prejudice to any liability the latter may be subject to. The same shall also apply when the Controller is subject to exterritoriality, immunity or any other reason inhibiting criminal prosecution.

c) by a Controller who is not established in the territory of a member-state of the European Union but in a third country and who, for the purposes of processing personal data, makes use of equipment, automated or otherwise, situated on the Greek territory, unless such equipment is used only for purposes of transit through such territory. In this case, the Controller must designate in writing by a statement addressed to the Authority a representative established in Greek territory, who will substitute the Controller to all the Controller’s rights and duties, without prejudice to any liability s/he may be subject to. The same shall also apply when the Controller is subject to exterritoriality, immunity or any other reason inhibiting criminal prosecution.

CHAPTER B. PROCESSING OF PERSONAL DATA

Article 4. Characteristics of personal data

1. Personal data, in order to be lawfully processed, must be:

a) collected fairly and lawfully for specific, explicit and legitimate purposes and fairly and lawfully processed in view of such purposes.

b) adequate, relevant and not excessive in relation to the purposes for which they are processed at any given time.

c) accurate and, where necessary, kept up to date.

d) kept in a form which permits identification of data subjects for no longer than the period required, according to the Authority, for the purposes for which such data were collected or processed. Once this period of time is lapsed, the Authority may, by means of a reasoned decision, allow the maintenance of personal data for historical, scientific or statistical purposes, provided that it considers that the rights of the data subjects or even third parties are not violated in any given case. It shall be for the Controller to ensure compliance with the provisions of this paragraph.

2. Personal data, which have been collected or are being processed in breach of the previous paragraph, shall be destroyed, such destruction being the Controller’s responsibility. The Authority, once such a breach is established, either ex officio or upon submission of a relevant complaint, shall order any such collection or processing ceased and the destruction of the personal data already collected or processed.

Article 5. Conditions for processing

1. Processing of personal data will be permitted only when the data subject has given his/her consent.

2. Exceptionally, data may be processed even without such consent, only if :

a) processing is necessary for the execution of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract.

b) processing is necessary for the compliance with a legal obligation to which the Controller is subject.

c) processing is necessary in order to protect the vital interests of the data subject, if s/he is physically or legally incapable of giving his/her consent.

d) processing is necessary for the performance of a task carried out in the public interest or a project carried out in the exercise of public function by a public authority or assigned by it to the Controller or a third party to whom such data are communicated.

e) processing is absolutely necessary for the purposes of a legitimate interest pursued by the Controller or a third party or third parties to whom the data are communicated and on condition that such a legitimate interest evidently prevails over the rights and interests of the persons to whom the data refer and that their fundamental freedoms are not affected.

3. The Authority may issue special data processing rules for the more usual categories of data processing and files, which do not evidently affect the rights and freedoms of the persons to whom such data refer. These categories will be specified by regulations enacted by the Authority and ratified by Presidential Decrees, issued upon a proposal by the Minister of Justice.

Article 6. Notification

1. The Controller must notify the Authority in writing about the establishment and operation of a file or the commencement of data processing.

2. In the course of the aforementioned notification the Controller must necessarily declare the following:

a) his/her name, trade name or distinctive title, as well as his/her address. If the Controller is not established in the Greek territory or in a place where Greek law applies, then the name, trade name or distinctive title and the address of his/her representative in Greece must also be declared.

b) the address where the file or the main hardware supporting the data processing are established.

c) the description of the purpose of the processing of personal data included or about to be included in the file.

d) the category of personal data that are being processed or about to be processed or included or about to be included in the file.

e) the time period during which s/he intends to carry out data processing or preserve the file.

f) the recipients or the categories of recipients to whom such personal data are or may be communicated.

g) any transfer and the purpose of such transfer of personal data to third countries.

h) the basic characteristics of the system and the safety measures taken for the protection of the file or data processing.

i) In the event that such data processing or file falls within one of the categories for which the Authority has issued special data processing rules, then the Controller must submit to the Authority a statement whereby s/he confirms that such data processing will be carried out or the file will be kept according to the special rules established by the Authority, which will prescribe in detail the form and contents of such statement.

3. The data referred to in the preceding paragraph will be registered with the Files and Data Processing Register kept by the Authority.

4. Any modification of the data referred to in paragraph 2 must be communicated in writing and without any undue delay by the Controller to the Authority.

Article 7. Processing of sensitive data

1. The collection and processing of sensitive data is prohibited.

2. Exceptionally, the collection and processing of sensitive data, as well as the establishment and operation of the relevant file, will be permitted by the Authority, when one or more of the following conditions occur:

a) The data subject has given his/her written consent, unless such a consent has been extracted in a manner contrary to the law or bonos mores or if law provides that any consent given may not lift the relevant prohibition.

b) Processing is necessary to protect the vital interests of the data subject, if s/he is physically or legally incapable of giving his/her consent.

c) Processing relates to data made public by the data subject or is necessary for the recognition, exercise or defence of rights in a court of justice or before a disciplinary body.

d) Processing relates to health matters and is carried out by a health professional subject to the obligation of professional secrecy or relevant codes of conduct, provided that such processing is necessary for the purposes of preventive medicine, medical diagnosis, the provision of care or treatment or the management of health-care services.

e) Processing is carried out by a Public Authority and is necessary for the purposes of aa) national security, bb) criminal or correctional policy and pertains to the detection of offences, criminal convictions or security measures, cc) public health or for the exercise of public control on social welfare services.

f) Processing is carried out exclusively for research and scientific purposes provided that anonymity is maintained and all necessary measures for the protection of the persons involved are taken.

g) Processing concerns data pertaining to public figures, provided that such data are in connection with the holding of public office or the management of third parties’ interests, and is carried out solely for journalistic purposes. The Authority may grant a permit only if such processing is absolutely necessary in order to ensure the right to information on matters of public interest, as well as within the framework of literary expression and provided that the right to protection of private and family life is not violated in any way whatsoever.

3. The Authority shall grant a permit for the collection and processing of sensitive data, as well as a permit for the establishment and operation of the relevant file, upon request of the Controller. Should the Authority ascertain that processing of sensitive data is carried out, the notification of the existence of such a file pursuant to article 6 of this law is considered to be a request for a permit. The Authority may impose terms and conditions for a more effective protection of the data subjects’ or third parties’ right to privacy. Before granting the permit, the Authority shall summon the Controller or his/her representative and the Processor to a hearing.

4. The permit will be issued for a specific period of time, depending on the purpose of the data processing. It may be renewed upon request of the Controller.

5. The permit shall necessarily contain the following:

a) The full name or trade name or distinctive title, as well as the address, of the Controller and his/her representative, if any.
b) The address of the place where the file is established.
c) The categories of personal data which are allowed to be included in the file.
d) The time period for which the permit is granted.
e) The terms and conditions, if any, imposed by the Authority for the establishment and operation of the file.
f) The obligation to disclose the recipient or recipients as soon as they are identified.

6. A copy of the permit shall be registered with the Permits Register kept by the Authority.

7. Any change in the data referred to in paragraph 5 shall be communicated without undue delay to the Authority. Any change other than a change of address of the Controller or his/her representative shall entail the issuance of a new permit, provided that the terms and conditions stipulated by law are fulfilled.

Article 7a. Exemption from the obligation to notify and receive a permit

1. The Controller is exempted from the obligation of notification, according to article 6, and the obligation to receive a permit, according to article 7 of the present Law in the following cases:

a) When processing is carried out exclusively for purposes relating directly to an employment or project relationship or to the provision of services to the public sector and is necessary for the fulfilment of an obligation imposed by law or for the accomplishment of obligations arising from the aforementioned relationships, and upon prior notification of the data subject.
b) When processing relates to clients’ or suppliers’ personal data, provided that such data are neither transferred nor disclosed to third parties. In order that this provision may be applied courts of justice and public authorities are not considered to be third parties, provided that such a transfer or disclosure is imposed by law or a judicial decision. Insurance companies, for all types of insurance, pharmaceutical companies, companies whose main activities involve trading of data, credit and financial institutions, such as banks and institutions issuing credit cards are not exempted from the obligation of notification.
c) When processing is carried out by societies, enterprises, associations and political parties and relates to personal data of their members or companies, provided that the latter have given their consent and that such data are neither transferred nor disclosed to third parties. Members and partners are not considered to be third parties, provided that said transfer is carried out among said members and partners for the purposes of the aforementioned legal entities or associations. Courts of justice and public authorities are not considered to be third parties, provided that such a transfer is imposed by law or a judicial decision.
d) When processing is carried out by doctors or other persons rendering medical services and relates to medical data, provided that the Controller is bound by medical confidentiality or other obligation of professional secrecy, provided for in Law or code of practice, and data are neither transferred nor disclosed to third parties. In order that this provision may be applied, courts of justice and public authorities are not considered to be third parties, provided that such a transfer or disclosure is imposed by law or judicial decision. Legal entities or organisations rendering health care services, such as clinics, hospitals, medical centres, recovery and detoxication centres, insurance funds and insurance companies, as well as Controllers processing personal data within the framework of programmes of telemedicine or provision of health care services via Internet.
e) When processing is carried out by lawyers, notaries, unpaid land registrars and court officers and relates to the provision of legal services to their clients, provided that the Controller is bound by an obligation of confidentiality imposed by Law and that data are neither transferred nor disclosed to third parties, except for those cases where this is necessary and is directly related to the fulfilment of a client’s mandate.

2. In every case of paragraph 1 of the present article, the Controller is subject to all obligations specified by the present law and is obliged to conform with any special processing rules issued by the Authority pursuant to article 5 paragraph 3 of the present law.

3. The deadlines referred to in paragraphs 1, 2 and 3 of article 24 of Law 2472/1997 are prolonged until January 21st 2001.

Article 8. Interconnection of files

1. Interconnection of files is permitted only according to the terms and conditions set out in this article.

2. Every interconnection will be communicated to the Authority by means of a declaration jointly submitted by the Controllers or the Controller who interconnects two or more files serving different purposes.

3. If at least one of the files about to be interconnected contains sensitive data or if the interconnection results to the disclosure of sensitive data or if for the implementation of the interconnection a uniform code number is about to be used, such an interconnection will be permitted only following a prior permit by the Authority (interconnection permit).

4. The interconnection permit referred to in the preceding paragraph may be granted upon a prior hearing of the Controllers of such files and shall necessarily include the following:
a) The purpose for which the interconnection is deemed necessary.
b) The categories of personal data to which the interconnection refers.
c) The time period for which the interconnection is permitted.
d) The terms and conditions, if any, for the more effective protection of the rights and freedoms and, in particular, of the right to privacy of the data subjects or third parties.

5. The interconnection permit may be renewed upon request of the Controllers.

6. The declarations referred to in paragraph 2 of this article, as well as any copies of the interconnection permits, shall be registered with the Interconnections Register kept by the Authority.

Article 9. Transboundary flow of personal data

1. The transfer of personal data to states of the European Union is permitted. The transfer to a state non member to the European Union of personal data which are undergoing processing or are intended for processing after transfer shall be permitted only following a permit granted by the Authority. The Authority may grant such permit only if it deems that the country in question ensures an adequate level of protection. For this purpose it shall particularly take into account the nature of the data, the purpose and the duration of the processing, the relevant general and particular rules of law, the codes of conduct, the security measures for the protection of personal data, as well as the protection level in the countries of origin, transit and final destination of the data.

2. The transfer of personal data to a state non member to the European Union which does not ensure an adequate level of protection is exceptionally allowed only following a permit granted by the Authority, provided that one or more of the following conditions occur:

a) The data subject has consented to such transfer, unless such consent has been extracted in a manner contrary to the law or bonos mores.

b) The transfer is necessary:
i) in order to protect the vital interests of the data subject, provided s/he is physically or legally incapable of giving his/her consent, or
ii) for the conclusion and performance of a contract between the data subject and the Controller or between the Controller and a third party in the interest of the data subject, if s/he is incapable of giving his/her consent, or
iii) for the implementation of precontractual measures taken in response to the data subject’s request.

c) The transfer is necessary in order to address an exceptional need and safeguard a superior public interest, especially for the performance of a co-operation agreement with the public authorities of the other country, provided that the Controller provides adequate safeguards with respect to the protection of privacy and fundamental liberties and the exercise of the corresponding rights.

d) The transfer is necessary for the establishment, exercise or defence of a right in court.

e) The transfer is made from a public register which by law is intended to provide information to the public and which is accessible by the public or by any person who can demonstrate legitimate interest, provided that the conditions set out by law for access to such register are in each particular case fulfilled.

3. In the cases referred to in the preceding paragraphs, the Authority shall inform the European Commission and the respective Authorities of the other member-states, when it considers that a specific state does not ensure an adequate protection level.

Article 10. Confidentiality and security of processing

1. The processing of personal data shall be confidential. It shall be carried out solely and exclusively by persons acting under the authority of the Controller or the Processor and upon his/her instructions.

2. In order to carry out data processing the Controller must choose persons with corresponding professional qualifications providing sufficient guarantees in respect of technical expertise and personal integrity to ensure such confidentiality.

3. The Controller must implement appropriate organisational and technical measures to secure data and protect them against accidental or unlawful destruction, accidental loss, alteration, unauthorised disclosure or access as well as any other form of unlawful processing. Such measures must ensure a level of security appropriate to the risks presented by processing and the nature of the data subject to processing. The Authority shall issue from time to time instructions as to the level of security of such data as well as on the protection measures necessary for each category of data in view of technological developments.

4. If the data processing is carried out on behalf of the Controller, by a person not dependent upon him, the relevant assignment must necessarily be in writing. Such assignment must necessarily provide that the Processor carries out such data processing only on instructions from the Controller and that all other obligations arising from this article shall mutatis mutandis be borne by him.

CHAPTER C. THE DATA SUBJECT’S RIGHTS

Article 11. Right to information

1. The Controller must, during the stage of collection of personal data, inform the data subject in an appropriate and express manner of the following data:

a) his/her identity and the identity of his/her representative, if any,
b) the purpose of data processing,
c) the recipients or the categories of recipients of such data,
d) the existence of a right to access.

2. If the Controller, in order to collect personal data, requests the data subject’s assistance, s/he must inform him specifically and in writing of the data referred to in paragraph 1 of this article as well as of his/her rights according to articles 11-13 of this law. By means of such notification the Controller shall also inform the data subject whether s/he is obliged to assist in the collection of data, on the basis of which provisions, as well as of any sanctions resulting from his/her failure to co-operate.

3. If the data are to be disclosed to third parties, the data subject will be kept informed of such disclosure before it is effected.

4. By virtue of a decision by the Authority, the obligation to inform, pursuant to paragraphs 1 and 3, may be lifted in whole or in part, provided that data processing is carried out for reasons of national security or for the detection of particularly serious crimes. In a state of emergency said obligation may be lifted by way of a provisional, immediately enforceable judgement by the President, who shall convene as soon as possible the Board in order that a final judgement on the matter may be issued.

5. Without prejudice to the rights arising from paragraphs 12 and 13, the right to inform does not exist when such collection is carried out solely for journalistic purposes and refers to public figures.

Article 12. Right to access

1. Everyone is entitled to know whether personal data relating to him are being processed or have been processed. As to this the Controller must answer in writing.

2. The data subject shall be entitled to request and obtain from the Controller, without undue delay and in an intelligible and express manner, the following information:
a) All the personal data relating to him as well as their source.
b) The purposes of data processing, the recipient or the categories of recipients.
c) Any developments as to such processing for the period since s/he was last notified or advised.
d) The logic involved in the automated data processing.
The data subject may exercise his/her right to access with the assistance of a specialist.

3. The right referred to in the preceding paragraph and the rights arising from article 13 are exercised by means of a relevant application to the Controller and the simultaneous payment of an amount of money, the amount of which, the method of payment as well as any other relevant matter will be regulated by a decision of the Authority. This amount will be returned to the applicant if his/her request to rectify or delete data is considered valid by the processor or the Authority, in case of an appeal before it. The Controller must in this case provide the applicant without undue delay, free of charge and in an intelligible form, a copy of the rectified part of the data relating to him.

4. Should the Controller not reply within a period of fifteen (15) days or should his/her answer be unsatisfactory, the data subject shall be entitled to appeal before the Authority. In the event the Controller refuses to satisfy the request of the party concerned, s/he must notify the Authority as to his/her response and inform the party concerned as to his/her right of appeal before it.

5. By virtue of a decision by the Authority, upon application by the Controller, the obligation to inform, pursuant to paragraphs 1 and 2 of the present article, may be lifted in whole or in part, provided that the processing of personal data is carried out on national security grounds or for the detection of particularly serious crimes. In this case the President of the Authority or his/her substitute carries out all necessary acts and has free access to the files.

6. Data pertaining to health matters will be communicated to the data subject by means of a medical doctor.

Article 13. Right to object

1. The data subject shall be entitled to object at any time to the processing of data relating to him. Such objections shall be addressed in writing to the Controller and must contain a request for a specific action, such as correction, temporary non-use, locking, non-transfer or deletion. The Controller must reply in writing to such objection within an exclusive deadline of fifteen (15) days. His/her response must advise the data subject as to the actions s/he carried out or, alternatively, as to the grounds for not acceding to his/her request. In case the objection is rejected, the relevant response must also be communicated to the Authority.

2. If the Controller does not respond within the specified time limit or his/her reply is unsatisfactory, then the data subject has the right to appeal before the Authority and request that his/her objections are examined. Should the Authority consider that such objections are reasonable and furthermore there is a risk of serious damage being caused to the data subject as a result of the processing, it may order the immediate suspension of the processing until a final decision on the objections is issued.

3. Any person shall be entitled to declare to the Authority that s/he does not wish data relating to him to be submitted to processing in order to promote the sale of goods or long distance services. The Authority shall keep a register for the identification of such persons. The Controllers of the relevant files must consult the said register prior to any processing and delete from their files the persons referred therein.

Article 14. Right to provisional judicial protection

1. Everyone is entitled to request from the competent court the immediate suspension or non-application of an act or decision affecting him, issued by an administrative authority or public law entity or private law entity or association or natural person solely on automated processing of data intended to evaluate his/her personality and especially his/her effectiveness at work, creditworthiness, reliability and general conduct.

2. The right referred to in this article may also be satisfied even when the other substantive conditions for provisional judicial protection, as stipulated from time to time, do not occur.

CHAPTER D. PERSONAL DATA PROTECTION AUTHORITY

Article 15. Establishment – Task – Legal Nature

1. A Personal Data Protection Authority (hereinafter: the Authority) is hereby created with the task to supervise the implementation of this law and all other regulations pertaining to the protection of individuals from the processing of personal data as well as to the exercise of the duties assigned to it from time to time.

2. The Authority constitutes an independent public authority, shall have its own budget and will be assisted by its own Secretariat. The Authority shall not be subject to any administrative control. In the course of their duties the members of the Authority shall enjoy personal and functional independence. The Authority reports to the Minister of Justice and its seat is in Athens.

3. The Authority’s budget shall be submitted by the Minister of Justice following a proposal by the Authority. A percentage of all kinds of state revenues resulting from the implementation of this law, including the fees and penalties imposed by the Authority, shall be made available for the needs of the Authority. This percentage will be determined from time to time by virtue of a joint decision of the Ministers of Finance and Justice.

Article 16. Composition of the Authority

1. The Authority shall be composed of a judge of a rank corresponding at least to that of a Conseiller d’État as President and six members as follows:
a) A University, full or associate, professor specialised in law.
b) A University, full or associate, professor specialised in information technology.
c) A University, full or associate, professor.
d), e), f) Three persons of high standing and experience in the field of the protection of personal data.
The judge-President and the professors-members may be on active service or not.

2. The President of the Authority will be employed on a full and exclusive time basis and will be appointed by a Presidential Decree issued upon proposal of the Cabinet following a report by the Minister of Justice. If a judge on active service is selected for the position of the President, then a decision of the competent Supreme Judicial Council is also required. The same procedure is to be followed for the selection and appointment of the President’s substitute.

3. The members of the Authority will be appointed by means of the following procedure: the Minister of Justice submits to the Speaker of the Parliament a proposal for the appointment of the six ordinary members of the Authority and an equal number of substitutes. The proposal shall include a double number of candidates. The Speaker will then forward the proposal to the Committee on Institutions and Transparency, which renders an opinion. The ordinary members of the Authority and their substitutes are selected by the [Parliamentary Committees] Chairmen Conference. The persons selected are then appointed by virtue of a presidential decree issued following a proposal by the Minister of Justice and published in the Official Gazette.

4. The President and members of the Authority will be appointed for a specific term of office. Their term of office will be of four years and may be renewed only once. None may serve for a total period exceeding eight (8) years. Half of the Authority’s six members will be renewed every two years. Once the Authority is established, a draw will take place among the six ordinary members so as to decide which three of them will serve for a four-year period and which for a two-year period.

5. The President and members of the Authority shall be appointed with an equal number of substitutes who must have the same status and qualifications. The substitutes for the President and the members will participate in the meetings of the Authority only if the corresponding ordinary member is provisionally absent or unable to participate. By means of a decision the President of the Authority may delegate special duties to the substitutes. The term of office of each substitute will equal the term of office of the corresponding ordinary member.

Article 17. Impediments – Incompatibilities of the members of the Authority

1. No one may be appointed as a member of the Authority :

a) Ifs/he is a Minister, Assistant Minister, Secretary-General to a Ministry or to an independent Secretariat General or a Member of Parliament.

b) Ifs/he is a governor, manager, administrator, member of the Board of Directors or a person performing managerial duties, in general, in an enterprise producing, manufacturing, selling or trading in materials being used in information technology or telecommunications or rendering services in connection to information technology, telecommunications or personal data processing, as well as persons bound by a work contract to such an enterprise.

2. Membership of the Authority is automatically forfeit for anyone who, following his/her appointment:

a) acquires one of the positions impeding membership of the Authority by virtue of the preceding paragraph.

b) performs any acts or undertakes any tasks or projects or acquires any other position which, at the Authority’s discretion, is incompatible with his/her duties as a member of the Authority.

3. Evidence on the incompatibility, pursuant to the preceding paragraph, is taken by the Authority without the participation of the member, whose position may be incompatible. The Authority shall decide having previously heard the said member. The procedure may be initiated either by the President of the Authority or by the Minister of Justice.

4. The loss of the qualifications on the basis of which a member of the Authority was appointed, pursuant to article 16 paragraph 1 of this law, shall entail his/her automatic forfeiture, if due to an irrevocable disciplinary or criminal conviction.

Article 18. Duties and rights of the members of the Authority

1. When exercising their duties the members of the Authority are subject to their conscience and the law. They have a duty of confidentiality. As witnesses or expert witnesses they may testify only on facts exclusively and solely pertaining to the observance of the provisions of this law by Controllers. The duty of confidentiality continues to exist even after the members of the Authority are in any way retired.

2. The monthly wages of the President and the members of the Authority as well as their remuneration for each session will be stipulated by a decision of the Ministers of Finance and Justice, notwithstanding any other provision. The substitutes will be paid 1/3 of the monthly wages paid to the members of the Authority as well as a remuneration for each session in which they participate. The provisions applicable from time to time regarding travel expenses of persons travelling upon official instructions in the exercise of their duties shall also apply for travel by the members of the Authority and employees of the Secretariat of the Authority. The President of the Authority shall issue the relevant travel instructions.

3. For any breach of their duties arising from this law the members of the Authority are held disciplinarily liable. The disciplinary procedure will be initiated before the Disciplinary Council by the Minister of Justice with regard to the President and the members of the Authority and by the President of the Authority with regard to its members. The Disciplinary Council consists of a Vice-President of the Conseil d’État as Chairman, an Areios Pagos judge, a Councillor of the Court of Auditors and two University law professors. An employee of the Authority shall perform the duties of the Secretary to the Council. The Chairman, the members and the Secretary of the Council will be appointed along with an equal number of substitutes. For those members of the Council who are judges a decision of the competent Supreme Judicial Council is also required. The Council is established by virtue of a decision by the Minister of Justice with a three-year term of office. The Council is in session when at least four of its members are present, among which necessarily the President or his/her substitute, and decides by the absolute majority vote of those present. In case of split vote, the Chairman’s vote shall prevail. In case of more than two opinions, those of the lesser dissent, must accede to one of the two prevailing ones. The Disciplinary Council shall decide at first and last instance whether the defendant is released of all charges or discharged from the service. The compensation payable to the President, the members and the Secretary of the Council is specified by a joint decision of the Ministers of Finance and Justice, notwithstanding any other provision.

4. A member of the Authority who, in breach of this law, discloses in any way whatsoever personal data accessible to him in the course of his/her duties or allows such data to become known to a third party shall be punished by imprisonment for a period of at least two (2) years and a fine amounting between two million Drachmas (GRD 2,000,000) and ten million Drachmas (GRD 10,000,000). If, however, s/he has committed the act with the purpose of gaining unlawful benefit on his/her behalf or on behalf of another or for the purpose of causing harm to another person, then s/he will be punished by confinement in a penitentiary. If the act referred to in the first section of this paragraph has been committed as a result of negligence, then the perpetrator will be punished by imprisonment for a period of at least three (3) months and a fine.

Article 19. Competence, operation and decisions of the Authority

1. The Authority shall mainly have the following powers:

a) It shall issue instructions for the purpose of a uniform application of the rules pertaining to the protection of individuals against the processing of personal data.
b) It shall call on and assist trade unions and other associations of legal and natural persons keeping personal data files in the preparation of codes of conduct for the more effective protection of the right to privacy and in general the rights and fundamental liberties of all natural persons active in their field.
c) It shall address recommendations and instructions to Controllers or to their representatives, if any, and shall publicise them, at its discretion.
d) It shall grant the permits provided for in this law and shall stipulate the amount of the relevant fees.
e) It shall denounce any breach of the provisions of this law to the competent administrative and judicial authorities.
f) It shall impose the administrative sanctions stipulated in article 21 of this law.
g) It shall assign to one or more of its members the conduct of administrative examinations.
h) It shall proceed ex officio or following a complaint to administrative review of any file. It shall have, to that effect, the right of access to personal data and the right to collect any kind of information for the purposes of such review, notwithstanding any kind of confidentiality. Exceptionally, the Authority shall not have access to identity data relating to associates and contained in files kept for reasons of national security or for the detection of particularly serious crimes. Such review is carried out by one or more members of the Authority or an employee of the Secretariat, duly authorised to that effect by the President of the Authority. In the course of reviewing files kept for reasons of national security the President of the Authority shall be present in person.
i) It shall deliver opinions with respect to any rules relating to the processing and protection of personal data.
j) It shall issue regulations pertaining to special, technical and detailed matters to which the present law refers.
k) It shall communicate to the Parliament any breach of the rules relating to the protection of individuals from the processing of personal data.
l) It shall draw up every year a report on the performance of its duties over the previous calendar year. The report shall also point out any legislative changes required in the area of the protection of individuals from the processing of personal data. The report will be submitted by the President of the Authority to the Speaker of the Parliament and to the Prime Minister and it will be published in the Official Gazette, care of the Authority, who may also decide to publicise the report in any other way.
m) It shall examine complaints relating to the implementation of the law and the protection of the applicants’ rights when such rights are affected by the processing of data relating to them and its shall also examine applications requesting checks on the lawfulness of such processing and it shall advise the applicants as to its actions.
n) It shall co-operate with the respective authorities of other member states of the European Union and the Council of Europe on matters relevant to the exercise of its powers.

2. The Authority shall hold regular sessions upon an invitation by its President. It shall hold extraordinary sessions upon an invitation by the President or an application by at least two of its members. The Authority will decide by the majority vote of at least four of its members. In case of split vote, the President’s vote or that of his/her substitute shall prevail.

3. The Authority may also hold meetings in sections, comprised of at least three regular or substitute members presided by the President of the Authority or his/her substitute. The rules of procedure of the Authority further regulates the composition, the terms of operation of the sections and the allocation of duties between the plenum and the sections. Any decisions of the sections may be amended or revoked by the plenum. The Authority shall adopt its rules of procedure, thus regulating more specifically the allocation of duties among its members, the prior hearing of interested parties, matters relating to the disciplinary procedure, and the methods of carrying out the reviews stipulated in case h) of paragraph 1 of the present article.

4. The Authority shall keep the following registries:

a) the Files and Processing Register, which contains the files and processing communicated to the Authority.

b) the Permits Register, which contains the permits issued by the Authority for the establishment and operation of files containing sensitive data.

c) the Interconnections Register, which contains the declarations and permits issued by the Authority for the interconnection of data.

d) the Register of Persons, who do not want to be included in files for the purposes of promoting the sale or goods or long distance services.

e) the Transfer Permits Register, which contains the permits for the transfer of personal data.

f) the Secret Files Register, which contains, following a decision of the Authority upon application by the competent Controller, files kept by the Ministry of National Defence, the Ministry of Public Order and the National Intelligence Service for reasons of national security or for the detection of particularly serious crimes. The Secret Files Register also contains all interconnections with at least one file of this category.

5. Everyone shall have access to the registries under a), b), c), d) and e) of the previous paragraph. Following an application by the party concerned and a decision by the Authority access may also be permitted, in whole or in part, to the Secret Files Register. Following an application by the Controller or his/her representative and by virtue of a decision of the Authority access to the Transfer Permits Register may be prohibited, in whole or in part, if it may jeopardise the privacy of a third party, national security, the detection of particularly serious crimes and the performance of obligations of the state arising out of international treaties.

6. The President will represent the Authority before all other authorities as well as before committees and groups, in sessions and conferences of institutions of the European Union and of any other international organisation and institution created by an international convention or in which representatives of similar authorities of other countries participate. The President may delegate the representation of the Authority to one of its members, a substitute or even an employee of the Controllers branch of the Secretariat.

7. The President bears responsibility for the operation of the Authority as well as for the operation of the Secretariat. The President may authorise a member of the Authority or the person in charge of the Secretariat or the person in charge of a department of the Secretariat to sign “by order of the President” documents, payment warrants or other acts. The President shall be the Administrative Head of the personnel of the Secretariat. S/he shall exercise disciplinary power over them and may impose disciplinary sanctions, at most a fine equal to half the monthly wages of the defendant.

7a. In the event that the protection of an individual with regard to the processing of personal data calls for immediate decision-making, the President may, upon request of the party concerned, issue a provisional order for immediate suspension of the processing or the file operation, in whole or in part. Said order shall apply until the Authority issues a final judgement. The Authority shall be equally responsible when dealing with the matter.

8. The regulations issued by the Authority shall be published in the Official Gazette. All other decisions of the Authority shall come into force as of the date of their issuance or as of the date they were notified to their recipients.

9. Remedies against the decisions of the Authority may also be filed by the State. Such remedy shall be initiated by the competent Minister as the case may be. In every trial relating to a decision issued by the Authority, the party to the legal proceedings shall be the latter represented by the President. The appearer in court shall be either a member of the Legal Council of the State or a member of the Authority, regular or substitute, or an auditor, who is attorney-at-law and acts by order of the President, without remuneration.

10. All public authorities shall render assistance to the Authority.

Article 20. The Secretariat of the Authority

1. The Authority shall be assisted by a Secretariat. The Secretariat operates at the directorate level. The status of its employees will be governed by the provisions applicable from time to time on administrative civil servants.

2. The organisation of the Secretariat, its division into departments and services and the competence thereof, the number of personnel by branch and speciality as well as any other necessary detail are stipulated by a presidential decree issued upon a proposal by the Ministers of the Interior, Public Administration and Decentralisation, Finance and Justice following a report by the Authority delivered within two months from its establishment. The same decree provides for the establishment, as an administrative unit within the Secretariat, of a Department of Controllers, whose method of employment and status shall also be determined, notwithstanding any other provisions in force from time to time. The person in charge of the Secretariat shall necessarily come from the Controllers branch. The number of positions of the Secretariat of all categories shall not exceed thirty (30).

3. Vacancies in the Secretariat Section will be filled according to the provisions applicable from time to time on civil servants. The employees of the Controllers branch in particular shall be employed by the Secretariat, upon selection or by an examination procedure following a relevant advertisement.

4. Matters pertaining to the employment status of the personnel of the Secretariat shall be subject to a Service Council established by a decision of the President of the Authority and comprising two of its members, one employee appointed by it and two elected representatives of the employees. In all other matters the provisions applicable from time to time to the Service Councils for civil servants and the personnel of legal entities of public law shall apply.

5. Ordinary employees of the Authority’s Secretariat will be subject, as to their secondary social security, to the Assistance Fund for Employees Supervised by the Ministry of Justice. Those coming from other agencies shall continue to be covered by the social security funds of their previous position. The employees of the Secretariat shall be necessarily registered with the Lawyers’ Pension Fund under the same terms and conditions applicable on salaried lawyers covered by it. The provisions of this paragraph shall also apply to employees transferred to the Secretariat of the Authority from legal entities of private law.

6. For the first time the positions of the persons in charge of service units of the Secretariat, with the exception of the Controllers’ Department, shall be filled following an advertisement by the Authority either by a transfer of civil servants or employees of legal entities of public law of grade A or equivalent thereof or by appointment. The appointment procedure shall take place only for those positions not filled by transfer. The selection of those to be transferred or appointed is carried out by the Authority. Those selected are appointed by a decision of the Minister of Justice and those transferred by a decision of the same and the competent Minister. For such transfer to be effected it is not necessary to have an opinion by the competent Service Council of the department of origin. The person in charge of the Secretariat is selected by the Authority among the employees of the Controllers’ Department, notwithstanding any other provision.

7. For the first time the remaining positions of the Secretariat shall be filled under the terms and conditions and according to the procedure stipulated in the preceding paragraph. Candidates with a proven experience in information technology shall be preferred. Regarding the employees of the Controllers’ Department the provisions of paragraph 3 of this article apply.

8. Regarding persons transferred from legal entities of public or private law prior service time shall be deemed as actual service time entailing all lawful consequences.

9. The provisions of paragraph 4 of article 18 shall also apply regarding the employees of the Secretariat.

CHAPTER E. SANCTIONS

Article 21. Administrative Sanctions

1. The Authority may impose on the Controllers or on their representatives, if any, the following administrative sanctions for breach of their duties arising from this law as well as from any other regulation on the protection of individuals from the processing of personal data:

a) a warning with an order for the violation to cease within a specified time limit.
b) a fine amounting between three hundred thousand Drachmas (GRD 300,000) and fifty million Drachmas (GRD 50,000,000).
c) a temporary revocation of the permit.
d) a definitive revocation of the permit.
e) the destruction of the file or a ban of the processing and the destruction of the relevant data.

2. The administrative sanctions referred to in the preceding paragraph under b, c, d and e shall only be imposed following a hearing of the Controller or his representative. Such sanctions shall be commensurate to the gravity of the violation impeached. The administrative sanctions under c, d, and e shall be imposed in case of a particularly serious or repeated violation. A fine may be imposed in conjunction with the sanctions provided for under c, d and e. If the sanction of file destruction is imposed, then the Controller is responsible for such destruction taking place upon payment of a fine in case of non-compliance.

3. The fines referred to in paragraph 1 may be readjusted by a decision of the Minister of Justice following a proposal by the Authority.

4. Any acts of the Authority imposing a fine shall constitute an enforceable instrument and will be served to the Controller or his/her representative, if any. The collection of fines will be effected pursuant to the provisions of the Public Revenues Collection Code (K.E.D.E.).

Article 22. Penal Sanctions

1. Anyone who fails to notify the Authority, according to the provisions of article 6 of this law, of the establishment or the operation of a file or any change in the terms and conditions regarding the granting of the permit referred to in paragraph 3 of article 7 of this law, will be punished by imprisonment for up to three (3) years and a fine amounting between one million Drachmas (GRD 1,000,000) and five million Drachmas (GRD 5,000,000).

2. Anyone who, in breach of article 7 of this law, keeps a file without permit or in breach of the terms and conditions referred to in the Authority’s permit, will be punished by imprisonment for a period of at least one (1) year and a fine amounting between one million Drachmas (GRD 1,000,000) and five million Drachmas (GRD 5,000,000).

3. Anyone who, in breach of article 8 of this law, proceeds to the interconnection of files without notifying the Authority accordingly will be punished by imprisonment for up to three (3) years and a fine amounting between one million Drachmas (GRD 1,000,000) and five million Drachmas (GRD 5,000,000). Anyone who proceeds to the interconnection of files without the Authority’s permit, wherever such permit is required, or in breach of the terms of the permit granted to him, will be punished by imprisonment for a period of at least one (1) year and a fine amounting between one million Drachmas (GRD 1,000,000) and five million Drachmas (GRD 5,000,000).

4. Anyone who unlawfully interferes in any way whatsoever with a personal data file or takes notice of such data or extracts, alters, affects in a harmful manner, destroys, processes, transfers, discloses, makes accessible to unauthorised persons or permit such persons to take notice of such data or anyone who exploits such data in any way whatsoever, will be punished by imprisonment and a fine and, regarding sensitive data, by imprisonment for a period of at least one (1) year and a fine amounting between one million Drachmas (GRD 1,000,000) and ten million Drachmas (GRD 10,000,000), unless otherwise subject to more serious sanctions.

5. Any Controller who does not comply with decisions issued by the Authority in the exercise of the right of access, pursuant to paragraph 4 of article 12, in the exercise of the right to object, pursuant to paragraph 2 of article 13, as well as with acts imposing the administrative sanctions provided under c, d and e of paragraph 1 of article 21 shall be punished by imprisonment for a period of at least two (2) years and a fine amounting between one million Drachmas (GRD 1,000,000) and five million Drachmas (GRD 5,000,000). By the sanctions referred to in the preceding sentence shall also be punished any Controller who transfers personal data in breach of article 9 as well as the person who does not comply with the court decision referred to in article 14 of this law.

6. If the perpetrator of the acts referred to in paragraphs 1-5 of this article purported to gain unlawful benefit on his/her behalf or on behalf of another person or to cause harm to a third party, then s/he shall be punished confinement in a penitentiary for a period of up to ten (10) years and a fine amounting between two million Drachmas (GRD 2,000,000) and ten million Drachmas (GRD 10,000,000).

7. If the acts referred to in paragraphs 1-5 of this Article have jeopardised the free operation of democratic governance or national security, then the sanction imposed shall be confinement in a penitentiary and a fine amounting between five million Drachmas (GRD 5,000,000) and ten million Drachmas (GRD 10,000,000).

8. If the acts referred to in paragraphs 1-5 of this Article were committed as a result of negligence, then imprisonment for a period of at least three (3) months and a fine shall be imposed.

9. For the purposes of the present article, if the Controller is not a natural person, then liable shall be the representative of the legal entity or the head of the public authority or agency or organisation, provided s/he also carries out in effect administrative or managerial duties.

10. For the purposes of the present article, the President and the members of the Authority as well as the employees of the Secretariat’s Controllers Department who are especially authorised to that effect shall be deemed as special investigating officers having all the powers invested to them by the Code of Criminal Procedure. They shall be entitled to carry out a preliminary investigation, even without an order by the Public Prosecutor, in case of an act caught in flagrante delicto, a misdemeanour, or if there is risk in any delay.

11. Regarding the offences referred to in paragraph 5 of this article as well as in any other case where an administrative review has been previously carried out by the Authority, the President of the same shall notify the competent Public Prosecutor in writing as to any eventuality that became the object of an investigation by the Authority and shall forward to him all the relevant records and evidence.

12. The preliminary investigation for the offences referred to in this article shall be completed within a period of maximum two (2) months since charges were brought and, provided that there is reasonable cause to remand the defendant to trial, the court date shall be set at a date no later than three (3) months since the preliminary investigation was completed or, if remand was effected by means of an order of the Judicial Council, within two (2) months since the date such order became irrevocable. In the event the case is sent to trial by direct summons, no appeal will be permitted against the writ of summons.

13. No continuation is allowed with regard to the offences referred to in this article, except for extremely important reasons and only once. In this case, the court is adjourned for a specific day within no more than two (2) months and the case shall, exceptionally, be heard first.

14. The felonies, provided for in this law, shall be subject to the jurisdiction of the Court of Appeal.

Article 23. Civil Liability

1. Any natural person or legal entity of private law, who in breach of this law, causes material damage shall be liable for damages in full. If the same causes non pecuniary damage, s/he shall be liable for compensation. Liability shall entail even when the person liable pecuniary should have known that such damage could be brought about.

2. The compensation payable according to article 932 of the Civil Code for non pecuniary damage caused in breach of this law is hereby set at the amount of at least two million Drachmas (GRD 2,000,000), unless the plaintiff claims a lesser amount or the said breach was due to negligence. Such compensation shall be awarded irrespective of the claim for damages.

3. The claims referred to in the present Article shall be litigated according to articles 664-676 of the Code of Civil Procedure, notwithstanding whether the Authority has issued a relevant decision or whether criminal charges have been brought or suspended or postponed on any grounds whatsoever. The decision of the Court shall be issued within a period of two (2) months since the first hearing in court.

CHAPTER F. FINAL – TRANSITIONAL PROVISIONS

Article 24. Responsibilities of the Controller

1. The Controllers of files operating on the date this law enters into force must submit to the Authority the notification of operation referred to in article 6 within six (6) months from the date the Authority commenced operations.

2. The same obligation applies to Controllers of sensitive data files operating on the date this law enters into force, in order to have the permit referred to in paragraph 3 of article 7 issued.

3. Regarding files operating and processing carried out on the date this law enters into force, Controllers must inform the data subjects, according to paragraph 1 of article 11, within six (6) months from the sate the Authority commenced operations. In the event such information pertains to a large number of data subjects, it may also be carried out through the press. In this case the relevant details shall be determined by the Authority. The provisions of paragraph 4 of article 11 shall also apply in this instance.

4. Regarding wholly non-files the deadlines referred to in the preceding paragraphs will extend to one (1) year.

5. The provisions of articles 11, 12, 13 and 19 paragraph 1 of this law shall not apply on criminal records and the official records kept by the competent judicial authorities in order to meet the operational needs of criminal justice and in the context thereof.

Article 25. Commencement of the operation of the Authority

1. Within a period of sixty (60) days since this law enters into force, the President of the Authority and his/her substitute shall be appointed. Within the same time limit the Minister of Justice shall submit to the Speaker of Parliament a proposal for the appointment of the four ordinary members of the Authority and an equal number of substitutes.

2. The time of commencement of the operation of the Authority shall be determined by a decision of the Minister of Justice issued no later than four (4) months since the Authority was established. For the period between the appointment of its members and the recruitment of its Secretariat, the Authority shall be served by personnel temporarily seconded to it by means of its own decision, notwithstanding any other provision.

3. Until such time as the Authority operates according to the preceding paragraph, the administrative control of its expenses shall be effected by the Department of Finance of the Central Service of the Ministry of Justice at the expense of the budget of the Ministry of Justice.

4. The decision of the Minister of Justice, pursuant to paragraph 2 of this article, whereby the date of commencement of the operations of the Authority is determined shall be published in the Official Gazette and in at least four (4) daily political newspapers of broad circulation published in Athens and Thessaloniki and in at least two (2) daily financial newspapers.

Article 26. Entry into force

1. The provisions of Articles 15, 16, 17, 18 and 20 of this law shall enter into force on the date the present law is published in the Official Gazette.

2. The remaining provisions shall enter into force on the date of the commencement of the operations of the Authority, pursuant to the preceding article.

We order that the present law is published in the Official Gazette and is executed as a law of the land.

Athens, 9 April 1997

Law 2472/1997 on the Protection of Individuals with regard to the Processing of Personal Data
(as amended by Laws 2819/2000, 2915/2001, 3431/2006, 3471/2006, 3783/2009 and 3197/2011)  

CHAPTER A

.- GENERAL PROVISIONS

Article 1.- Object

The object of this law is to establish the terms and conditions under which the processing of personal data is to be carried out so as to protect the fundamental rights and freedoms of natural persons and in particular their right to privacy.

Article 2.- Definitions

For the purposes of this law:

a) “Personal data” shall mean any information relating to the data subject. Personal data are not considered to be the consolidated data of a statistical nature whence data subjects may no longer be identified.

b) “Sensitive data” shall mean the data referring to racial or ethnic origin, political opinions, religious or philosophical beliefs, membership to a trade-union, health, social welfare and sexual life, criminal charges or convictions as well as membership to societies dealing with the aforementioned areas.

In particular, in cases of criminal charges or convictions, it is possible to allow their publication by the Public Prosecutor’s Office for the offences referred to in item b, paragraph 2 of Article 3 following an order by the competent Public Prosecutor of the Court of First Instance or the chief Public Prosecutor if the case is pending before the Court of Appeal. The publication of criminal charges or convictions aims at the protection of the community, of minors and of vulnerable or disadvantaged groups, as well as at the facilitation of the punishment of those offences by the State.

c) “Data Subject” shall mean any natural person to whom such data refer and whose identity is known or may be found, i.e., his/her identity may be determined directly or indirectly, in particular by reference to an identity card number or to one or more factors specific to his/her physical, physiological, mental, economic, cultural, political or social identity.

d) “Processing of personal data” (“processing”) shall mean any operation or set of operations which is performed upon personal data by Public Administration or by a public law entity or private law entity or an association or a natural person, whether or not by automatic means, such as collection, recording, organisation, preservation or storage, modification, retrieval, use, disclosure by transmission, dissemination or otherwise making available, correlation or combination, interconnection, blocking (locking), erasure or destruction.

e) “Personal Data File” (“File”) shall mean any structured set of personal data which are accessible on the basis of specific criteria.

f) “Interconnection” shall mean a means of processing consisting in the possibility of co-relating the data from a file to the data from a file or files kept by another Controller or Controllers or with data from a file or files kept by the same Controller for another purpose. g) “Controller” shall mean any person who determines the scope and means of the processing of personal data, such as any natural or legal person, public authority or agency or any other organisation. Where the purposes and means of processing are determined by national or Community laws or regulations, the Controller or the specific criteria for his/her nomination shall be designated by national or Community law.

h) “Processor” shall mean any person who processes personal data on behalf of a Controller, such as any natural person or legal person, public authority or agency or any other organisation.

i) “Third party” shall mean any natural or legal person, public authority or agency or any other body other than the data subject, the Controller and the persons authorised to process the data, provided that they act under the direct supervision or on behalf of the Controller.

j) “Recipient” shall mean any natural or legal person, public authority or agency or any other organisation to whom data are disclosed or transmitted, whether a third party or not.

k) “The Data Subject’s Consent” shall mean any freely given, explicit and specific indication of will, whereby the data subject expressly and fully cognisant signifies his/her informed agreement to personal data relating to him being processed. Such information shall include at least information as to the purpose of processing, the data or data categories being processed, the recipient or categories of recipients of personal data as well as the name, trade name and address of the Controller and his/her representative, if any. Such consent may be revoked at any time without retroactive effect.

l) “Authority” shall mean the Authority for the Protection of Personal Data, which is established pursuant to Chapter D of this law.

Article 3.- Scope

1. The provisions of this law shall apply to the processing, in whole or in part, by automatic means as well as to the processing by non-automatic means, of personal data which form part of a file or are intended to form part of a file.

2. The provisions of this law shall not apply to the processing of personal data, which is carried out:

a) by a natural person in the course of a purely personal or household activity.

b) by judicial-public prosecution authorities and authorities which act under their supervision in the framework of attributing justice or for their proper operation needs with the aim of verifying crimes which are punished as felonies or misdemeanors with intent, and especially with the aim of verifying crimes against life, against sexual freedom, crimes involving the economic exploitation of sexual life, crimes against personal freedom, against property, against the right to property, violations of legislation regarding drugs, plotting against public order, as well as crimes against minors.

With regard to the above, the current essential and procedural penal provisions shall apply. In cases where citizens exercise their right to assemble, in accordance with Article 11 of the Constitution, the simple operation of sound or image recording devices is allowed with a view to recording, subject to the conditions mentioned below. The recording of sound or image using special technical devices with a view to verifying the perpetration of crimes mentioned above shall only be allowed following an order by a Public Prosecutor

representative and provided a serious danger to the public order and security is imminent. The aim of such a recording shall solely be to use the data to verify the perpetration of crimes as evidence in front of any public investigative authority, prosecution authority or court of law. The processing of data which are not necessary for the verification of crimes shall be prohibited, while the recordings shall be destroyed following an order by the Public Prosecutor.

c) By a public authority using special technical devices for the recording of sound or image in public areas with the aim of safeguarding the security of the state, national defense, public security, the protection of persons and property, the management of traffic for which they are competent. The material collected through the above mentioned devices means (as long as it does not fall under point b of the present article) is stored for a period of seven 7 days, after which it is destroyed by the order of the public prosecution authority. Any breach of the above provisions shall be punished by imprisonment for a period of at least one year, unless a stricter punishment is provided for it in some other law.

3. The present law shall apply to any processing of personal data, provided that such processing is carried out:

a) by a Controller or a Processor established in Greek Territory or in a place where Greek law applies by virtue of public international law.

b) by a Controller who is not established in the territory of a member-state of the European Union or of a member of the European Economic Area (EEA) but in a third country and who, for the purposes of processing personal data, makes use of equipment, automated or otherwise, situated on the Greek territory, unless such equipment is used only for purposes of transit through such territory. In this case, the Controller must designate in writing, by a statement addressed to the Authority, a representative established in the Greek territory, who will substitute the Controller to all the Controller’s rights and duties, without prejudice to any liability the latter may be subject to. The same shall also apply when the Controller is subject to exterritoriality, immunity or any other reason inhibiting criminal prosecution.

CHAPTER B.- PROCESSING OF PERSONAL DATA

Article 4.- Characteristics of personal data

1. Personal data, in order to be lawfully processed, must be:

a) collected fairly and lawfully for specific, explicit and legitimate purposes and fairly and lawfully processed in view of such purposes.

b) adequate, relevant and not excessive in relation to the purposes for which they are processed at any given time.

c) accurate and, where necessary, kept up to date.

d) kept in a form which permits identification of data subjects for no longer than the period required, according to the Authority, for the purposes for which such data were collected or processed. Once this period of time is lapsed, the Authority may, by means of a reasoned decision, allow the maintenance of personal data for

historical, scientific or statistical purposes, provided that it considers that the rights of the data subjects or even third parties are not violated in any given case.

2. It shall be for the Controller to ensure compliance with the provisions of the previous paragraph. Personal data, which have been collected or are being processed in breach of the previous paragraph, shall be destroyed, such destruction being the Controller’s responsibility. The Authority, once such a breach is established, either ex officio or upon submission of a relevant complaint, shall order any such collection or processing ceased and the destruction of the personal data already collected or processed.

Article 5.- Conditions of processing

1) Processing of personal data will be permitted only when the data subject has given his/her consent.

2) Exceptionally, data may be processed even without such consent, only if:

a) processing is necessary for the execution of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract.

b) processing is necessary for the compliance with a legal obligation to which the Controller is subject.

c) processing is necessary in order to protect the vital interests of the data subject, if s/he is physically or legally incapable of giving his/her consent.

d) processing is necessary for the performance of a task carried out in the public interest or a project carried out in the exercise of public function by a public authority or assigned by it to the Controller or a third party to whom such data are communicated.

e) processing is absolutely necessary for the purposes of a legitimate interest pursued by the Controller or a third party or third parties to whom the data are communicated and on condition that such a legitimate interest evidently prevails over the rights and interests of the persons to whom the data refer and that their fundamental freedoms are not affected.

3. The Authority may issue special data processing rules for the more usual categories of data processing and files, which do not evidently affect the rights and freedoms of the persons to whom such data refer. These categories will be specified by regulations enacted by the Authority and ratified by Presidential Decrees, issued upon a proposal by the Minister of Justice.

Article 6.- Notification

1. The Controller must notify the Authority in writing about the establishment and operation of a file or the commencement of data processing.

2. In the course of the aforementioned notification, the Controller must necessarily declare the following:

a) his/her name, trade name or distinctive title, as well as his/her address.

b) the address where the file or the main hardware supporting the data processing are established.

c) the description of the purpose of the processing of personal data included or about to be included in the file.

d) the category of personal data that are being processed or about to be processed or included or about to be included in the file.

e) the time period during which s/he intends to carry out data processing or preserve the file.

f) the recipients or the categories of recipients to whom such personal data are or may be communicated.

g) any transfer and the purpose of such transfer of personal data to third countries.

h) the basic characteristics of the system and the safety measures taken for the protection of the file or data processing.

i)

deleted

3. The data referred to in the preceding paragraph will be registered with the Files and Data Processing Register kept by the Authority.

4. Any modification of the data referred to in paragraph 2 must be communicated in writing and without any undue delay by the Controller to the Authority.

Article 7.- Processing of sensitive data

1. The collection and processing of sensitive data is prohibited.

2. Exceptionally, the collection and processing of sensitive data, as well as the establishment and operation of the relevant file, will be permitted by the Authority, when one or more of the following conditions occur:

a) The data subject has given his/her written consent, unless such consent has been extracted in a manner contrary to the law or bonos mores or if law provides that any consent given may not lift the relevant prohibition.

b) Processing is necessary to protect the vital interests of the data subject or the interests provided for by the law of a third party, if s/he is physically or legally incapable of giving his/her consent.

c) Processing relates to data made public by the data subject or is necessary for the recognition, exercise or defence of rights in a court of justice or before a disciplinary body.

d) Processing relates to health matters and is carried out by a health professional subject to the obligation of professional secrecy or relevant codes of conduct, provided that such processing is necessary for the purposes of preventive medicine, medical diagnosis, the provision of care or treatment or the management of health-care services.

e) Processing is carried out by a Public Authority and is necessary for the purposes of aa) national security, bb) criminal or correctional policy and pertains to the detection of offences, criminal convictions or security measures, cc) protection of public health or dd) the exercise of public control on fiscal or social services.

f) Processing is carried out exclusively for research and scientific purposes provided that anonymity is maintained and all necessary measures for the protection of the persons involved are taken.

g) Processing concerns data pertaining to public figures, provided that such data are in connection with the holding of public office or the management of third parties’ interests, and is carried out solely for journalistic purposes. The Authority may grant a permit only if such processing is absolutely necessary in order to ensure the right to information on matters of public interest, as well as within the framework of literary expression and provided that the right to protection of private and family life is not violated in any way whatsoever.

3. The Authority shall grant a permit for the collection and processing of sensitive data, as well as a permit for the establishment and operation of the relevant file, upon request of the Controller. Should the Authority ascertain that processing of sensitive data is carried out, the notification of the existence of such a file pursuant to article 6 of this law is considered to be a request for a permit. The Authority may impose terms and conditions for a more effective protection of the data subjects’ or third parties’ right to privacy.

4. The permit will be issued for a specific period of time, depending on the purpose of the data processing. It may be renewed upon request of the Controller.

5. The permit shall necessarily contain the following:

a) The full name or trade name or distinctive title, as well as the address, of the Controller and his/her representative, if any.

b) The address of the place where the file is established.

c) The categories of personal data which are allowed to be included in the file.

d) The time period for which the permit is granted.

e) The terms and conditions, if any, imposed by the Authority for the establishment and operation of the file.

f) The obligation to disclose the recipient or recipients as soon as they are identified.

6. A copy of the permit shall be registered with the Permits Register kept by the Authority.

7. Any change in the data referred to in paragraph 5 shall be communicated without undue delay to the Authority. Any change other than a change of address of the Controller or his/her representative shall entail the issuance of a new permit, provided that the terms and conditions stipulated by law are fulfilled.

Article 7a.- Exemption from the obligation to notify and receive a permit

1. The Controller is exempted from the obligation of notification, according to article 6, and the obligation to receive a permit, according to article 7 of the present Law in the following cases:

a. When the processing is carried out exclusively for purposes relating directly to an employment or project relationship or to the provision of services to the public sector and is necessary for the fulfilment of an obligation imposed by law or for the accomplishment of obligations arising from the aforementioned relationships, and upon prior announcement to the data subject.

b. When the processing involves clients’ or suppliers’ personal data, provided that such data are neither transferred nor disclosed to third parties. In order that this provision may be applied courts of justice and public authorities are not considered to be third parties, provided that such a transfer or disclosure is imposed by law or a judicial decision. Insurance companies, for all types of insurance, pharmaceutical companies, companies whose main activities involve trading of data, credit and financial institutions, such as banks and institutions issuing credit cards are not exempted from the obligation of notification.

c. When the processing is carried out by societies, enterprises, associations and political parties and relates to personal data of their members or companies, provided that the latter have given their consent and that such data are neither transferred nor disclosed to third parties. Members and partners are not considered to be third parties, provided that said transfer is carried out among said members and partners for the purposes of the aforementioned legal entities or associations. Courts of justice and public authorities are not considered to be third parties, provided that such a transfer is imposed by law or a judicial decision.

d. When the processing involves medical data and is carried out by doctors or other persons rendering medical services a, provided that the Controller is bound by medical confidentiality or other obligation of professional secrecy, provided for in Law or code of practice, and data are neither transferred nor disclosed to third parties. In order for this provision to be applied, courts of justice and public authorities are not considered to be third parties, provided that such a transfer or disclosure is imposed by law or judicial decision. Legal entities or organisations rendering health care services, such as clinics, hospitals, medical centres, recovery and detoxication centres, insurance funds and insurance companies, as well as Controllers processing personal data within the framework of programmes of telemedicine or provision of health care services via Internet.

e. When the processing is carried out by lawyers, notaries, unpaid land registrars and court officers or companies formed by the aforementioned and involves the provision of legal services to their clients, provided that the Controller and the members of the companies are bound by an obligation of confidentiality imposed by Law and that data are neither transferred nor disclosed to third parties, except for those cases where this is necessary and is directly related to the fulfilment of a client’s mandate.

f. When the processing is carried out by judicial authorities or services, with the exception of the authorities referred to under item b of paragraph 2 of article 3, in the framework of attributing justice or for their proper operation needs.

2. In every case of paragraph 1 of the present article, the Controller is subject to all obligations specified by the present law and is obliged to conform with any special processing rules issued by the Authority pursuant to article 5 paragraph 3 of the present law.

3. The deadlines referred to in paragraphs 1, 2 and 3 of article 24 of Law 2472/1997 are prolonged until January 21st

2001.

Article 8.- Interconnection of files

1. Interconnection of files is permitted only according to the terms and conditions set out in this article.

2. Every interconnection will be communicated to the Authority by means of a declaration jointly submitted by the

Controllers or the Controller who interconnects two or more files serving different purposes. 3. If at least one of the files about to be interconnected contains sensitive data or if the interconnection results to the disclosure of sensitive data or if for the implementation of the interconnection a uniform code number is to be used, such an interconnection will be permitted only following a prior permit by the Authority (interconnection permit).

4. The interconnection permit referred to in the preceding paragraph may be granted upon a prior hearing of the Controllers of such files and shall necessarily include the following:

a. The purpose for which the interconnection is deemed necessary.

b. The categories of personal data to which the interconnection refers.

c. The time period for which the interconnection is permitted.

d. The terms and conditions, if any, for the more effective protection of the rights and freedoms and, in

particular, of the right to privacy of the data subjects or third parties.

5. The interconnection permit may be renewed upon request of the Controllers.

6. The declarations referred to in paragraph 2 of this article, as well as any copies of the interconnection permits, shall be registered with the Interconnections Register kept by the Authority.

Article 9.- Transboundary flow of personal data

1. The transfer of personal data is permitted:

The transfer of personal data is permitted:

a) for member-states of the European Union,

b) for a non-member of the European Union following a permit granted by the Authority if it deems that the country in question guarantees an adequate level of protection. For this purpose it shall particularly take into account the nature of the data, the purpose and the duration of the processing, the relevant general and particular rules of law, the codes of conduct, the security measures for the protection of personal data, as well as the protection level in the countries of origin, transit and final destination of the data. A permit by the Authority is not required if the European Commission has decided, on the basis of the process of article 31, paragraph 2 of Directive 95/46/EC of the Parliament and the Council of 24 October 1995, that the country in question guarantees an adequate level of protection, in the sense of article 25 of the aforementioned Directive.

2. The transfer of personal data to a state non member of the European Union which does not ensure an adequate level of protection is exceptionally allowed only following a permit granted by the Authority, provided that one or more of the following conditions occur:

a. The data subject has consented to such transfer, unless such consent has been extracted in a manner contrary to the law or bonos mores.

b. The transfer is necessary:

i) in order to protect the vital interests of the data subject, provided s/he is physically or legally incapable of giving his/her consent, or

ii) for the conclusion and performance of a contract between the data subject and the Controller or between the Controller and a third party in the interest of the data subject, if s/he is incapable of giving his/her consent, or

iii) for the implementation of precontractual measures taken in response to the data subject’s request.

c) The transfer is necessary in order to address an exceptional need and safeguard a superior public interest, especially for the performance of a co-operation agreement with the public authorities of the other country, provided that the Controller provides adequate safeguards with respect to the protection of privacy and fundamental liberties and the exercise of the corresponding rights.

d) The transfer is necessary for the establishment, exercise or defence of a right in court.

e) The transfer is made from a public register which by law is intended to provide information to the public and which is accessible by the public or by any person who can demonstrate legitimate interest, provided that the conditions set out by law for access to such register are in each particular case fulfilled.

f) The Controller shall provide adequate safeguards with respect to the protection of the data subjects’ personal data and the exercise of their rights, when the safeguards arise from conventional clauses which are in accordance with the regulations of the present law. A permit is not required if the European Commission has decided, on the basis of article 26, paragraph 4 of Directive 95/46/EC, that certain conventional clauses offer adequate safeguards for the protection of personal data.

3. In the cases referred to in the preceding paragraphs, the Authority shall inform the European Commission and the respective Authorities of the other member-states a) when it considers that a specific state does not ensure an adequate protection level and b) for the permits granted pursuant to paragraph 2, point f.

Article 10.- Confidentiality and security of processing

1. The processing of personal data shall be confidential. It shall be carried out solely and exclusively by persons acting under the authority of the Controller or the Processor and upon his/her instructions.

2. In order to carry out data processing the Controller must choose persons with corresponding professional qualifications providing sufficient guarantees in respect of technical expertise and personal integrity to ensure such confidentiality.

3. The Controller must implement appropriate organisational and technical measures to secure data and protect them against accidental or unlawful destruction, accidental loss, alteration, unauthorised disclosure or access as well as any other form of unlawful processing. Such measures must ensure a level of security appropriate to the risks presented by processing and the nature of the data subject to processing. Without prejudice to other provisions, the Authority shall offer instructions and issue regulations in accordance with article 19 paragraph 1 k involving the level of security of data and of the computer and information infrastructure, the security measures that are required for each category and processing of data as well as the use of technology for the strengthening of privacy.

4. If the data processing is carried out on behalf of the Controller, by a person not dependent upon him, the relevant assignment must necessarily be in writing. Such assignment must necessarily provide that the Processor carries out such data processing only on instructions from the Controller and that all other obligations arising from this article shall mutatis mutandis be borne by him.

CHAPTER C

.- THE DATA SUBJECT’S RIGHTS

Article 11.- Right to information

1. The Controller must, during the stage of collection of personal data, inform the data subject in an appropriate and express manner of the following data:

a) his/her identity and the identity of his/her representative, if any,

b) the purpose of data processing,

c) the recipients or the categories of recipients of such data,

d) the existence of a right to access.

2. If the Controller, in order to collect personal data, requests the data subject’s assistance, s/he must inform him specifically and in writing of the data referred to in paragraph 1 of this article as well as of his/her rights according to articles 11-13 of this law. By means of such notification the Controller shall also inform the data subject whether s/he is obliged to assist in the collection of data, on the basis of which provisions, as well as of any sanctions resulting from his/her failure to co-operate.

3. If the data are to be disclosed to third parties, the data subject will be kept informed of such disclosure before it is effected.

4. By virtue of a decision by the Authority, the obligation to inform, pursuant to paragraphs 1 and 3, may be lifted in whole or in part, provided that data processing is carried out for reasons of national security or for the detection of particularly serious crimes. In a state of emergency said obligation may be lifted by way of a provisional, immediately enforceable judgement by the President, who shall convene as soon as possible the Board in order that a final judgement on the matter may be issued.

5. Without prejudice to the rights arising from paragraphs 12 and 13, the right to inform does not exist when such collection is carried out solely for journalistic purposes and refers to public figures.

Article 12.- Right to access

1. Everyone is entitled to know whether personal data relating to him are being processed or have been processed. As to this the Controller must answer in writing.

2. The data subject shall be entitled to request and obtain from the Controller, without undue delay and in an intelligible and express manner, the following information:

a) All the personal data relating to him as well as their source.

b) The purposes of data processing, the recipient or the categories of recipients.

c) Any developments as to such processing for the period since s/he was last notified or advised.

d) The logic involved in the automated data processing.

e) The correction, deletion or locking of data, the processing of which is not in accordance with the provisions of the present law, especially due to the incomplete or inaccurate nature of data and

f) The notification to third parties, to whom the data have been announced, of any correction, deletion or locking which is carried out in accordance with case (e), taken that the notification is not impossible or does not demand disproportionate efforts.

3. The right referred to in the preceding paragraph and the rights arising from article 13 are exercised by means of a relevant application to the Controller and the simultaneous payment of an amount of money, the amount of which, the method of payment as well as any other relevant matter will be regulated by a decision of the Authority. This amount will be returned to the applicant if his/her request to rectify or delete data is considered valid by the processor or the Authority, in case of an appeal before it. The Controller must in this case provide the applicant without undue delay, free of charge and in an intelligible form, a copy of the rectified part of the data relating to him.

4. Should the Controller not reply within a period of fifteen (15) days or should his/her answer be unsatisfactory, the data subject shall be entitled to appeal before the Authority. In the event the Controller refuses to satisfy the request of the party concerned, s/he must notify the Authority as to his/her response and inform the party concerned as to his/her right of appeal before it.

5. By virtue of a decision by the Authority, upon application by the Controller, the obligation to inform, pursuant to paragraphs 1 and 2 of the present article, may be lifted in whole or in part, provided that the processing of personal data is carried out on national security grounds or for the detection of particularly serious crimes. In this case the President of the Authority or his/her substitute carries out all necessary acts and has free access to the files.

6. Data pertaining to health matters will be communicated to the data subject by means of a medical doctor.

Article 13.- Right to object

1. The data subject shall be entitled to object at any time to the processing of data relating to him. Such objections shall be addressed in writing to the Controller and must contain a request for a specific action, such as correction, temporary non-use, locking, non-transfer or deletion. The Controller must reply in writing to such objection within an exclusive deadline of fifteen (15) days. His/her response must advise the data subject as to the actions s/he carried out or, alternatively, as to the grounds for not acceding to his/her request. In case the objection is rejected, the relevant response must also be communicated to the Authority.

2. If the Controller does not respond within the specified time limit or his/her reply is unsatisfactory, then the data subject has the right to appeal before the Authority and request that his/her objections are examined. Should the Authority consider that such objections are reasonable and furthermore there is a risk of serious damage being caused to the data subject as a result of the processing, it may order the immediate suspension of the processing until a final decision on the objections is issued.

3. Any person shall be entitled to declare to the Authority that s/he does not wish data relating to him to be submitted to processing in order to promote the sale of goods or long distance services. The Authority shall keep a register for the identification of such persons. The Controllers of the relevant files must consult the said register prior to any processing and delete from their files the persons referred therein.

Article 14.- Right to provisional judicial protection

1. Everyone is entitled to request from the competent court the immediate suspension or non-application of an act or decision affecting him, issued by an administrative authority or public law entity or private law entity or association or natural person solely on automated processing of data intended to evaluate his/her personality and especially his/her effectiveness at work, creditworthiness, reliability and general conduct.

2. The right referred to in this article may also be satisfied even when the other substantive conditions for provisional judicial protection, as stipulated from time to time, do not occur.

CHAPTER D

.- PERSONAL DATA PROTECTION AUTHORITY

Article 15.- Establishment – Task – Legal Nature

1. A Personal Data Protection Authority (hereinafter: the Authority) is hereby created with the task to supervise the implementation of this law and all other regulations pertaining to the protection of individuals from the processing of personal data as well as to the exercise of the duties assigned to it each time.

2. The Authority constitutes an independent public authority and will be assisted by its own Secretariat. The Authority shall not be subject to any administrative control. In the course of their duties the members of the Authority shall enjoy personal and functional independence. The Authority reports to the Minister of Justice and its seat is in Athens.

3. All necessary appropriations for the operation of the Authority shall be entered in a special code which shall be integrated in the annual Budget of the Ministry of Justice. The authorizing officer for the expenditure is the President or his substitute.

Article 16 Composition of the Authority

1. The Authority shall be composed of a judge of a rank corresponding at least to that of a Conseiller d’Etat as President and six members as follows:

a) A University, full or associate, professor specialised in law.

b) A University, full or associate, professor specialised in information technology.

c) A University, full or associate, professor.

(d, e, f) Three persons of high standing and experience in the field of the protection of personal data.

The judge-President and the professors-members may be on active service or not.

“It is allowed for the members of the Data Protection Authority to exercise duties as members of a University faculty on a full or part-time basis”.

2. The President of the Authority shall be employed on a full and exclusive time basis and will be appointed by a Presidential Decree issued upon proposal of the Cabinet following a report by the Minister of Justice. If a judge on active service is selected for the position of the President, then a decision of the competent Supreme Judicial Council is also required. The same procedure is to be followed for the selection and appointment of the President’s substitute.

3. The members of the Authority will be appointed by means of the following procedure: the Minister of Justice submits to the Speaker of the Parliament a proposal for the appointment of the six ordinary members of the Authority and an equal number of substitutes. The proposal shall include a double number of candidates. The Speaker will then forward the proposal to the Committee on Institutions and Transparency, which renders an opinion. The ordinary members of the Authority and their substitutes are selected by the [Parliamentary Committees] Chairmen Conference. The persons selected are then appointed by virtue of a presidential decree issued following a proposal by the Minister of Justice and published in the Official Gazette.

4. The President and members of the Authority will be appointed for a specific term of office. Their term of office will be of four years and may be renewed only once. None may serve for a total period exceeding eight (8) years. Half of the Authority’s six members will be renewed every two years. In the first application of these presents the term of office of the six (6) members of the Authority shall be of four years. After the second composition of the Authority, a draw will take place among the six ordinary members so as to decide which three of them will serve for a four-year period and which for a two-year period.

5. The President and members of the Authority shall be appointed with an equal number of substitutes who must have the same status and qualifications. The substitutes for the President and the members will participate in the meetings of the Authority only if the corresponding ordinary member is provisionally absent or unable to participate. By means of a decision the President of the Authority may delegate special duties to the substitutes. “Therefore the latter shall participate in the meeting and shall have the right to vote even if the ordinary member is present”. The term of office of each substitute will equal the term of office of the corresponding ordinary member.

Article 17.- Impediments – Incompatibilities of the members of the Authority

1. No one may be appointed as a member of the Authority:

a) If s/he is a Minister, Assistant Minister, Secretary-General to a Ministry or to an independent Secretariat General or a Member of Parliament.

b) If s/he is a governor, manager, administrator, member of the Board of Directors or a person performing managerial duties, in general, in an enterprise producing, manufacturing, selling or trading in materials being used in information technology or telecommunications or rendering services in connection to information technology, telecommunications or personal data processing, as well as persons bound by a work contract to such an enterprise.

2. Membership of the Authority is automatically forfeit for anyone who, following his/her appointment:

a) acquires one of the positions impeding membership of the Authority by virtue of the preceding paragraph.

b) performs any acts or undertakes any tasks or projects or acquires any other position which, at the Authority’s discretion, is incompatible with his/her duties as a member of the Authority.

3. Evidence on the incompatibility, pursuant to the preceding paragraph, is taken by the Authority without the participation of the member, whose position may be incompatible. The Authority shall decide having previously heard the said member. The procedure may be initiated either by the President of the Authority or by the Minister of Justice.

4. The loss of the qualifications on the basis of which a member of the Authority was appointed, pursuant to article 16 paragraph 1 of this law, shall entail his/her automatic forfeiture, if due to an irrevocable disciplinary or criminal conviction.

Article 18.- Duties and rights of the members of the Authority

1. When exercising their duties the members of the Authority are subject to their conscience and the law. They have a duty of confidentiality. As witnesses or expert witnesses they may testify only on facts exclusively and solely pertaining to the observance of the provisions of this law by Controllers. The duty of confidentiality continues to exist even after the members of the Authority are in any way retired.

2. The monthly wages of the President of the Authority correspond to those of the President of the Legal Council of the State and the monthly wages of the members of the Authority equal to forty per cent (40%) of those of the President notwithstanding any other provision. The substitutes of the President and the members of the Authority will be paid 1/3 of the monthly wages paid to the President and the ordinary members of the Authority provided that the President certifies that they have rendered services during the month other than participating in the Authority’s meetings. The remuneration of the President, the members of the Authority and the Secretary for each session in which they participate shall be stipulated by a joint decision by the Ministers of Justice and Finance. The provisions applicable from time to time regarding travel expenses of persons travelling upon official instructions in the exercise of their duties shall also apply for travel by the members of the Authority and employees of the Secretariat of the Authority. The President of the Authority shall issue the relevant travel mandates. The aforementioned provisions shall come into force on the date of the commencement of the operations of the Authority.

3. For any breach of their duties arising from this law the members of the Authority are held disciplinarily liable. The disciplinary procedure will be initiated before the Disciplinary Council by the Minister of Justice with regard to the President and the members of the Authority and by the President of the Authority with regard to its members. The Disciplinary Council consists of a Vice-President of the Conseil d’Etat as Chairman, an Areios Pagos (Supreme Court) judge, a Councillor of the Court of Auditors and two University law professors. An employee of the Authority shall perform the duties of the Secretary to the Council. The Chairman, the members and the Secretary of the Council will be appointed along with an equal number of substitutes. For those members of the Council who are judges a decision of the competent Supreme Judicial Council is also required. The Council is established by virtue of a decision by the Minister of Justice with a three-year term of office. The Council is in session when at least four of its members are present, among which necessarily the President or his/her substitute, and decides by the absolute majority vote of those present.

In case of split vote, the Chairman’s vote shall prevail. In case of more than two opinions, those of the lesser dissent, must accede to one of the two prevailing ones. The Disciplinary Council shall decide at first and last instance whether the defendant is released of all charges or discharged from the service. The compensation payable to the President, the members and the Secretary of the Council is specified by a joint decision of the Ministers of Finance and Justice, notwithstanding any other provision.

4. A member of the Authority who, in breach of this law, discloses in any way whatsoever personal data accessible to him in the course of his/her duties or allows such data to become known to a third party shall be punished by imprisonment for a period of at least two (2) years and a fine amounting between two million Drachmas (GRD 2,000,000) and ten million Drachmas (GRD 10,000,000). If, however, s/he has committed the act with the purpose of gaining unlawful benefit on his/her behalf or on behalf of another or for the purpose of causing harm to another person, then s/he will be punished by confinement in a penitentiary. If the act referred to in the first section of this paragraph has been committed as a result of negligence, then the perpetrator will be punished by imprisonment for a period of at least three (3) months and a fine.

Article 19.- Competence, operation and decisions of the Authority

1. The Authority shall mainly have the following powers:

a. It shall issue instructions for the purpose of a uniform application of the rules pertaining to the protection of individuals against the processing of personal data.

b. It shall call on and assist trade unions and other associations of legal and natural persons keeping personal data files in the preparation of codes of conduct for the more effective protection of the right to privacy and in general the rights and fundamental liberties of all natural persons active in their field.

c. It shall address recommendations and instructions to Controllers or to their representatives, if any, and shall publicise them, at its discretion.

d. It shall grant the permits provided for in this law and shall stipulate the amount of the relevant fees.

e. It shall denounce any breach of the provisions of this law to the competent administrative and judicial authorities.

f. It shall impose the administrative sanctions stipulated in article 21 of this law.

g. It shall assign to one or more of its members the conduct of administrative examinations.

h. It shall proceed ex officio or following a complaint to administrative reviews, in the framework of which the technological infrastructure and other means, automated or not, supporting the processing of data are reviewed. It shall have, to that effect, the right of access to personal data and the right to collect any kind of information for the purposes of such review, notwithstanding any kind of confidentiality. Exceptionally, the Authority shall not have access to identity data relating to associates and contained in files kept for reasons of national security or for the detection of particularly serious crimes. Such review is carried out by one or more members of the Authority or an employee of the Secretariat, duly authorised to that effect by the

President of the Authority. In the course of reviewing files kept for reasons of national security the President of the Authority shall be present in person.

i. It shall deliver opinions with respect to any rules relating to the processing and protection of personal data.

j. It shall issue regulations pertaining to special, technical and detailed matters to which the present law refers.

k. It shall communicate to the Parliament any breach of the rules relating to the protection of individuals from the processing of personal data.

l. It shall draw up every year a report on the performance of its duties over the previous calendar year. The report shall also point out any legislative changes required in the area of the protection of individuals from the processing of personal data. The report will be submitted by the President of the Authority to the

Speaker of the Parliament and to the Prime Minister and it will be published in the Official Gazette, care of the Authority, who may also decide to publicise the report in any other way.

m. It shall examine the complaints of data subjects relating to the implementation of the law and the protection of the applicants’ rights when such rights are affected by the processing of data relating to them. It shall also examine applications by the Controller requesting checks on the lawfulness of such processing. The Authority can file applications or complaints which are deemed broadly vague, unfounded or are submitted misappropriately or anonymously. The Authority shall notify the data subjects and the applicants of its actions.

n. It shall co-operate with the respective authorities of other member states of the European Union and the Council of Europe on matters relevant to the exercise of its powers.

o. It carries out an independent review of the national section of the Schengen Information System, pursuant to article 114, paragraph 1 of the Convention Implementing the Schengen Agreement (Law 2514/1997, Official Gazette 140 A), it exercises the duties of the national supervisory authority as laid down in article 23 of the EUROPOL Convention (Law 2605/1998, Official Gazette 88 A) and the duties of the national supervisory authority as laid down in article 17 of the Convention for the use of Information Technology for customs purposes (Law 2706/1999, Official Gazette 77 A), as well as the duties that arise from any

international agreement.

2. The Authority shall hold regular sessions upon an invitation by its President. It shall hold extraordinary sessions upon an invitation by the President or an application by at least two of its members. The Authority will decide by the majority vote of at least four of its members. In case of split vote, the President’s vote or that of his/her substitute shall prevail.

3. The Authority shall adopt its rules of procedure, thus regulating more specifically the allocation of duties among its members, the prior hearing of interested parties, matters relating to the disciplinary procedure, and the methods of carrying out the reviews stipulated in paragraph 1 case (h) of the present article.

“The Authority may also hold meetings in sections, comprised of at least three regular or substitute members presided by the President of the Authority or his/her substitute. The rules of procedure of the Authority further regulate the composition, the terms of operation of the sections and the allocation of duties between the plenum and the sections.

Any decisions of the sections may be amended or revoked by the plenum”.

4. The Authority shall keep the following registries:

a. the Files and Processing Register, which contains the files and processing communicated to the Authority.

b. the Permits Register, which contains the permits issued by the Authority for the establishment and operation of files containing sensitive data.

c. the Interconnections Register, which contains the declarations and permits issued by the Authority for the interconnection of data.

d. the Register of Persons, who do not want to be included in files for the purposes of promoting the sale or goods or long distance services.

e. the Transfer Permits Register, which contains the permits for the transfer of personal data.

f. the Secret Files Register, which contains, following a decision of the Authority upon application by the competent Controller, files kept by the Ministry of National Defence, the Ministry of Public Order and the National Intelligence Service for reasons of national security or for the detection of particularly serious crimes. The Secret Files Register also contains all interconnections with at least one file of this category.

5. Everyone shall have access to the registries under a), b), c), d) and e) of the previous paragraph. Following an application by the party concerned and a decision by the Authority access may also be permitted, in whole or in part, to the Secret Files Register. Following an application by the Controller or his/her representative and by virtue of a decision of the Authority access to the Transfer Permits Register may be prohibited, in whole or in part, if it may jeopardise the privacy of a third party, national security, the detection of particularly serious crimes and the performance of obligations of the state arising out of international treaties.

6. The President will represent the Authority before all other authorities as well as before committees and groups, in sessions and conferences of institutions of the European Union and of any other international organisation and institution created by an international convention or in which representatives of similar authorities of other countries participate. The President may delegate the representation of the Authority to one of its members, a substitute or even an employee of the Auditors branch of the Secretariat.

7. The President bears responsibility for the operation of the Authority as well as for the operation of the Secretariat.

The President may authorise a member of the Authority or the person in charge of the Secretariat or the person in charge of a department of the Secretariat to sign “by order of the President” documents, payment warrants or other acts.

The President shall be the Administrative Head of the personnel of the Secretariat. S/he shall exercise disciplinary power over them and may impose disciplinary sanctions, at most a fine equal to half the monthly wages of the defendant.

7a. In the event that the protection of an individual with regard to the processing of personal data calls for immediate decision-making, the President may, upon request of the party concerned, issue a provisional order for immediate suspension of the processing or the file operation, in whole or in part. Said order shall apply until the Authority issues a final judgement. The Authority shall be equally responsible when dealing with the matter. 8. The regulations issued by the Authority shall be published in the Official Gazette. All other decisions of the Authority shall come into force as of the date of their issuance or as of the date they were notified to their recipients.

9. Remedies against the decisions of the Authority may also be filed by the State. Such remedy shall be initiated by the competent Minister as the case may be.

In every trial relating to a decision issued by the Authority, the party to the legal proceedings shall be the latter represented by the President. The appearer in court shall be either a member of the Legal Council of the State or a member of the Authority, regular or substitute, or an auditor, who is attorney-at-law and acts by order of the President, without remuneration.

10. All public authorities shall render assistance to the Authority.

Article 20.- The Secretariat of the Authority

1. The Authority shall be assisted by a Secretariat. The Secretariat operates at the Directorate level. The status of its employees will be governed by the provisions applicable from time to time on administrative civil servants.

2. The organisation of the Secretariat, its division into departments and services and the competence thereof, the number of personnel by branch and speciality as well as any other necessary detail are stipulated by a presidential decree issued upon a proposal by the Ministers of the Interior, Public Administration and Decentralisation, Finance and Justice following a report by the Authority delivered within two months from its establishment. The same decree provides for the establishment, as an administrative unit within the Secretariat, of a Department of Auditors, whose method of employment and status shall also be determined, notwithstanding any other provisions in force from time to time. The person in charge of the Secretariat shall necessarily come from the Auditors branch. The number of positions of the Secretariat of all categories shall not exceed thirty (30).

Lawyers may also be employed in the Auditors Department of the Authority’s Secretariat. However, without relinquishing their capacity as lawyers, they may not practice law during their term of office. 3. Vacancies in the Secretariat Section will be filled according to the provisions applicable from time to time on civil servants. The employees of the Auditors branch in particular shall be employed by the Secretariat, upon selection or by an examination procedure following a relevant advertisement.

4. Matters pertaining to the employment status of the personnel of the Secretariat shall be subject to a Service Council established by a decision of the President of the Authority and comprising two of its members, one employee appointed by it and two elected representatives of the employees. In all other matters the provisions applicable from time to time to the Service Councils for civil servants and the personnel of legal entities of public law shall apply.

5. Ordinary employees of the Authority’s Secretariat will be subject, as to their secondary social security, to the Assistance Fund for Employees Supervised by the Ministry of Justice. Those coming from other agencies may continue to be covered by the social security funds of their previous position. The employees of the Secretariat shall be necessarily registered with the Lawyers’ Pension Fund under the same terms and conditions applicable on salaried lawyers covered by it. The provisions of this paragraph shall also apply to employees transferred to the Secretariat of the Authority from legal entities of private law.

6. For the first time the positions of the persons in charge of service units of the Secretariat, with the exception of the Auditors Department, shall be filled following an advertisement by the Authority either by a transfer of civil servants or employees of legal entities of public law of grade A or equivalent thereof or by appointment. The appointment procedure shall take place only for those positions not filled by transfer. The selection of those to be transferred or appointed is carried out by the Authority. Those selected are appointed by a decision of the Minister of Justice and those transferred by a decision of the same and the competent Minister. For such transfer to be effected it is not necessary to have an opinion by the competent Service Council of the department of origin. The person in charge of the Secretariat is selected by the Authority among the employees of the Auditors Department, notwithstanding any other provision.

7. For the first time the remaining positions of the Secretariat shall be filled under the terms and conditions and according to the procedure stipulated in the preceding paragraph. Candidates with a proven experience in information technology shall be preferred. Regarding the employees of the Auditors Department the provisions of paragraph 3 of this article apply.

8. Regarding persons transferred from legal entities of public or private law prior service time shall be deemed as actual service time entailing all lawful consequences.

9. The provisions of paragraph 4 of article 18 shall also apply regarding the employees of the Secretariat.

10. In addition to the monthly wages, and other benefits paid to the ordinary employees of the Ministry of Justice, an extra pay may be granted to the personnel of the Secretariat of the Authority, depending on each category, upon a joint decision of the Ministers of Finance and Justice.

CHAPTER E

.- SANCTIONS

Article 21.- Administrative Sanctions

1. The Authority may impose on the Controllers or on their representatives, if any, the following administrative sanctions for breach of their duties arising from this law as well as from any other regulation on the protection of individuals from the processing of personal data:

a) a warning with an order for the violation to cease within a specified time limit.

b) a fine amounting between three hundred thousand Drachmas (GRD 300,000) and fifty million Drachmas (GRD 50,000,000).

c) a temporary revocation of the permit.

d) a definitive revocation of the permit.

e) the destruction of the file or a ban of the processing and the destruction, return or locking of the relevant data.

2. The administrative sanction 3156/2003 31s referred to in the preceding paragraph under b, c, d and e shall only be imposed following a hearing of the Controller or his representative. Such sanctions shall be commensurate to the gravity of the violation impeached. The administrative sanctions under c, d, and e shall be imposed in case of a particularly serious or repeated violation. A fine may be imposed in conjunction with the sanctions provided for under c, d and e. If the sanction of file destruction is imposed, then the Controller is responsible for such destruction taking place upon payment of a fine in case of noncompliance.

3. The fines referred to in paragraph 1 may be readjusted by a decision of the Minister of Justice following a proposal by the Authority.

4. Any acts of the Authority imposing a fine shall constitute an enforceable instrument and will be served to the Controller or his/her representative, if any. The collection of fines will be effected pursuant to the provisions of the Public Revenues Collection Code.

Article 22.- Penal Sanctions

1. Anyone who fails to notify the Authority, according to the provisions of article 6 of this law, of the establishment or the operation of a file or any change in the terms and conditions regarding the granting of the permit referred to in paragraph 3 of article 7 of this law, will be punished by imprisonment for up to three (3) years and a fine amounting between one million Drachmas (GRD 1,000,000) and five million Drachmas (GRD 5,000,000).

2. Anyone who, in breach of article 7 of this law, keeps a file without permit or in breach of the terms and conditions referred to in the Authority’s permit, will be punished by imprisonment for a period of at least one (1) year and a fine amounting between one million Drachmas (GRD 1,000,000) and five million Drachmas (GRD 5,000,000).

3. Anyone who, in breach of article 8 of this law, proceeds to the interconnection of files without notifying the Authority accordingly will be punished by imprisonment for up to three (3) years and a fine amounting between one million Drachmas (GRD 1,000,000) and five million Drachmas (GRD 5,000,000). Anyone who proceeds to the interconnection of files without the Authority’s permit, wherever such permit is required, or in breach of the terms of the permit granted to him, will be punished by imprisonment for a period of at least one (1) year and a fine amounting between one million Drachmas (GRD 1,000,000) and five million Drachmas (GRD 5,000,000).

4. Anyone who unlawfully interferes in any way whatsoever with a personal data file or takes notice of such data or extracts, alters, affects in a harmful manner, destroys, processes, transfers, discloses, makes accessible to unauthorised persons or permits such persons to take notice of such data or anyone who exploits such data in any way whatsoever, will be punished by imprisonment and a fine and, regarding sensitive data, by imprisonment for a period of at least one (1) year and a fine amounting between one million Drachmas (GRD 1,000,000) and ten million Drachmas (GRD 10,000,000), unless otherwise subject to more serious sanctions.

5. Any Controller who does not comply with decisions issued by the Authority in the exercise of the right of access, pursuant to paragraph 4 of article 12, in the exercise of the right to object, pursuant to paragraph 2 of article 13, as well as with acts imposing the administrative sanctions provided under c, d and e of paragraph 1 of article 21 shall be punished by imprisonment for a period of at least two (2) years and a fine amounting between one million Drachmas (GRD 1,000,000) and five million Drachmas (GRD 5,000,000). By the sanctions referred to in the preceding sentence shall also be punished any Controller who transfers personal data in breach of article 9 as well as the person who does not comply with the court decision referred to in article 14 of this law.

6. If the perpetrator of the acts referred to in paragraphs 1-5 of this article purported to gain unlawful benefit on his/her behalf or on behalf of another person or to cause harm to a third party, then s/he shall be punished with confinement in a penitentiary for a period of up to ten (10) years and a fine amounting between two million Drachmas (GRD 2,000,000) and ten million Drachmas (GRD 10,000,000).

7. If the acts referred to in paragraphs 1-5 of this Article have jeopardised the free operation of democratic governance or national security, then the sanction imposed shall be confinement in a penitentiary and a fine amounting between five million Drachmas (GRD 5,000,000) and ten million Drachmas (GRD 10,000,000).

8. If the acts referred to in paragraphs 1-5 of this Article were committed as a result of negligence, then imprisonment for a period of at least three (3) months and a fine shall be imposed.

9. For the purposes of the present article, if the Controller is not a natural person, then liable shall be the representative of the legal entity or the head of the public authority or agency or organisation, provided s/he also carries out in effect administrative or managerial duties.

10. Regarding the offences of the present article, the President and the members of the Authority as well as the employees of the Secretariat’s Auditors Department who are especially authorised to that effect shall be deemed as special investigating officers having all the powers invested to them by the Code of Criminal Procedure. They shall be entitled to carry out a preliminary investigation, even without an order by the Public Prosecutor, in case of an act caught in flagrante delicto, a misdemeanour, or if there is risk in any delay.

11. Regarding the offences referred to in paragraph 5 of this article as well as in any other case where an administrative review has been previously carried out by the Authority, the President of the same shall notify the competent Public Prosecutor in writing as to any eventuality that became the object of an investigation by the Authority and shall forward to him all the relevant records and evidence.

12. The preliminary investigation for the offences referred to in this article shall be completed within a period of maximum two (2) months since charges were brought and, provided that there is reasonable cause to remand the defendant to trial, the court date shall be set at a date no later than three (3) months since the preliminary investigation was completed or, if remand was effected by means of an order of the Judicial Council, within two (2) months since the date such order became irrevocable. In the event the case is sent to trial by direct summons, no appeal will be permitted against the writ of summons.

13. No continuation is allowed with regard to the offences referred to in this article, except for extremely important reasons and only once. In this case, the court is adjourned for a specific day within no more than two (2) months and the case shall, exceptionally, be heard first.

14. The felonies, provided for in this law, shall be subject to the jurisdiction of the Court of Appeal.

Article 23.- Civil Liability

1. Any natural person or legal entity of private law, who in breach of this law, causes material damage shall be liable for damages in full. If the same causes non pecuniary damage, s/he shall be liable for compensation. Liability subsists even when said person or entity should have known that such damage could be brought about.

2. The compensation payable according to article 932 of the Civil Code for non pecuniary damage caused in breach of this law is hereby set at the amount of at least two million Drachmas (GRD 2,000,000), unless the plaintiff claims a lesser amount or the said breach was due to negligence. Such compensation shall be awarded irrespective of the claim for damages.

3. The claims referred to in the present Article shall be litigated according to articles 664-676 of the Code of Civil Procedure, notwithstanding whether the Authority has issued a relevant decision or whether criminal charges have been brought or suspended or postponed on any grounds whatsoever. The decision of the Court shall be issued within a period of two (2) months since the first hearing in court.

CHAPTER F

.- FINAL – TRANSITIONAL PROVISIONS

Article 24.- Responsibilities of the Controller

1. The Controllers of files operating on the date this law enters into force must submit to the Authority the notification of operation referred to in article 6 within six (6) months from the date the Authority commenced operations.

2. The same obligation applies to Controllers of sensitive data files operating on the date this law enters into force, in order to have the permit referred to in paragraph 3 of article 7 issued.

3. Regarding files operating and processing carried out on the date this law enters into force, Controllers must inform the data subjects, according to paragraph 1 of article 11, within six (6) months from the date the Authority commenced operations. In the event such information pertains to a large number of data subjects, it may also be carried out through the press. In this case the relevant details shall be determined by the Authority. The provisions of paragraph 4 of article 11 shall also apply in this instance.

4. Regarding wholly non-automated files the deadlines referred to in the preceding paragraphs will extend to one (1) year.

5. The provisions of articles 11, 12, 13 and 19 paragraph 1 of this law shall not apply on criminal records and the official records kept by the competent judicial authorities in order to meet the operational needs of criminal justice and in the context thereof.

Article 25.- Commencement of the operation of the Authority

1. Within a period of sixty (60) days since this law enters into force, the President of the Authority and his/her substitute shall be appointed. Within the same time limit the Minister of Justice shall submit to the Speaker of Parliament a proposal for the appointment of the four ordinary members of the Authority and an equal number of substitutes.

2. The time of commencement of the operation of the Authority shall be determined by a decision of the Minister of Justice issued no later than four (4) months since the Authority was established. For the period between the appointment of its members and the recruitment of its Secretariat, according to article 20 paragraphs 6 and 7 of the present Law, the Authority shall be served by personnel temporarily seconded to it by means of its own decision, notwithstanding any other provision.

3. Until such time as the Authority operates according to the preceding paragraph, the administrative control of its expenses shall be effected by the Department of Finance of the Central Service of the Ministry of Justice at the expense of the budget of the Ministry of Justice.

4. The decision of the Minister of Justice, pursuant to paragraph 2 of this article, whereby the date of commencement of the operations of the Authority is determined shall be published in the Official Gazette and in at least four (4) daily political newspapers of broad circulation published in Athens and Thessaloniki and in at least two (2) daily financial newspapers.

Article 26.- Entry into force

1. The provisions of Articles 15, 16, 17, 18 and 20 of this law shall enter into force on the date the present law is published in the Official Gazette.

2. The remaining provisions shall enter into force on the date of the commencement of the operations of the Authority, pursuant to the preceding article.

24Oct/95

Directiva 95/46/CE

Directiva 95/46/CE, de 24 de octubre de 1995. (Derogada por Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016).

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto  el  Tratado constitutivo de la Comunidad Europea, y, en particular, su artículo 100 A,

Vista la propuesta de la Comisión,

Visto el dictamen del Comité Económico y Social,

De  conformidad  con  el  procedimiento establecido en el artículo 189 B del Tratado,

(1)  Considerando que los objetivos de la Comunidad definidos en el Tratado, tal y como quedó modificado por el Tratado de la Unión Europea, consisten en lograr  una  unión  cada  vez  más  estrecha  entre  los  pueblos  europeos, establecer  relaciones  más  estrechas  entre  los  Estados  miembros  de la Comunidad,  asegurar,  mediante  una  acción  común, el progreso económico y social,  eliminando  las  barreras  que dividen Europa, fomentar la continua mejora  de las condiciones de vida de sus pueblos, preservar y consolidar la paz  y  la  libertad  y  promover  la  democracia, basándose en los derechos fundamentales  reconocidos  en  las  constituciones  y  leyes de los Estados miembros y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales;

(2)  Considerando que los sistemas de tratamiento de datos están al servicio del hombre; que deben, cualquiera que sea la nacionalidad o la residencia de las  personas  físicas,  respetar las libertades v derechos fundamentales de las  personas  físicas  y,  en  particular,  la  intimidad,  y contribuir al progreso  económico y social, al desarrollo de los intercambios, así como al bienestar de los individuos;

(3)  Considerando  que  el  establecimiento  y  funcionamiento  del  mercado interior,  dentro del cual está garantizada, con arreglo al artículo 7 A del Tratado,   la   libre  circulación  de  mercancías,  personas,  servicios  y capitales,  hacen necesaria no sólo la libre circulación de datos personales de  un  Estado  miembro  a  otro, sino también la protección de los derechos fundamentales de las personas;

(4)  Considerando que se recurre cada vez más en la Comunidad al tratamiento de  datos  personales  en  los  diferentes sectores de actividad económica y social;  que  el  avance  de  las  tecnologías  de  la  información facilita considerablemente el tratamiento y el intercambio de dichos datos;

(5)  Considerando  que  la  integración  económica  y  social resultante del establecimiento  y  funcionamiento  del  mercado  interior,  definido  en el artículo 7 A del Tratado, va a implicar necesariamente un aumento notable de los  flujos  transfronterizos de datos personales entre todos los agentes de la  vida  económica y social de los Estados miembros, ya se trate de agentes públicos  o  privados; que el intercambio de datos personales entre empresas establecidas en los diferentes Estados miembros experimentará un desarrollo; que  las  administraciones nacionales de los diferentes Estados miembros, en aplicación  del  Derecho  comunitario,  están  destinadas  a  colaborar  y a intercambiar  datos  personales  a  fin  de  cumplir  su  cometido o ejercer funciones  por  cuenta de las administraciones de otros Estados miembros, en el marco del espacio sin fronteras que constituye el mercado interior;

(6)  Considerando,  por  lo  demás, que el fortalecimiento de la cooperación científica y técnica, así como el establecimiento coordinado de nuevas redes de  telecomunicaciones  en  la  Comunidad  exigen y facilitan la circulación transfronteriza de datos personales;

(7)  Considerando que las diferencias entre los niveles de protección de los derechos  y  libertades  de  las personas y, en particular, de la intimidad, garantizados  en  los Estados miembros por lo que respecta al tratamiento de datos  personales,  pueden  impedir  la  transmisión  de  dichos  datos  del territorio  de  un  Estado  miembro  al  de  otro;  que, por lo tanto, estas diferencias pueden constituir un obstáculo para el ejercicio de una serie de actividades  económicas  a  escala  comunitaria,  falsear  la  competencia e impedir  que  las administraciones cumplan los cometidos que les incumben en virtud  del  Derecho  comunitario;  que  estas diferencias en los niveles de protección  se  deben  a  la  disparidad  existente  entre las disposiciones legales, reglamentarias y administrativas de los Estados miembros;

(8) Considerando que, para eliminar los obstáculos a la circulación de datos personales,  el  nivel  de  protección  de  los derechos y libertades de las personas,  por  lo  que  se refiere al tratamiento de dichos datos, debe ser equivalente  en  todos los Estados miembros; que ese objetivo, esencial para el  mercado  interior,  no  puede lograrse mediante la mera actuación de los Estados miembros, teniendo en cuenta, en particular, las grandes diferencias existentes en la actualidad entre las legislaciones nacionales aplicables en la  materia  y  la  necesidad  de coordinar las legislaciones de los Estados miembros  para que el flujo transfronterizo de datos personales sea regulado de  forma  coherente  y  de conformidad con el objetivo del mercado interior definido en el artículo 7 A del Tratado; que, por tanto, es necesario que la Comunidad intervenga para aproximar las legislaciones;

(9) Considerando que, a causa de la protección equivalente que resulta de la aproximación  de  las  legislaciones  nacionales, los Estados miembros ya no podrán obstaculizar la libre circulación entre ellos de datos personales por motivos  de protección de los derechos y libertades de las personas físicas, y,  en  particular,  del  derecho  a  la intimidad; que los Estados miembros dispondrán de un margen de maniobra del cual podrán servirse, en el contexto de  la  aplicación de la presente Directiva, los interlocutores económicos y sociales;  que  los  Estados  miembros  podrán, por lo tanto, precisar en su derecho  nacional  las  condiciones  generales de licitud del tratamiento de datos;  que,  al  actuar  así,  los  Estados  miembros procurarán mejorar la protección  que  proporciona su legislación en la actualidad; que, dentro de los  límites  de  dicho  margen  de maniobra y de conformidad con el Derecho comunitario,  podrán  surgir  disparidades  en  la aplicación de la presente Directiva,  y  que ello podrá tener repercusiones en la circulación de datos tanto en el interior de un Estado miembro como en la Comunidad;

(10)  Considerando que las legislaciones nacionales relativas al tratamiento de  datos personales tienen por objeto garantizar el respeto de los derechos y  libertades  fundamentales,  particularmente  del derecho al respeto de la vida  privada  reconocido  en  el  artículo  8  del Convenio Europeo para la Protección  de  los  Derechos Humanos y de las Libertades Fundamentales, así como en los principios generales del Derecho comunitario; que, por lo tanto, la  aproximación  de dichas legislaciones no debe conducir a una disminución de  la  protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad;

(11)  Considerando  que  los  principios  de la protección de los derechos y libertades  de  las  personas y, en particular, del respeto de la intimidad, contenidos  en la presente Directiva, precisan y amplían los del Convenio de 28 de enero de 1981 del Consejo de Europa para la protección de las personas en lo que respecta al tratamiento automatizado de los datos personales;

(12)  Considerando  que  los  principios  de la protección deben aplicarse a todos  los  tratamientos  de  datos  personales  cuando  las actividades del responsable  del  tratamiento  entren en el ámbito de aplicación del Derecho comunitario;  que  debe  excluirse el tratamiento de datos efectuado por una persona  física  en  el ejercicio de actividades exclusivamente personales o domésticas,  como  la  correspondencia  y  la  llevanza  de un repertorio de direcciones;

(13)  Considerando  que las actividades a que se refieren los títulos V y VI del  Tratado  de  la  Unión  Europea  relativos  a  la seguridad pública, la defensa,  la  seguridad del Estado y las actividades del Estado en el ámbito penal  no  están  comprendidas  en  el  ámbito  de  aplicación  del  Derecho comunitario,  sin  perjuicio  de las obligaciones que incumben a los Estados miembros  con  arreglo  al apartado 2 del artículo 56 y a los artículos 57 y 100  A del Tratado; que el tratamiento de los datos de carácter personal que sea  necesario  para  la  salvaguardia del bienestar económico del Estado no está  comprendido en el ámbito de aplicación de la presente Directiva en los casos en que dicho tratamiento esté relacionado con la seguridad del Estado;

(14)  Considerando  que, habida cuenta de la importancia que, en el marco de la  sociedad de la información, reviste el actual desarrollo de las técnicas para captar, transmitir, manejar, registrar, conservar o comunicar los datos relativos  a  las  personas  físicas  constituidos  por  sonido e imagen, la presente  Directiva  habrá  de  aplicarse  a  los tratamientos que afectan a dichos datos;

(15)  Considerando  que  los  tratamientos  que  afectan a dichos datos sólo quedan  amparados  por  la  presente  Directiva cuando están automatizados o cuando  los datos a que se refieren se encuentran contenidos o se destinan a encontrarse   contenidos   en   un   archivo  estructurado  según  criterios específicos  relativos  a  las  personas,  a  fin  de  que  le pueda acceder fácilmente a los datos de carácter personal de que se trata;

(16)  Considerando  que  los tratamientos de datos constituidos por sonido e imagen,  como los de la vigilancia por videocámara, no están comprendidos en el ámbito de aplicación de la presente Directiva cuando se aplican con fines de  seguridad  pública, defensa, seguridad del Estado o para el ejercicio de las actividades del Estado relacionadas con ámbitos del derecho penal o para el  ejercicio de otras actividades que no están comprendidos en el ámbito de aplicación del Derecho comunitario;

(17)  Considerando  que en lo que respecta al tratamiento del sonido y de la imagen  aplicados  con  fines  periodísticos  o  de  expresión  literaria  o artística,  en  particular  en  el  sector audiovisual, los principios de la Directiva  se aplican de forma restringida según lo dispuesto en al artículo 9;

(18)  Considerando  que,  para  evitar  que  una  persona sea excluida de la protección  garantizada  por  la  presente  Directiva, es necesario que todo tratamiento  de  datos  personales  efectuado  en  la  Comunidad  respete la legislación  de  uno  de sus Estados miembros; que, a este respecto, resulta conveniente someter el tratamiento de datos efectuados por cualquier persona que  actúe  bajo la autoridad del responsable del tratamiento establecido en un Estado miembro a la aplicación de la legislación de tal Estado;

(19)  Considerando  que  el  establecimiento  en  el territorio de un Estado miembro  implica  el ejercicio efectivo y real de una actividad mediante una instalación estable; que la forma jurídica de dicho establecimiento, sea una simple  sucursal  o  una  empresa filial con personalidad jurídica, no es un factor  determinante  al  respecto;  que  cuando  un  mismo responsable esté establecido  en  el territorio de varios Estados miembros, en particular por medio  de una empresa filial, debe garantizar, en particular para evitar que se eluda la normativa aplicable, que cada uno de los establecimientos cumpla las  obligaciones  impuestas  por  el  Derecho  nacional  aplicable  a estas actividades;

(20)  Considerando  que  el  hecho  de que el responsable del tratamiento de datos esté establecido en un país tercero no debe obstaculizar la protección de  las personas contemplada en la presente Directiva; que en estos casos el tratamiento  de  datos debe regirse por la legislación del Estado miembro en el que se ubiquen los medios utilizados y deben adoptarse garantías para que se  respeten  en  la práctica los derechos y obligaciones contempladas en la presente Directiva;

(21)  Considerando  que  la  presente  Directiva  no  afecta a las normas de territorialidad aplicables en materia penal;

(22) Considerando que los Estados miembros precisarán en su legislación o en la  aplicación  de  las  disposiciones  adoptadas  en  virtud de la presente Directiva  las  condiciones  generales  de licitud del tratamiento de datos; que,  en  particular,  el  artículo  5  en relación con los artículos 7 y 8, ofrece  a  los Estados miembros la posibilidad de prever, independientemente de  las  normas generales, condiciones especiales de tratamiento de datos en sectores  específicos,  así  como  para  las  diversas  categorías  de datos contempladas en el artículo 8;

(23)  Considerando que los Estados miembros están facultados para garantizar la  protección  de las personas tanto mediante una ley general relativa a la protección de las personas respecto del tratamiento de los datos de carácter personal   como  mediante  leyes  sectoriales,  como  las  relativas  a  los institutos estadísticos;

(24)  Considerando  que  las  legislaciones relativas a la protección de las personas  jurídicas respecto del tratamiento de los datos que las conciernan no son objeto de la presente Directiva;

(25)  Considerando  que los principios de la protección tienen su expresión, por  una  parte,  en las distintas obligaciones que incumben a las personas, autoridades  públicas,  empresas,  agencias  u otros organismos que efectúen tratamientos  -obligaciones  relativas,  en  particular, a la calidad de los datos,  la seguridad técnica, la notificación a las autoridades de control y las  circunstancias en las que se puede efectuar el tratamiento- y, por otra parte,  en  los derechos otorgados a las personas cuyos datos sean objeto de tratamiento  de ser informadas acerca de dicho tratamiento, de poder acceder a  los datos, de poder solicitar su rectificación o incluso de oponerse a su tratamiento en determinadas circunstancias;

(26)  Considerando  que  los principios de la protección deberán aplicarse a cualquier  información  relativa a una persona identificada o identificable; que,  para determinar si una persona es identificable, hay que considerar el conjunto  de  los  medios  que  puedan  ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha  persona;  que  los  principios  de  la  protección  no se aplicarán a aquellos  datos  hechos  anónimos  de  manera  tal  que  ya  no  sea posible identificar  al  interesado;  que  los  códigos  de  conducta con arreglo al artículo   27   pueden   constituir   un  elemento  útil  para  proporcionar indicaciones  sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado;

(27)  Considerando que la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; que el alcance de  esta protección no debe depender, en efecto, de las técnicas utilizadas, pues la contrario daría lugar a riesgos graves de elusión; que, no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas; que, en  particular,  el  contenido  de  un fichero debe estructurarse conforme a criterios  específicos  relativos  a  las  personas,  que  permitan  acceder fácilmente a los datos personales; que, de conformidad con la definición que recoge  la  letra  c)  del  artículo 2, los distintos criterios que permiten determinar  los  elementos  de un conjunto estructurado de datos de carácter personal y los distintos criterios que regulan el acceso a dicho conjunto de datos  pueden  ser  definidos  por  cada Estado miembro; que, las carpetas y conjuntos  de  carpetas,  así  como sus portadas, que no estén estructuradas conforme  a criterios específicos no están comprendidas en ningún caso en el ámbito de aplicación de la presente Directiva;

(28)  Considerando  que todo tratamiento de datos personales debe efectuarse de  forma  lícita  y leal con respecto al interesado; que debe referirse, en particular,  a  datos  adecuados, pertinentes y no excesivos en relación con los  objetivos  perseguidos;  que  estos  objetivos  han de ser explícitos y legítimos,  y  deben  estar determinados en el momento de obtener los datos; que  los  objetivos de los tratamientos posteriores a la obtención no pueden ser incompatibles con los objetivos originalmente especificados;

(29) Considerando que el tratamiento ulterior de datos personales, con fines históricos,  estadísticos  o científicos no debe por lo general considerarse incompatible con los objetivos para los que se recogieron los datos, siempre y  cuando  los  Estados  miembros  establezcan  las garantías adecuadas; que dichas garantías deberán impedir que dichos datos sean utilizados para tomar medidas o decisiones contra cualquier persona;

(30)  Considerando  que  para  ser lícito el tratamiento de datos personales debe  basarse además en el consentimiento del interesado o ser necesario con vistas  a  la  celebración  o  ejecución  de  un  contrato  que  obligue  al interesado,  o  para  la  observancia  de  una  obligación  legal  o para el cumplimiento  de  una  misión  de  interés público o para el ejercicio de la autoridad  pública  o  incluso para la realización de un interés legítimo de una  persona,  siempre  que  no  prevalezcan  los intereses o los derechos y libertades  del  interesado; que, en particular, para asegurar el equilibrio de  los  intereses en juego, garantizando a la vez una competencia efectiva, los  Estados  miembros  pueden precisar las condiciones en las que se podrán utilizar  y comunicar a terceros datos de carácter personal, en el desempeño de actividades legítimas de gestión ordinaria de empresas y otras entidades; que   los  Estados  miembros  pueden  asimismo  establecer  previamente  las condiciones  en  que  pueden efectuarse comunicaciones de datos personales a terceros  con  fines de prospección comercial o de prospección realizada por una  institución benéfica u otras asociaciones o fundaciones, por ejemplo de carácter  político,  dentro  del respeto de las disposiciones que permiten a los   interesados  oponerse,  sin  alegar  los  motivos  y  sin  gastos,  al tratamiento de los datos que les conciernan;

(31)  Considerando  que  un  tratamiento  de datos personales debe estimarse lícito  cuando se efectúa con el fin de proteger un interés esencial para la vida del interesado;

(32)  Considerando que corresponde a las legislaciones nacionales determinar si  el responsable del tratamiento que tiene conferida una misión de interés público   o   inherente  al  ejercicio  del  poder  público,  debe  ser  una administración pública u otra persona de derecho público o privado, como por ejemplo una asociación profesional;

(33)  Considerando, por lo demás, que los datos que por su naturaleza puedan atentar  contra  las  libertades  fundamentales  o la intimidad no deben ser objeto  de  tratamiento alguno, salvo en caso de que el interesado haya dado su  consentimiento  explícito;  que  deberán  constar de forma explícita las excepciones  a  esta prohibición para necesidades específicas, en particular cuando  el tratamiento de dichos datos se realice con fines relacionados con la  salud, por parte de personas físicas sometidas a una obligación legal de secreto  profesional,  o  para  actividades  legítimas  por parte de ciertas asociaciones  o  fundaciones cuyo objetivo sea hacer posible el ejercicio de libertades fundamentales;

(34)  Considerando  que  también se deberá autorizar a los Estados miembros, cuando  esté  justificado por razones de interés público importante, a hacer excepciones  a  la  prohibición  de  tratar categorías sensibles de datos en sectores como la salud pública y la protección social, particularmente en lo relativo  a  la  garantía  -de  la  calidad  y la rentabilidad, así como los procedimientos  utilizados para resolver las reclamaciones de prestaciones y de   servicios  en  el  régimen  del  seguro  enfermedad,  la  investigación científica  y  las  estadísticas  públicas;  que  a  ellos  corresponde,  no obstante,  prever  las  garantías  apropiadas  y  específicas a los fines de proteger los derechos fundamentales y la vida privada de las personas;

(35)  Considerando, además, que el tratamiento de datos personales por parte de   las   autoridades  públicas  con  fines,  establecidos  en  el  Derecho constitucional  o  en  el  Derecho  internacional  público,  de asociaciones religiosas  reconocidas  oficialmente, se realiza por motivos importantes de interés público;

(36)  Considerando  que,  si en el marco de actividades relacionadas con las elecciones,  el  funcionamiento  del  sistema democrático en algunos Estados miembros  exige  que los partidos políticos recaben datos sobre la ideología política  de los ciudadanos, podrá autorizarse el tratamiento de estos datos por  motivos  importantes de interés público, siempre que se establezcan las garantías adecuadas;

(37)  Considerando  que  para  el  tratamiento de datos personales con fines periodísticos  o  de  expresión  artística  o literaria, en particular en el sector   audiovisual,   deben   preverse   excepciones  o  restricciones  de determinadas  disposiciones  de  la  presente Directiva siempre que resulten necesarias  para  conciliar  los derechos fundamentales de la persona con la libertad  de  expresión y, en particular, la libertad de recibir o comunicar informaciones,  tal  y  como  se  garantiza  en  el artículo 10 del Convenio Europeo  para  la  Protección  de  los  Derechos Humanos y de las Libertades Fundamentales; que por lo tanto, para ponderar estos derechos fundamentales, corresponde   a   los   Estados   miembros  prever  las  excepciones  y  las restricciones  necesarias  en  lo  relativo a las medidas generales sobre la legalidad  del  tratamiento  de datos, las medidas sobre la transferencia de datos a terceros países y las competencias de las autoridades de control sin que  esto  deba  inducir,  sin  embargo,  a  los  Estados  miembros a prever excepciones  a las medidas que garanticen la seguridad del tratamiento; que, igualmente,  debería  concederse a la autoridad de control responsable en la materia  al  menos  una  serie de competencias a posteriori como por ejemplo publicar periódicamente un informe al respecto o bien iniciar procedimientos legales ante las autoridades judiciales;

(38)   Considerando  que  el  tratamiento  leal  de  datos  supone  que  los interesados  deben  estar  en  condiciones  de  conocer la existencia de los tratamientos y, cuando los datos se obtengan de ellos mismos, contar con una información  precisa  y  completa  respecto  a  las  circunstancias de dicha obtención;

(39)  Considerando  que determinados tratamientos se refieren a datos que el responsable no ha recogido directamente del interesado; que, por otra parte, pueden  comunicarse  legítimamente  datos  a  un  tercero  aún  cuando dicha comunicación no estuviera prevista en el momento de la recogida de los datos del  propio  interesado;  que,  en todos estos supuestos, debe informarse al interesado  en  el  momento  del  registro  de los datos o, a más tardar, al comunicarse los datos por primera vez a un tercero;

(40)  Considerando, no obstante, que no es necesario imponer esta obligación si  el  interesado ya está informado, si el registro o la comunicación están expresamente  previstos por la ley o si resulta imposible informarle, o ello implica   esfuerzos   desproporcionados,   como   puede  ser  el  caso  para tratamientos  con  fines  históricos, estadísticos o científicos; que a este respecto  pueden  tomarse  en  consideración  el  número  de interesados, la antigüedad de los datos, y las posibles medidas compensatorias;

(41) Considerando que cualquier persona debe disfrutar del derecho de acceso a   los  datos  que  le  conciernan  y  sean  objeto  de  tratamiento,  para cerciorarse,  en  particular,  de  su  exactitud  y  de  la  licitud  de  su tratamiento;  que por las mismas razones cualquier persona debe tener además el  derecho  de conocer la lógica que subyace al tratamiento automatizado de los  datos  que  la  conciernan,  al  menos  en  el  caso  de las decisiones automatizadas  a  que  se  refiere  el  apartado 1 del artículo 15; que este derecho  no  debe  menoscabar  el  secreto  de  los negocios ni la propiedad intelectual  y  en  particular  el  derecho de autor que proteja el programa informático;  que no obstante esto no debe suponer que se deniegue cualquier información al interesado;

(42)  Considerando  que,  en  interés  del interesado de que se trate y para proteger  los derechos y libertades de terceros, los Estados miembros podrán limitar  los  derechos  de acceso y de información; que podrán, por ejemplo, precisar  que  el  acceso  a  los  datos de carácter médico únicamente pueda obtenerse a través de un profesional de la medicina;

(43)  Considerando  que  los Estados miembros podrán imponer restricciones a los  derechos  de  acceso  e  información  y a determinadas obligaciones del responsable  del  tratamiento,  en  la  medida  en  que  sean  estrictamente necesarias  para,  por  ejemplo,  salvaguardar  la  seguridad del Estado, la defensa,  la  seguridad  pública,  los  intereses  económicos  o financieros importantes  de  un  Estado  miembro  o  de la Unión, así como para realizar investigaciones y entablar procedimientos penales y perseguir violaciones de normas  deontológicas en las profesiones reguladas; que conviene enumerar, a efectos  de  excepciones y limitaciones, las tareas de control, inspección o reglamentación necesarias en los tres últimos sectores mencionados relativos a  la  seguridad  pública,  los  intereses  económicos  o  financieros  y la represión  penal;  que  esta  enumeración  de  tareas  relativas  a los tres sectores   citados   no  afecta  a  la  legitimidad  de  las  excepciones  y restricciones establecidas por razones de seguridad del Estado o de defensa;

(44) Considerando que los Estados miembros podrán verse obligados, en virtud de las disposiciones del Derecho comunitario, a establecer excepciones a las disposiciones  de la presente Directiva relativas al derecho de acceso, a la información de personas y a la, calidad de los datos para garantizar algunas de las finalidades contempladas más arriba;

(45)  Considerando que cuando se pudiera efectuar lícitamente un tratamiento de  datos  por  razones  de  interés público o del ejercicio de la autoridad pública,  o  en  interés  legítimo  de una persona física, cualquier persona deberá,  sin  embargo,  tener  derecho  a  oponerse  a  que los datos que le conciernan  sean  objeto  de un tratamiento, en virtud de motivos fundados y legítimos  relativos  a  su  situación  concreta;  que  los Estados miembros tienen,  no  obstante, la posibilidad de establecer disposiciones nacionales contrarias;

(46)  Considerando  que  la  protección  de los derechos y libertades de los interesados  en lo que respecta a los tratamientos de datos personales exige la  adopción  de  medidas técnicas y de organización apropiadas, tanto en el momento  de  la  concepción  del  sistema  de  tratamiento  como en el de la aplicación  de  los tratamientos mismos, sobre todo con objeto de garantizar la  seguridad  e  impedir,  por  tanto,  todo tratamiento no autorizado; que corresponde  a  los  Estados  miembros  velar  por  que los responsables del tratamiento  respeten dichas medidas; que esas medidas deberán garantizar un nivel  de seguridad adecuado teniendo en cuenta el estado de la técnica y el coste  de  su  aplicación  en  relación  con  los  riesgos  que  presente el tratamiento y con la naturaleza de los datos que deban protegerse;

(47) Considerando que cuando un mensaje con datos personales sea transmitido a  través  de  un servicio de telecomunicaciones o de correo electrónico cuyo único  objetivo  sea  transmitir  mensajes  de  ese  tipo,  será considerada normalmente responsable del tratamiento de los datos personales presentes en el  mensaje  aquella persona de quien proceda el mensaje y no la que ofrezca el  servicio  de  transmisión;  que,  no obstante, las personas que ofrezcan estos  servicios normalmente serán consideradas responsables del tratamiento de  los datos personales complementarios y necesarios para el funcionamiento del servicio;

(48)  Considerando  que los procedimientos de notificación a la autoridad de control  tienen  por  objeto  asegurar  la  publicidad  de  los fines de los tratamientos y de sus principales características a fin de controlarlos a la luz  de  las disposiciones nacionales adoptadas en aplicación de la presente Directiva;

(49)  Considerando  que  para evitar trámites administrativos improcedentes, los  Estados  miembros pueden establecer exenciones o simplificaciones de la notificación  para los tratamientos que no atenten contra los derechos y las libertades  de  los  interesados,  siempre y cuando sean conformes a un acto adoptado  por  el  Estado miembro en el que se precisen sus límites; que los Estados  miembros pueden igualmente disponer la exención o la simplificación cuando  un  encargado,  nombrado  por  el  responsable  del  tratamiento, se cerciore  de  que  los  tratamientos efectuados no pueden atentar contra los derechos  y  libertades  de  los interesados; que la persona encargada de la protección  de  los datos, sea o no empleado del responsable del tratamiento de datos, deberá ejercer sus funciones con total independencia;

(50) Considerando que podrán establecerse exenciones o simplificaciones para los  tratamientos  cuya  única  finalidad  sea el mantenimiento de registros destinados,  de  conformidad  con  el Derecho nacional, a la información del público y que sean accesibles para la consulta del público o de toda persona que justifique un interés legítimo;

(51)  Considerando,  no obstante, que el beneficio de la simplificación o de la  exención de la obligación de notificación no dispensa al responsable del tratamiento  de  ninguna  de las demás obligaciones derivadas de la presente Directiva;

(52)  Considerando  que, en este contexto, el control a posteriori por parte de  las  autoridades  competentes  debe considerarse, en general, una medida suficiente;

(53)   Considerando,  no  obstante,  que  determinados  tratamientos  pueden presentar riesgos particulares desde el punto de vista de los derechos y las libertades  de  los  interesados,  ya sea por su naturaleza, su alcance o su finalidad,  como  los  de  excluir  a  los  interesados  del beneficio de un derecho,  de una prestación o de un contrato, o por el uso particular de una tecnología  nueva;  que  es  competencia  de los Estados miembros, si así lo desean, precisar tales riesgos en sus legislaciones;

(54)  Considerando que, a la vista de todos los tratamientos llevados a cabo en  la  sociedad,  el número de los que presentan tales riesgos particulares debería ser muy limitado; que los Estados miembros deben prever, para dichos tratamientos, un examen previo a su realización por parte de la autoridad de control  o  del  encargado  de  la  protección  de  datos en cooperación con aquélla;  que, tras dicho control previo, la autoridad de control, en virtud de lo que disponga su Derecho nacional, podrá emitir un dictamen o autorizar el  tratamiento de datos; que este examen previo podrá realizarse también en el  curso  de  la  elaboración  de  una  medida  legislativa aprobada por el Parlamento  nacional o de una medida basada en dicha medida legislativa, que defina la naturaleza del tratamiento y precise las garantías adecuadas;

(55)  Considerando  que las legislaciones nacionales deben prever un recurso judicial  para  los casos en los que el responsable del tratamiento de datos no  respete los derechos de los interesados; que los daños que pueden sufrir las  personas  a  raíz de un tratamiento ilícito han de ser reparados por el responsable  del  tratamiento  de  datos,  el cual sólo podrá ser eximido de responsabilidad  si  demuestra  que no le es imputable el hecho perjudicial, principalmente  si  demuestra la responsabilidad del interesado o un caso de fuerza mayor; que deben imponerse sanciones a toda persona, tanto de derecho privado como de derecho público, que no respete las disposiciones nacionales adoptadas en aplicación de la presente Directiva;

(56)  Considerando  que  los flujos transfronterizos de datos personales son necesarios  para la desarrollo del comercio internacional; que la protección de  las personas garantizada en la Comunidad por la presente Directiva no se opone  a  la  transferencia  de  datos  personales  a  terceros  países  que garanticen  un  nivel  de  protección adecuado; que el carácter adecuado del nivel de protección ofrecido por un país tercero debe apreciarse teniendo en cuenta  todas  las  circunstancias  relacionadas  con  la transferencia o la categoría de transferencias;

(57)  Considerando, por otra parte, que cuando un país tercero no ofrezca un nivel  de  protección  adecuado debe prohibirse la transferencia al mismo de datos personales;

(58)  Considerando que han de establecerse excepciones a esta prohibición en determinadas   circunstancias,   cuando   el   interesado   haya   dado   su consentimiento,  cuando  la  transferencia  sea necesaria en relación con un contrato  o  una  acción  judicial,  cuando así lo exija la protección de un interés   público   importante,   por  ejemplo  en  casos  de  transferencia internacional  de  datos  entre  las administraciones fiscales o aduaneras o entre  los servicios competentes en materia de seguridad social, o cuando la transferencia se haga desde un registro previsto en la legislación con-fines de  consulta  por  el público o por personas con un interés legítimo; que en tal  caso  dicha transferencia no debe afectar a la totalidad de los datos o las  categorías de datos que contenga el mencionado registro; que, cuando la finalidad de un registro sea la consulta por parte de personas que tengan un interés  legítimo, la transferencia sólo debería poder efectuarse a petición de dichas personas o cuando éstas sean las destinatarias;

(59)  Considerando  que pueden adoptarse medidas particulares para paliar la insuficiencia  del  nivel de protección en un tercer país, en caso de que el responsable  del tratamiento ofrezca garantías adecuadas; que, por lo demás, deben preverse procedimientos de negociación entre la Comunidad y los países terceros de que se trate;

(60)  Considerando  que,  en cualquier caso, las transferencias hacia países terceros  sólo podrán efectuarse si se respetan plenamente las disposiciones adoptadas  por  los Estados miembros en aplicación de la presente Directiva, y, en particular, de su artículo 8;

(61)  Considerando  que  los  Estados  miembros y la Comisión, dentro de sus respectivas  competencias,  deben  alentar a los sectores profesionales para que  elaboren  códigos  de  conducta  a  fin de facilitar, habida cuenta del carácter  específico  del  tratamiento  de  datos  efectuado en determinados sectores,   la   aplicación   de   la   presente  Directiva  respetando  las disposiciones nacionales adoptadas para su aplicación;

(62) Considerando que la creación de una autoridad de control que ejerza sus funciones  con  plena  independencia  en  cada  uno  de los Estados miembros constituye  un  elemento esencial de la protección de las personas en lo que respecta al tratamiento de datos personales;

(63) Considerando que dicha autoridad debe disponer de los medios necesarios para  cumplir  su  función,  ya  se  trate  de poderes de investigación o de intervención,  en  particular  en  casos  de  reclamaciones presentadas a la autoridad  o  de  poder  comparecer  en  juicio;  que  tal  autoridad  ha de contribuir  a la transparencia de los tratamientos de datos efectuados en el Estado miembro del que dependa;

(64)  Considerando  que  las  autoridades  de los distintos Estados miembros habrán  de  prestarse ayuda mutua en el ejercicio de sus funciones, de forma que  se  garantice  el  pleno respeto de las normas de protección en toda la Unión Europea;

(65)  Considerando  que se debe crear, en el ámbito comunitario, un grupo de protección  de  las  personas  en  lo  que  respecta al tratamiento de datos personales,  el cual habrá de ejercer sus funciones con plena independencia; que,  habida  cuenta de este carácter específico, el grupo deberá asesorar a la  Comisión  y  contribuir,  en particular, a la aplicación uniforme de las normas nacionales adoptadas en aplicación de la presente Directiva;

(66) Considerando que, por lo que respecta a la transferencia de datos hacia países  terceros,  la  aplicación  de  la presente Directiva requiere que se atribuya  a  la  Comisión  competencias  de  ejecución  y  que  se  cree  un procedimiento  con  arreglo  a  las  modalidades establecidas en la Decisión 87/373/CEE del Consejo;

(67) Considerando que el 20 de diciembre de 1994 se alcanzó un acuerdo sobre un  modus  vivendi  entre  el  Parlamento  Europeo, el Consejo y la Comisión concerniente  a  las  medidas  de  aplicación  de  los  actos  adoptados  de conformidad  con  el  procedimiento  establecido  en  el  artículo 189 B del Tratado CE;

(68)  Considerando  que  los  principios  de  protección  de  los derechos y libertades  de las personas y, en particular, del respeto de la intimidad en lo  que  se  refiere  al  tratamiento  de  los datos personales objeto de la presente   Directiva   podrán   completarse  o  precisarse,  sobre  todo  en determinados   sectores,  mediante  normas  específicas  conformes  a  estos principios;

(69)  Considerando  que  resulta oportuno conceder a los Estados miembros un plazo  que no podrá ser superior a tres años a partir de la entrada en vigor de  las  medidas nacionales de transposición de la presente Directiva, a fin de  que  puedan  aplicar  de  manera  progresiva  las  nuevas  disposiciones nacionales mencionadas a todos los tratamientos de datos ya existentes; que, con  el  fin  de  facilitar  una  aplicación que presente una buena relación coste/ eficacia,  se concederá a los Estados miembros un período suplementario que  expirará  a  los  doce  años  de  la fecha en que se adopte la presente Directiva,  para  garantizar  que  los ficheros manuales existentes en dicha fecha  se  hayan  ajustado  a  las disposiciones de la Directiva; que si los datos  contenidos  en  dichos  ficheros  son tratados efectivamente de forma manual  en  ese  período  transitorio  ampliado  deberán,  sin  embargo, ser ajustados a dichas disposiciones cuando se realice tal tratamiento;

(70)  Considerando  que  no es procedente que el interesado tenga que dar de nuevo su consentimiento a fin de que el responsable pueda seguir efectuando, tras la entrada en vigor de las disposiciones nacionales adoptadas en virtud de  la  presente Directiva, el tratamiento de datos sensibles necesario para la ejecución de contratos celebrados previo consentimiento libre e informado antes de la entrada en vigor de las disposiciones mencionadas;

(71)  Considerando  que  la  presente  Directiva no se opone a que un Estado miembro  regule  las  actividades  de prospección comercial destinadas a los consumidores  que  residan  en  su  territorio,  en  la  medida en que dicha regulación  no  afecte  a la protección de las personas en lo que respecta a tratamientos de datos personales;

(72)  Considerando que la presente Directiva autoriza que se tenga en cuenta el  principio  de  acceso  público  a  los documentos oficiales a la hora de aplicar los principios expuestos en la presente Directiva,

HAN ADOPTADO LA PRESENTE DIRECTIVA:

CAPITULO I . DISPOSICIONES GENERALES

Artículo 1. Objeto de la Directiva

1.  Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente  Directiva,  la  protección  de  las  libertades  y de los derechos fundamentales  de  las  personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.

2.   Los  Estados  miembros  no  podrán  restringir  ni  prohibir  la  libre circulación  de  datos  personales  entre  los  Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1.

Artículo 2. Definiciones

A efectos de la presente Directiva, se entenderá por:

a)   “datos   personales”:   toda   información  sobre  una  persona  física identificada o identificable (el “interesado”); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular  mediante  un  número  de identificación o uno o varios elementos específicos,  característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

b)  “tratamiento  de datos personales” “tratamiento”): cualquier operación o conjunto   de   operaciones,   efectuadas   o   no  mediante  procedimientos automatizados,  y  aplicadas a datos personales, como la recogida, registro, organización,   conservación,   elaboración   o   modificación,  extracción, consulta,  utilización,  comunicación  por transmisión, difusión o cualquier otra  forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

c)  “fichero de datos personales” (“fichero”): todo conjunto estructurado de datos  personales,  accesibles  con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

d)  “responsable  del  tratamiento”: la persona física o jurídica, autoridad pública,  servicio  o  cualquier otro organismo que sólo o conjuntamente con otros  determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones  legislativas  o  reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario;

e)  “encargado  del  tratamiento”:  la  persona física o jurídica, autoridad pública,  servicio  o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento;

f)  “tercero”:  la  persona física o jurídica, autoridad pública, servicio o cualquier  otro  organismo  distinto  del  interesado,  del  responsable del tratamiento,  del  encargado  del  tratamiento y de las personas autorizadas para  tratar  los  datos  bajo  la  autoridad  directa  del  responsable del tratamiento o del encargado del tratamiento;

g) “destinatario”: la persona física o jurídica, autoridad pública, servicio o  cualquier  otro organismo que reciba comunicación de datos, se trate o no de  un  tercero.  No  obstante,  las  autoridades  que  puedan  recibir  una comunicación  de  datos en el marco de una investigación específica no serán considerados destinatarios;

h)  “consentimiento  del interesado”: toda manifestación de voluntad, libre, específica   e  informada,  mediante  la  que  el  interesado  consienta  el tratamiento de datos personales que le conciernan.

Artículo 3. Ámbito de aplicación

1.  Las  disposiciones  de la presente Directiva se aplicarán al tratamiento total   o  parcialmente  automatizado  de  datos  personales,  así  como  al tratamiento  no  automatizado  de datos personales contenidos o destinados a ser incluidos en un fichero.

2. Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:

–  efectuado  en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de  los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al  tratamiento  de  datos  que  tenga  por  objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;

–   efectuado  por  una  persona  física  en  el  ejercicio  de  actividades exclusivamente personales o domésticas.

Artículo 4. Derecho nacional aplicable

1.  Los  Estados  miembros  aplicarán  las disposiciones nacionales que haya aprobado  para  la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

a)  el  tratamiento  sea  efectuado  en  el  marco  de las actividades de un establecimiento  del responsable del tratamiento en el territorio del Estado miembro.  Cuando el mismo responsable del tratamiento esté establecido en el territorio  de varios Estados miembros deberá adoptar las medidas necesarias para   garantizar  que  cada  uno  de  dichos  establecimientos  cumple  las obligaciones previstas por el Derecho nacional aplicable;

b)  el  responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público;

c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad  y  recurra,  para  el  tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.

2.  En  el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

CAPITULO II. CONDICIONES GENERALES PARA LA LICITUD DEL TRATAMIENTO DE DATOS PERSONALES

Artículo 5. 

Los  Estados miembros precisarán, dentro de los límites de las disposiciones del  presente  capítulo, las condiciones en que son lícitos los tratamientos de datos personales.

SECCIÓN I. PRINCIPIOS RELATIVOS A LA CALIDAD DE LOS DATOS

Artículo 6

1. Los Estados miembros dispondrán que los datos personales sean:

a) tratados de manera leal y lícita;

b)  recogidos  con  fines  determinados,  explícitos  y legítimos, y no sean tratados  posteriormente  de  manera  incompatible  con  dichos fines; no se considerará  incompatible  el  tratamiento  posterior  de  datos  con  fines históricos,  estadísticos  o  científicos,  siempre  y  cuando  los  Estados miembros establezcan las garantías oportunas;

c)  adecuados,  pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente;

d)  exactos y, cuando sea necesario, actualizados; deberán tomarse todas las medidas  razonables para que los datos inexactos o incompletos, con respecto a  los  fines  para  los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados;

e) conservados en una forma que permita la identificación de los interesados durante  un  período  no  superior  al necesario para los fines para los que fueron  recogidos  o  para  los  que  se  traten  ulteriormente. Los Estados miembros  establecerán  las  garantías  apropiadas para los datos personales archivados  por  un  período más largo del mencionado, con fines históricos, estadísticos o científicos.

2.   Corresponderá   a   los  responsables  del  tratamiento  garantizar  el cumplimiento de lo dispuesto en el apartado 1.

SECCIÓN II. PRINCIPIOS RELATIVOS A LA LEGITIMACIÓN DEL TRATAMIENTO DE DATOS

Artículo 7 

Los  Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:

a) el interesado ha dado su consentimiento de forma inequívoca, o

b) es necesario para la ejecución de un contrato en el que el interesado sea parte  o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o

c)  es  necesario  para  el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o

d) es necesario para proteger el interés vital del interesado, o

e)  es  necesario  para  el  cumplimiento de una misión de interés público o inherente  al  ejercicio  del  poder  público  conferido  al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o

f)  es necesario para la satisfacción del interés legítimo perseguido por el responsable  del  tratamiento  o  por  el  tercero  o  terceros a los que se comuniquen  los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.

SECCIÓN III. CATEGORÍAS ESPECIALES DE TRATAMIENTOS

Artículo 8. Tratamiento de categorías especiales de datos

1.  Los  Estados  miembros prohibirán el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas   o  filosóficas,  la  pertenencia  a  sindicatos,  así  como  el tratamiento de los datos relativos a la salud o a la sexualidad.

2. Lo dispuesto en el apartado 1 no se aplicará cuando:

a)  el interesado haya dado su consentimiento explícito a dicho tratamiento, salvo en los casos en los que la legislación del Estado miembro disponga que la  prohibición  establecida  en  el  apartado  1 no pueda levantarse con el consentimiento del interesado, o

b)  el  tratamiento  sea necesario para respetar las obligaciones y derechos específicos del responsable del tratamiento en materia de Derecho laboral en la  medida en que esté autorizado por la legislación y ésta prevea garantías adecuadas, o

c)  el  tratamiento  sea  necesario  para  salvaguardar el interés vital del interesado  o  de  otra  persona,  en  el supuesto de que el interesado esté física o jurídicamente incapacitado para dar su consentimiento, o

d)  el  tratamiento sea efectuado en el curso de sus actividades legítimas y con las debidas garantías por una fundación, una asociación o cualquier otro organismo  sin  fin  de  lucro,  cuya  finalidad  sea  política, filosófica, religiosa o sindical, siempre que se refiera exclusivamente a sus miembros o a  las  personas  que  mantengan  contactos  regulares  con la fundación, la asociación  o  el  organismo  por razón de su finalidad y con tal de que los datos  no se comuniquen a terceros sin el consentimiento de los interesados, o

e)  el  tratamiento  se  refiera  a  datos  que  el  interesado  haya  hecho manifiestamente públicos o sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.

3.  El  apartado  1  no  se  aplicará cuando el tratamiento de datos resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia  sanitaria  o  tratamientos  médicos  o  la  gestión de servicios sanitarios,  siempre  que  dicho  tratamiento  de datos sea realizado por un profesional  sanitario  sujeto  al  secreto  profesional sea en virtud de la legislación  nacional,  o  de  las  normas  establecidas por las autoridades nacionales  competentes, o por otra persona sujeta asimismo a una obligación equivalente de secreto.

4.  Siempre  que  dispongan  las  garantías  adecuadas, los Estados miembros podrán,  por  motivos  de  interés  público  importantes,  establecer  otras excepciones,  además  de  las  previstas  en el apartado 2, bien mediante su legislación nacional, bien por decisión de la autoridad de control.

5.  El  tratamiento  de  datos  relativos a infracciones, condenas penales o medidas  de seguridad, sólo podrá efectuarse bajo el control de la autoridad pública o si hay previstas garantías específicas en el Derecho nacional, sin perjuicio  de  las  excepciones  que  podrá  establecer  el  Estado  miembro basándose  en  disposiciones  nacionales  que prevean garantías apropiadas y específicas.  Sin  embargo,  sólo  podrá  llevarse  un  registro completo de condenas penales bajo el control de los poderes públicos.

Los Estados miembros podrán establecer que el tratamiento de datos relativos a  sanciones administrativas o procesos civiles se realicen asimismo bajo el control de los poderes públicos.

6.  Las  excepciones  a  las disposiciones del apartado 1 que establecen los apartados 4 y 5 se notificarán a la Comisión.

7.  Los  Estados  miembros determinarán las condiciones en las que un número nacional  de  identificación  o  cualquier  otro  medio de identificación de carácter general podrá ser objeto de tratamiento.

Artículo 9. Tratamiento de datos personales y libertad de expresión

En  lo referente al tratamiento de datos personales con fines exclusivamente periodísticos  o  de  expresión  artística o literaria, los Estados miembros establecerán,  respecto  de  las  disposiciones  del  presente capítulo, del capítulo IV y del capítulo VI, exenciones y excepciones sólo en la medida en que  resulten  necesarias  para  conciliar el derecho a la intimidad con las normas que rigen la libertad de expresión.

SECCIÓN IV. INFORMACIÓN DEL INTERESADO

Artículo 10. Información en caso de obtención de datos recabados del propio interesado

Los  Estados  miembros  dispondrán  que  el responsable del tratamiento o su representante  deberán  comunicar a la persona de quien se recaben los datos que   le   conciernan,  por  lo  menos  la  información  que  se  enumera  a continuación, salvo si la persona ya hubiera sido informada de ello:

a)  la  identidad  del  responsable  del  tratamiento  y,  en su caso, de su representante;

b) los fines del tratamiento de que van a ser objeto los datos;

c) cualquier otra información tal como:

– los destinatarios o las categorías de destinatarios de los datos,

–  el  carácter  obligatorio  o  no  de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,

–  la  existencia  de derechos de acceso y rectificación de los datos que la conciernen,

en  la medida en que, habida cuenta de las circunstancias específicas en que se  obtengan  los  datos,  dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.

Artículo 11. Información cuando los datos no han sido recabados del propio interesado

1.  Cuando  los  datos  no  hayan sido recabados del interesado, los Estados miembros  dispondrán  que  el responsable del tratamiento o su representante deberán,  desde  el  momento  del registro de los datos o, en caso de que se piense  comunicar  datos  a  un  tercero,  a más tardar, en el momento de la primera  comunicación  de  datos,  comunicar  al  interesado por lo menos la información que se enumera a continuación, salvo si el interesado ya hubiera sido informado de ello:

a)  la  identidad  del  responsable  del  tratamiento  y,  en su caso, de su representante;

b) los fines del tratamiento de que van a ser objeto los datos;

c) cualquier otra información tal como:

– las categorías de los datos de que se trate,

– los destinatarios o las categorías de destinatarios de los datos,

–  la  existencia  de derechos de acceso y rectificación de los datos que la conciernen,

en  la medida en que, habida cuenta de las circunstancias específicas en que se  hayan  obtenido  los  datos,  dicha  información  suplementaria  resulte necesaria  para  garantizar  un  tratamiento  de  datos  leal  respecto  del interesado.

2.  Las  disposiciones del apartado 1 no se aplicarán, en particular para el tratamiento   con   fines   estadísticos  o  de  investigación  histórica  o científica,  cuando  la  información al interesado resulte imposible o exija esfuerzos  desproporcionados  o  el  registro o la comunicación a un tercero estén  expresamente prescritos por ley. En tales casos, los Estados miembros establecerán las garantías apropiadas.

SECCIÓN V. DERECHO DE ACCESO DEL INTERESADO A LOS DATOS

Artículo 12. Derecho de acceso

Los  Estados  miembros  garantizarán  a  todos los interesados el derecho de obtener del responsable del tratamiento:

a)  libremente,  sin  restricciones  y  con una periodicidad razonable y sin retrasos ni gastos excesivos:

–  la  confirmación de la existencia o inexistencia del tratamiento de datos que  le conciernen, así como información por lo menos de los fines de dichos tratamientos,  las categorías de datos a que se refieran y los destinatarios o las categorías de destinatarios a quienes se comuniquen dichos datos;

–  la  comunicación,  en  forma  inteligible,  de  los  datos  objeto de los tratamientos, así como toda la información disponible sobre el origen de los datos;

–  el  conocimiento de la lógica utilizada en los tratamientos automatizados de  los  datos  referidos  al  interesado,  al  menos  en  los  casos de las decisiones automatizadas a que se refiere el apartado 1 del artículo 15;

b) en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento  no  se  ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos;

c) la notificación a los terceros a quienes se hayan comunicado los datos de toda  rectificación,  supresión  o  bloqueo  efectuado de conformidad con la letra b), si no resulta imposible o supone un esfuerzo desproporcionado.

SECCIÓN VI. EXCEPCIONES Y LIMITACIONES

Artículo 13. Excepciones y limitaciones

1.  Los  Estados  miembros  podrán  adoptar  medidas legales para limitar el alcance  de  las  obligaciones y los derechos previstos en el apartado 1 del artículo  6,  en  el artículo 10, en el apartado 1 del artículo 11, y en los artículos 12 y 21 cuando tal limitación constituya una medida necesaria para la salvaguardia de:

a) la seguridad del Estado;

b) la defensa;

c) la seguridad pública;

d)  la  prevención,  la  investigación,  la  detección  y  la  represión  de infracciones  penales  o  de  las  infracciones  de  la  deontología  en las profesiones reglamentadas;

e) un interés económico y financiero importante de un Estado miembro o de la Unión Europea, incluidos los asuntos monetarios, presupuestarios y fiscales;

f) una función de control, de inspección o reglamentaria relacionada, aunque sólo  sea  ocasionalmente,  con  el ejercicio de la autoridad pública en los casos a que hacen referencia las letras c), d) y e);

g)  la  protección  del  interesado  o de los derechos y libertades de otras personas.

2.  Sin  perjuicio  de  las  garantías  legales apropiadas, que excluyen, en particular,  que  los  datos puedan ser utilizados en relación con medidas o decisiones  relativas  a personas concretas, los Estados miembros podrán, en los  casos en que manifiestamente no exista ningún riesgo de atentado contra la  intimidad  del  interesado,  limitar  mediante una disposición legal los derechos  contemplados  en el artículo 12 cuando los datos se vayan a tratar exclusivamente  con  fines de investigación científica o se guarden en forma de  archivos de carácter personal durante un período que no supere el tiempo necesario para la exclusiva finalidad de la elaboración de estadísticas.

SECCIÓN VII. DERECHO DE OPOSICIÓN DEL INTERESADO

Artículo 14. Derecho de oposición del interesado

Los Estados miembros reconocerán al interesado el derecho a:

a)  oponerse,  al  menos en los casos contemplados en las letras e) y f) del artículo  7,  en  cualquier  momento  y  por razones legítimas propias de su situación  particular,  a  que  los  datos  que le conciernan sean objeto de tratamiento,  salvo  cuando  la  legislación nacional disponga otra cosa. En caso  de oposición justificada, el tratamiento que efectúe el responsable no podrá referirse ya a esos datos;

b)  oponerse,  previa  petición y sin gastos, al tratamiento de los datos de carácter  personal  que  le conciernan respecto de los cuales el responsable prevea  un  tratamiento destinado a la prospección; o ser informado antes de que  los  datos se comuniquen por primera vez a terceros o se usen en nombre de  éstos  a  efectos  de prospección, y a que se le ofrezca expresamente el derecho de oponerse, sin gastos, a dicha comunicación o utilización.

Los  Estados miembros adoptarán todas las medidas necesarias para garantizar que  los  interesados conozcan la existencia del derecho a que se refiere el párrafo primero de la letra b).

Artículo 15. Decisiones individuales automatizadas

1.  Los  Estados  miembros  reconocerán a las personas el derecho a no verse sometidas  a una decisión con efectos jurídicos sobre ellas o que les afecte de   manera   significativa,  que  se  base  únicamente  en  un  tratamiento automatizado  de  datos  destinado  a  evaluar  determinados  aspectos de su personalidad,  como  su  rendimiento laboral, crédito, fiabilidad, conducta, etc.

2.  Los  Estados  miembros  permitirán, sin perjuicio de lo dispuesto en los demás  artículos  de  la  presente  Directiva,  que  una persona pueda verse sometida  a una de las decisiones contempladas en el apartado 1 cuando dicha decisión:

a)  se  haya  adoptado  en  el  marco  de  la  celebración o ejecución de un contrato,  siempre  que  la petición de celebración o ejecución del contrato presentada  por  el  interesado  se  haya  satisfecho  o que existan medidas apropiadas,  como  la  posibilidad  de  defender  su punto de vista, para la salvaguardia de su interés legítimo; o

b)  esté  autorizada  por  una  ley que establezca medidas que garanticen el interés legítimo del interesado.

SECCIÓN VIII. CONFIDENCIALIDAD Y SEGURIDAD DEL TRATAMIENTO

Artículo 16. Confidencialidad del tratamiento

Las  personas  que  actúen bajo la autoridad del responsable o del encargado del tratamiento, incluido este último, solo podrán tratar datos personales a los  que tengan acceso, cuando se lo encargue el responsable del tratamiento o salvo en virtud de un imperativo legal.

Artículo 17. Seguridad del tratamiento

1.  Los  Estados  miembros  establecerán  la  obligación del responsable del tratamiento  de  aplicar  las  medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o  ilícita,  la  pérdida accidental y contra la alteración, la difusión o el acceso  no  autorizados,  en  particular  cuando  el  tratamiento incluya la transmisión  de datos dentro de una red, y contra cualquier otro tratamiento ilícito de datos personales.

Dichas  medidas  deberán  garantizar,  habida  cuenta  de  los conocimientos técnicos  existentes  y  del  coste  de su aplicación, un nivel de seguridad apropiado  en  relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse.

2.  Los Estados miembros establecerán que el responsable del tratamiento, en caso  de  tratamiento  por  cuenta del mismo, deberá elegir un encargado del tratamiento  que  reúna garantías suficientes en relación con las medidas de seguridad   técnica   y  de  organización  de  los  tratamientos  que  deban efectuarse, y se asegure de que se cumplen dichas medidas.

3.  La  realización de tratamientos por encargo deberá estar regulada por un contrato  u  otro acto jurídico que vincule al encargado del tratamiento con el responsable del tratamiento, y que disponga, en particular:

–  que  el  encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento;

–  que  las  obligaciones del apartado 1, tal como las define la legislación del Estado miembro en el que esté establecido el encargado, incumben también a éste.

4.  A  efectos  de  conservación de la prueba, las partes del contrato o del acto  jurídico  relativas  a  la  protección  de  datos  y  a los requisitos relativos  a  las  medidas a que hace referencia el apartado 1 constarán por escrito o en otra forma equivalente.

SECCIÓN IX. NOTIFICACIÓN

Artículo 18. Obligación de notificación a la autoridad de control

1.  Los Estados miembros dispondrán que el responsable del tratamiento o, en su  caso,  su  representante,  efectúe  una  notificación  a la autoridad de control  contemplada en el artículo 28, con anterioridad a la realización de un  tratamiento  o  de  un  conjunto  de  tratamientos, total o parcialmente automatizados,  destinados  a  la  consecución  de  un fin o de varios fines conexos.

2. Los Estados miembros podrán disponer la simplificación o la omisión de la notificación, sólo en los siguientes casos y con las siguientes condiciones:

–  cuando,  para  las categorías de tratamientos que no puedan afectar a los derechos y libertades de los interesados habida cuenta de los datos a que se refiere  el  tratamiento,  los  Estados  miembros  precisen los fines de los tratamientos,  los  datos  o  categorías  de  datos tratados, la categoría o categorías   de   los   interesados,   los  destinatarios  o  categorías  de destinatarios a los que se comuniquen los datos y el período de conservación de los datos y/o

–  cuando  el  responsable  del  tratamiento designe, con arreglo al Derecho nacional  al  que  está  sujeto,  un  encargado  de  protección de los datos personales que tenga por cometido, en particular:

–  hacer  aplicar  en  el  ámbito  interno,  de  manera  independiente,  las disposiciones nacionales adoptadas en virtud de la presente Directiva,

–  llevar  un registro de los tratamientos efectuados por el responsable del tratamiento,  que  contenga  la  información  enumerada en el apartado 2 del artículo 21,

garantizando  así  que  el  tratamiento  de los datos no pueda ocasionar una merma de los derechos y libertades de los interesados.

3.  Los  Estados  miembros podrán disponer que no se aplique el apartado 1 a aquellos tratamientos cuya única finalidad sea la de llevar un registro que, en  virtud  de  disposiciones  legales  o  reglamentarias,  esté destinado a facilitar  información  al  público  y  estén  abiertos a la consulta por el público  en  general  o  por  toda  persona  que  pueda demostrar un interés legítimo.

4.  Los  Estados  miembros  podrán eximir de la obligación de notificación o disponer  una  simplificación de la misma respecto de los tratamientos a que se refiere la letra d) del apartado 2 del artículo 8.

5.   Los   Estados   miembros   podrán  disponer  que  los  tratamientos  no automatizados  de  datos  de  carácter  personal  o  algunos  de  ellos sean notificados eventualmente de una forma simplificada.

Artículo 19. Contenido de la notificación

1.  Los  Estados miembros determinarán la información que debe figurar en la notificación, que será como mínimo:

a)  el  nombre y la dirección del responsable del tratamiento y, en su caso, de su representante;

b) el o los objetivos del tratamiento;

c)  una  descripción  de  la  categoría o categorías de interesados y de los datos o categorías de datos a los que se refiere el tratamiento;

d)  los  destinatarios  o  categorías  de  destinatarios a los que se pueden comunicar los datos;

e) las transferencias de datos previstas a países terceros;

f)  una  descripción  general  que permita evaluar de modo preliminar si las medidas  adoptadas  en  aplicación  del  artículo 17 resultan adecuadas para garantizar la seguridad del tratamiento.

2.  Los  Estados  miembros  precisarán  los  procedimientos  por  los que se notificarán  a  la  autoridad de control las modificaciones que afecten a la información contemplada en el apartado 1.

Artículo 20. Controles previos

1.  Los  Estados  miembros  precisarán  los  tratamientos que puedan suponer riesgos  específicos  para  los  derechos  y libertades de los interesados y velarán por que sean examinados antes del comienzo del tratamiento.

2. Estas comprobaciones previas serán realizadas por la autoridad de control una  vez que haya recibido la notificación del responsable del tratamiento o por  el  encargado  de la protección de datos quien, en caso de duda, deberá consultar a la autoridad de control.

3.  Los  Estados miembros podrán también llevar a cabo dicha comprobación en el  marco de la elaboración de una norma aprobada por el Parlamento o basada en  la  misma norma, que defina el carácter del tratamiento y establezca las oportunas garantías.

Artículo 21. Publicidad de los tratamientos

1.  Los Estados miembros adoptarán las medidas necesarias para garantizar la publicidad de los tratamientos.

2.  Los  Estados  miembros establecerán que la autoridad de control lleve un registro de los tratamientos notificados con arreglo al artículo 18.

En el registro se harán constar, como mínimo, las informaciones a las que se refieren las letras a) a e) del apartado 1 del artículo 19.

El registro podrá ser consultado por cualquier persona.

3. Los Estados miembros dispondrán, en lo que respecta a los tratamientos no sometidos a notificación, que los responsables del tratamiento u otro órgano designado  por los Estados miembros comuniquen, en la forma adecuada, a toda persona  que  lo  solicite, al menos las informaciones a que se refieren las letras a) a e) del apartado 1 del artículo 19.

Los  Estados miembros podrán establecer que esta disposición no se aplique a los  tratamientos  cuyo  fin único sea llevar un registro, que, en virtud de disposiciones  legales  o  reglamentarias,  esté  concebido  para  facilitar información  al  público  y que esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo.

CAPITULO III. RECURSOS JUDICIALES, RESPONSABILIDAD Y SANCIONES

Artículo 22. Recursos

Sin   perjuicio  del  recurso  administrativo  que  pueda  interponerse,  en particular  ante  la  autoridad  de  control mencionada en el artículo 28, y antes  de  acudir a la autoridad judicial, los Estados miembros establecerán que toda persona disponga de un recurso judicial en caso de violación de los derechos  que le garanticen las disposiciones de Derecho nacional aplicables al tratamiento de que se trate.

Artículo 23. Responsabilidad

1.  Los  Estados miembros dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las   disposiciones  nacionales  adoptadas  en  aplicación  de  la  presente Directiva,  tenga  derecho  a  obtener  del  responsable  del tratamiento la reparación del perjuicio sufrido.

2.  El responsable del tratamiento podrá ser eximido parcial o totalmente de dicha  responsabilidad  si demuestra que no se le puede imputar el hecho que ha provocado el daño.

Artículo 24. Sanciones

Los  Estados  miembros  adoptarán  las  medidas adecuadas para garantizar la plena   aplicación   de   las  disposiciones  de  la  presente  Directiva  y determinarán,  en  particular,  las sanciones que deben aplicarse en caso de incumplimiento  de,  las disposiciones adoptadas en ejecución de la presente Directiva.

CAPITULO IV. TRANSFERENCIA DE DATOS PERSONALES A PAÍSES TERCEROS

Artículo 25. Principios

1. Los Estados miembros dispondrán que la transferencia a un país tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento   con   posterioridad   a  su  transferencia,  únicamente  pueda efectuarse  cuando,  sin  perjuicio del cumplimiento de las disposiciones de Derecho  nacional  adoptadas  con  arreglo  a  las demás disposiciones de la presente  Directiva,  el  país tercero de que se trate garantice un nivel de protección adecuado.

2.  El  carácter adecuado del nivel de protección que ofrece un país tercero se  evaluará  atendiendo  a  todas  las  circunstancias que concurran en una transferencia  o en una categoría de transferencias de datos; en particular, se  tomará  en  consideración  la naturaleza de los datos, la finalidad y la duración  del tratamiento o de los tratamientos previstos, el país de origen y  el país de destino final, las normas de Derecho, generales o sectoriales, vigentes  en  el  país  tercero  de  que  se  trate,  así  como  las  normas profesionales y las medidas de seguridad en vigor en dichos países.

3.  Los  Estados  miembros y la Comisión se informarán recíprocamente de los casos  en  que  consideren  que  un  tercer  país  no  garantiza un nivel de protección adecuado con arreglo al apartado 2.

4. Cuando la Comisión compruebe, con arreglo al procedimiento establecido en el  apartado  2 del artículo 31, que un tercer país no garantiza un nivel de protección  adecuado  con  arreglo  al apartado 2 del presente artículo, los Estado  miembros  adoptarán  las  medidas  necesarias para impedir cualquier transferencia de datos personales al tercer país de que se trate.

5.  La Comisión iniciará en el momento oportuno las negociaciones destinadas a  remediar  la  situación que se produzca cuando se compruebe este hecho en aplicación del apartado 4.

6.  La  Comisión  podrá  hacer  constar, de conformidad con el procedimiento previsto  en el apartado 2 del artículo 31, que un país tercero garantiza un nivel  de  protección adecuado de conformidad con el apartado 2 del presente artículo,  a  la  vista  de  su  legislación  interna  o  de sus compromisos internacionales,  suscritos  especialmente  al  término de las negociaciones mencionadas  en  el apartado 5, a efectos de protección de la vida privada o de las libertades o de los derechos fundamentales de las personas.

Los  Estados  miembros  adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.

Artículo 26. Excepciones

1.  No obstante lo dispuesto en el artículo 25 y salvo disposición contraria del Derecho nacional que regule los casos particulares, los Estados miembros dispondrán  que  pueda efectuarse una transferencia de datos personales a un país  tercero que no garantice un nivel de protección adecuado con arreglo a lo establecido en el apartado 2 del artículo 25, siempre y cuando:

a)   el   interesado  haya  dado  su  consentimiento  inequívocamente  a  la transferencia prevista, o

b)  la transferencia sea necesaria para la ejecución de un contrato entre el interesado  y  el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado, o

c)  la  transferencia  sea  necesaria  para la celebración o ejecución de un contrato  celebrado  o  por  celebrar  en  interés  del interesado, entre el responsable del tratamiento y un tercero, o

d)  La transferencia sea necesaria o legalmente exigida para la salvaguardia de  un  interés  público  importante,  o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial, o

e) la transferencia sea necesaria para la salvaguardia del interés vital del interesado, o

f)  la transferencia tenga lugar desde un registro público que, en virtud de disposiciones  legales  o  reglamentarias,  esté  concebido  para  facilitar información  al  público  y  esté  abierto  a  la consulta por el público en general  o  por  cualquier  persona que pueda demostrar un interés legítimo, siempre  que  se  cumplan,  en  cada  caso  particular,  las condiciones que establece la ley para la consulta.

2.  Sin  perjuicio  de  lo  dispuesto en el apartado 1, los Estados miembros podrán  autorizar  una  transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel de protección adecuado con  arreglo  al  apartado  2  del  artículo  25,  cuando el responsable del tratamiento  ofrezca  garantías  suficientes respecto de la protección de la vida  privada,  de  los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos; dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas.

3.  Los  Estados  miembros  informarán  a  la Comisión y a los demás Estados miembros  acerca  de las autorizaciones que concedan con arreglo al apartado 2.

En  el  supuesto  de  que  otro  Estado  miembro o la Comisión expresaron su oposición  y  la  justificaren  debidamente  por  motivos  derivados  de  la protección  de  la vida privada y de los derechos y libertades fundamentales de  las  personas, la Comisión adoptará las medidas adecuadas con arreglo al procedimiento establecido en el apartado 2 del artículo 31.

Los  Estados  miembros  adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.

4.  Cuando  la  Comisión  decida,  según  el procedimiento establecido en el apartado  2  del  artículo 31, que determinadas cláusulas contractuales tipo ofrecen las garantías suficientes establecidas en el apartado 2, los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.

CAPITULO V. CÓDIGOS DE CONDUCTA

Artículo 27 

1. Los Estados miembros y la Comisión alentarán la elaboración de códigos de conducta destinados a contribuir, en función de las particularidades de cada sector,  a  la correcta aplicación de las disposiciones nacionales adoptadas por los Estados miembros en aplicación de la presente Directiva.

2.  Los  Estados miembros establecerán que las asociaciones profesionales, y las  demás organizaciones representantes de otras categorías de responsables de  tratamientos,  que hayan elaborado proyectos de códigos nacionales o que tengan  la  intención de modificar o prorrogar códigos nacionales existentes puedan someterlos a examen de las autoridades nacionales.

Los  Estados  miembros  establecerán  que  dicha autoridad vele, entre otras cosas,  por  la  conformidad  de los proyectos que le sean sometidos con las disposiciones  nacionales  adoptadas en aplicación de la presente Directiva. Si  lo considera conveniente, la autoridad recogerá las observaciones de los interesados o de sus representantes.

3.  Los  proyectos  de  códigos  comunitarios, así como las modificaciones o prórrogas  de códigos comunitarios existentes, podrán ser sometidos a examen del  grupo  contemplado  en el artículo 29. Este se pronunciará, entre otras cosas,  sobre  la conformidad de los proyectos que le sean sometidos con las disposiciones  nacionales  adoptadas en aplicación de la presente Directiva. Si  lo  considera  conveniente,  el  Grupo recogerá las observaciones de los interesados  o  de  sus  representantes.  La  Comisión  podrá  efectuar  una publicidad  adecuada de los códigos que hayan recibido un dictamen favorable del grupo.

CAPITULO VI. AUTORIDAD  DE  CONTROL  Y  GRUPO  DE  PROTECCIÓN  DE  LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES

Artículo 28. Autoridad de control

1.  Los  Estados  miembros  dispondrán que una o más autoridades públicas se encarguen  de  vigilar  la  aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.

Estas  autoridades  ejercerán las funciones que les son atribuidas con total independencia.

2.  Los  Estados  miembros  dispondrán  que se consulte a las autoridades de control  en  el  momento  de  la elaboración de las medidas reglamentarias o administrativas  relativas  a  la protección de los derechos y libertades de las  personas  en  lo  que  se  refiere  al tratamiento de datos de carácter personal.

3. La autoridad de control dispondrá, en particular, de:

–  poderes de investigación, como el derecho de acceder a los datos que sean objeto  de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de control;

–  poderes  efectivos  de  intervención,  como,  por ejemplo, el de formular dictámenes antes de realizar los tratamientos, con arreglo al artículo 20, y garantizar una publicación adecuada de dichos dictámenes, o el de ordenar el bloqueo,  la  supresión  o  la  destrucción  de  datos,  o  incluso prohibir provisional   o   definitivamente  un  tratamiento,  o  el  de  dirigir  una advertencia o amonestación al responsable del tratamiento o el de someter la cuestión a los parlamentos u otras instituciones políticas nacionales;

–  capacidad procesal en caso de infracciones a las disposiciones nacionales adoptadas  en  aplicación  de  la  presente  Directiva  o  de  poner  dichas infracciones en conocimiento de la autoridad judicial.

Las  decisiones  de  la  autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional.

4.  Toda  autoridad  de  control  entenderá de las solicitudes que cualquier persona,  o  cualquier asociación que la represente, le presente en relación con  la  protección de sus derechos y libertades respecto del tratamiento de datos personales. Esa persona será informada del curso dado a su solicitud.

Toda  autoridad  de  control entenderá, en particular, de las solicitudes de verificación  de  la  licitud  de  un  tratamiento que le presente cualquier persona  cuando  sean  de aplicación las disposiciones nacionales tomadas en virtud  del  artículo  13  de  la  presente  Directiva.  Dicha  persona será informada en todos los casos de que ha tenido lugar una verificación.

5.  Toda autoridad de control presentará periódicamente un informe sobre sus actividades. Dicho informe será publicado.

6.  Toda  autoridad  de  control  será  competente,  sean  cuales  sean  las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artículo. Dicha autoridad podrá  ser  instada  a  ejercer sus poderes por una autoridad de otro Estado miembro.

Las  autoridades  de control cooperarán entre sí en la medida necesaria para el  cumplimiento  de sus funciones, en particular mediante el intercambio de información que estimen útil.

7.  Los  Estados  miembros  dispondrán  que  los  miembros  y agentes de las autoridades  de  control estarán sujetos, incluso después de haber cesado en sus   funciones,   al  deber  de  secreto  profesional  sobre  informaciones confidenciales a las que hayan tenido acceso.

Artículo 29. Grupo  de  protección  de  las personas en lo que respecta al tratamiento de datos personales.

1.  Se  crea  un  grupo  de protección de las personas en lo que respecta al tratamiento de datos personales, en lo sucesivo denominado “Grupo”.

Dicho Grupo tendrá carácter consultivo e independiente.

2.  El  Grupo estará compuesto por un representante de la autoridad o de las autoridades   de   control  designadas  por  cada  Estado  miembro,  por  un representante  de la autoridad o autoridades creadas por las instituciones y organismos comunitarios, y por un representante de la Comisión.

Cada  miembro  del  Grupo  será  designado  por  la institución, autoridad o autoridades a que represente. Cuando un Estado miembro haya designado varias autoridades  de  control, éstas nombrarán a un representante común. Lo mismo harán   las   autoridades   creadas   por  las  instituciones  y  organismos comunitarios.

3.  El  Grupo tomará sus decisiones por mayoría simple de los representantes de las autoridades de control.

4.  El  Grupo  elegirá a su presidente. El mandato del presidente tendrá una duración de dos años. El mandato será renovable.

5. La Comisión desempeñará las funciones de secretaría del Grupo.

6. El Grupo aprobará su reglamento interno.

7.  El  Grupo  examinará  los  asuntos  incluidos en el orden del día por su presidente,  bien  por  iniciativa  de  éste,  bien  previa  solicitud de un representante  de  las  autoridades  de  control,  bien  a  solicitud  de la Comisión.

Artículo 30 

1. El Grupo tendrá por cometido:

a)  estudiar  toda  cuestión  relativa  a la aplicación de las disposiciones nacionales  tomadas para la aplicación de la presente Directiva con vistas a contribuir a su aplicación homogénea;

b)  emitir  un dictamen destinado a la Comisión sobre el nivel de protección existente dentro de la Comunidad y en los países terceros;

c)  asesorar  a  la  Comisión sobre cualquier proyecto de modificación de la presente  Directiva, cualquier proyecto de medidas adicionales o específicas que  deban  adoptarse  para  salvaguardar  los  derechos y libertades de las personas  físicas en lo que respecta al tratamiento de datos personales, así como  sobre  cualquier  otro  proyecto  de medidas comunitarias que afecte a dichos derechos y libertades;

d)  emitir  un  dictamen  sobre  los códigos de conducta elaborados a escala comunitaria.

2. Si el Grupo comprobare la existencia de divergencias entre la legislación y la práctica de los Estados miembros que pudieron afectar a la equivalencia de  la  protección  de  las  personas en lo que se refiere al tratamiento de datos personales en la Comunidad, informará de ello a la Comisión.

3.  El  Grupo  podrá,  por iniciativa propia, formular recomendaciones sobre cualquier  asunto  relacionado  con  la protección de las personas en lo que respecta al tratamiento de datos personales en la Comunidad.

4.  Los dictámenes y recomendaciones del Grupo se transmitirán a la Comisión y al Comité contemplado en el artículo 31.

5. La Comisión informará al Grupo del curso que haya dado a los dictámenes y recomendaciones.  A  tal  efecto, elaborará un informe, que será transmitido asimismo al Parlamento Europeo y al Consejo. Dicho informe será publicado.

6.  El  Grupo elaborará un informe anual sobre la situación de la protección de  las  personas  físicas  en  lo  que  respecta  al  tratamiento  de datos personales  en  la  Comunidad  y en los países terceros, y lo transmitirá al Parlamento  Europeo,  al  Consejo  y  a  la  Comisión.  Dicho  informe  será publicado.

CAPITULO VII. MEDIDAS DE EJECUCIÓN COMUNITARIAS

Artículo 31. El Comité

1. La Comisión estará asistida por un Comité compuesto por representantes de los Estados miembros y presidido por el representante de la Comisión.

2.  El  representante de la Comisión presentará al Comité un proyecto de las medidas  que  se hayan de adoptar. El Comité emitirá su dictamen sobre dicho proyecto  en  un  plazo  que el presidente podrá determinar en función de la urgencia de la cuestión de que se trate.

El  dictamen  se  emitirá  según  la  mayoría  prevista en el apartado 2 del artículo  148  del  Tratado.  Los votos de los representantes de los Estados miembros  en  el  seno  del  Comité se ponderarán del modo establecido en el artículo anteriormente citado. El presidente no tomará parte en la votación.

La  Comisión  adoptará  las  medidas  que serán de aplicación inmediata. Sin embargo,  si  dichas  medidas  no  fueren  conformes al dictamen del Comité, habrán  de  ser  comunicadas  sin demora por la Comisión al Consejo. En este caso:

–  la  Comisión aplazará la aplicación de las medidas que ha decidido por un período de tres meses a partir de la fecha de dicha comunicación;

–  el  Consejo, actuando por mayoría cualificada, podrá adoptar una decisión diferente dentro del plazo de tiempo mencionado en el primer guión.

DISPOSICIONES FINALES

Artículo 32  

1.  Los Estados miembros adoptarán las disposiciones legales, reglamentarias y  administrativas  necesarias  para dar cumplimiento a lo establecido en la presente  Directiva,  a  más  tardar  al  final de un período de tres años a partir de su adopción.

Cuando  los  Estados  miembros  adopten  dichas  disposiciones,  éstas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.

2.  Los  Estados miembros velarán por que todo tratamiento ya iniciado en la fecha de entrada en vigor de las disposiciones de Derecho nacional adoptadas en  virtud  de la presente Directiva se ajuste a dichas disposiciones dentro de un plazo de tres años a partir de dicha fecha.

No  obstante lo dispuesto en el párrafo primero, los Estados miembros podrán establecer  que  el  tratamiento  de datos que ya se encuentren incluidos en ficheros  manuales  en  la  fecha  de  entrada en vigor de las disposiciones nacionales  adoptadas en aplicación de la presente Directiva, deba ajustarse a  lo  dispuesto en los artículos 6, 7 y 8 en un plazo de doce años a partir de  la  adopción de la misma. No obstante, los Estados miembros otorgarán al interesado, previa solicitud y, en particular, en el ejercicio de su derecho de  acceso,  el  derecho a que se rectifiquen, supriman o bloqueen los datos incompletos,  inexactos  o  que hayan sido conservados de forma incompatible con los fines legítimos perseguidos por el responsable del tratamiento.

3.  No  obstante  lo dispuesto en el apartado 2, los Estados miembros podrán disponer,  con sujeción a las garantías adecuadas, que los datos conservados únicamente  a  efectos  de  investigación  histórica no deban ajustarse a lo dispuesto en los artículos 6, 7 y 8 de la presente Directiva.

4.  Los  Estados  miembros  comunicarán  a  la  Comisión  el  texto  de  las disposiciones  de  Derecho  interno que adopten en el ámbito regulado por la presente Directiva.

Artículo 33 

La  Comisión  presentará al Consejo y al Parlamento Europeo periódicamente y por  primera vez en un plazo de tres años a partir de la fecha mencionada en el  apartado 1 del artículo 32 un informe sobre la aplicación de la presente Directiva,   acompañado,   en  su  caso,  de  las  oportunas  propuestas  de modificación. Dicho informe será publicado.

La Comisión estudiará, en particular, la aplicación de la presente Directiva al  tratamiento  de  datos  que  consistan en sonidos e imágenes relativos a personas físicas y presentará las propuestas pertinentes que puedan resultar necesarias en función de los avances de la tecnología de la información, y a la luz de los trabajos de la sociedad de la información.

Artículo 34 

Los destinatarios de la presente Directiva serán los Estados miembros.

Hecho en Luxemburgo, el 24 de octubre de 1995.

Por el Parlamento Europeo                                   Por el Consejo

El Presidente                                                    El Presidente

K. HANSCH                                                 L. ATIENZA SERNA

29Oct/92

LORTAD

LORTAD
Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal. (BOE. 262 del 31 octubre 1992)

Exposición de motivos

1. La Constitución Española, en su artículo 18.4, emplaza al legislador a limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos. La aún reciente aprobación de nuestra Constitución y, por tanto, su moderno carácter, le permitió expresamente la articulación de garantías contra la posible utilización torticera de ese fenómeno de la contemporaneidad que es la informática.

El progresivo desarrollo de las técnicas de recolección y almacenamiento de datos y de acceso a los mismos ha expuesto a la privacidad, en efecto, a una amenaza potencial antes desconocida. Nótese que se habla de la privacidad y no de la intimidad: Aquélla es más amplia que ésta, pues en tanto la intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona -el domicilio donde realiza su vida cotidiana, las comunicaciones en las que expresa sus sentimientos, por ejemplo-, la privacidad constituye un conjunto, más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado. Y si la intimidad, en sentido estricto, está suficientemente protegida por las previsiones de los tres primeros párrafos del artículo 18 de la Constitución y por las leyes que los desarrollan, la privacidad puede resultar menoscabada por la utilización de las tecnologías informáticas de tan reciente desarrollo.

Ello es así porque, hasta el presente, las fronteras de la privacidad estaban defendidas por el tiempo y el espacio. El primero procuraba, con su transcurso, que se evanescieran los recuerdos de las actividades ajenas, impidiendo, así, la configuración de una historia lineal e ininterrumpida de la persona; el segundo, con la distancia que imponía, hasta hace poco difícilmente superable, impedía que tuviésemos conocimiento de los hechos que, protagonizados por los demás, hubieran tenido lugar lejos de donde nos hallábamos. El tiempo y el espacio operaban, así, como salvaguarda de la privacidad de la persona.

Uno y otro límite han desaparecido hoy: Las modernas técnicas de comunicación permiten salvar sin dificultades el espacio, y la informática posibilita almacenar todos los datos que se obtienen a través de las comunicaciones y acceder a ellos en apenas segundos, por distante que fuera el lugar donde transcurrieron los hechos, o remotos que fueran éstos. Los más diversos -datos sobre la infancia, sobre la vida académica, profesional o laboral, sobre los hábitos de vida y consumo, sobre el uso del denominado “dinero plástico”, sobre las relaciones personales o, incluso, sobre las creencias religiosas e ideologías, por poner sólo algunos ejemplos- relativos a las personas podrían ser, así, compilados y obtenidos sin dificultar. Ello permitiría a quien dispusiese de ellos acceder a un conocimiento cabal de actitudes, hechos o pautas de comportamiento que, sin duda, pertenecen a la esfera privada de las personas; a aquélla a la que sólo deben tener acceso el individuo y, quizás, quienes le son más próximos, o aquellos a los que él autorice. Aún más: El conocimiento ordenado de esos datos puede dibujar un determinado perfil de la persona, o configurar una determinada reputación o fama que es, en definitiva, expresión del honor; y este perfil, sin duda, puede resultar luego valorado, favorable o desfavorablemente, para las más diversas actividades públicas o privadas, como pueden ser la obtención de un empleo, la concesión de un préstamo o la admisión en determinados colectivos.

Se hace preciso, pues, delimitar una nueva frontera de la intimidad y del honor, una frontera que, sustituyendo los límites antes definidos por el tiempo y el espacio, los proteja frente a la utilización mecanizada, ordenada y discriminada de los datos a ellos referentes; una frontera, en suma, que garantice que un elemento objetivamente provechoso para la Humanidad no redunde en perjuicio para las personas. La fijación de esa nueva frontera es el objetivo de la previsión contenida en el artículo 18.4 de la Constitución, y al cumplimiento de ese objetivo responde la presente Ley.

2.  Partiendo de que su finalidad es hacer frente a los riesgos que para los derechos de la personalidad puede suponer el acopio y tratamiento de datos por medios informáticos, la Ley se nuclea en torno a los que convencionalmente se denominan “ficheros de datos”: Es la existencia de estos ficheros y la utilización que de ellos podría hacerse la que justifica la necesidad de la nueva frontera de la intimidad y del honor.

A tal efecto, la Ley introduce el concepto de tratamiento de datos, concibiendo los ficheros desde una perspectiva dinámica; dicho en otros términos, no los entiende sólo como un mero depósito de datos, sino también, y sobre todo, como una globalidad de procesos o aplicaciones informáticas que se llevan a cabo con los datos almacenados y que son susceptibles, si llegasen a conectarse entre sí, de configurar el perfil personal al que antes se hizo referencia.

La Ley está animada por la idea de implantar mecanismos cautelares que prevengan las violaciones de la privacidad que pudieran resultar del tratamiento de la información. A tal efecto se estructura en una parte general y otra especial.

La primera atiende a recoger los principios en los que ha cristalizado una opinio iuris, generada a lo largo de dos décadas, y define derechos y garantías encaminados a asegurar la observancia de tales principios generales. Alimentan esta parte general, pues, preceptos delimitadores del ámbito de aplicación de la Ley, principios reguladores de la recogida, registro y uso de datos personales y, sobre todo, garantías de la persona.

El ámbito de aplicación se define por exclusión, quedando fuera de él, por ejemplo, los datos anónimos, que constituyen información de dominio público o recogen información, con la finalidad, precisamente, de darla a conocer al público en general -como pueden ser los registros de la propiedad o mercantiles-, así como, por último, los de uso estrictamente personal. De otro lado, parece conveniente la permanencia de las regulaciones especiales que contienen ya suficientes normas de protección y que se refieren a ámbitos que revisten tal singularidad en cuanto a sus funciones y sus mecanismos de puesta al día y rectificación que aconsejan el mantenimiento de su régimen específico. Así ocurre, por ejemplo, con las regulaciones de los ficheros electorales, del Registro Civil o del Registro Central de Penados y Rebeldes; así acontece, también, con los ficheros regulados por la Ley 12/1989, de 9 de mayo , sobre función estadística pública, si bien que, en este último caso, con sujeción a la Agencia de Protección de Datos. En fin, quedan también fuera del ámbito de la norma aquellos datos que, en virtud de intereses público prevalentes, no deben estar sometidos a su régimen cautelar.

Los principios generales, por su parte, definen las pautas a las que debe atenerse la recogida de datos de carácter personal, pautas encaminadas a garantizar tanto la veracidad de la información contenida en los datos almacenados cuanto la congruencia y la racionalidad de la utilización de los datos. Este principio, verdaderamente cardinal, de la congruencia y la racionalidad, garantiza que los datos no puedan ser usados sino cuando lo justifique la finalidad para la que han sido recabados; su observancia es, por ello, capital para evitar la difusión incontrolada de la información que, siguiendo el mandado constitucional, se pretende limitar.

Por su parte, el principio de consentimiento, o de autodeterminación, otorga a la persona la posibilidad de determinar el nivel de protección de los datos a ella referentes. Su base está constituida por la exigencia del consentimiento consciente e informado del afectado para que la recogida de datos sea lícita; sus contornos, por otro lado, se refuerzan singularmente en los denominados “datos sensibles”, como pueden ser, de una parte, la ideología o creencias religiosas -cuya privacidad está expresamente garantizada por la Constitución en su artículo 16.2- y, de otra parte, la raza, la salud y la vida sexual. La protección reforzada de estos datos viene determinada porque los primeros de entre los datos mencionados sólo serán disponibles con el consentimiento expreso y por escrito del afectado, y los segundos sólo serán susceptibles de recopilación mediando dicho consentimiento o una habilitación legal expresa, habilitación que, según exigencia de la propia Ley Orgánica, ha de fundarse en razones de interés general; en todo caso, se establece la prohibición de los ficheros creados con la exclusiva finalidad de almacenar datos personales que expresen las mencionadas características. En este punto, y de acuerdo con lo dispuesto en el artículo 10 de la Constitución, se atienden las exigencias y previsiones que para estos datos se contienen en el Convenio Europeo para la protección de las personas con respecto al tratamiento automatizado de datos con carácter personal, de 1981, ratificado por España.

Para la adecuada configuración, que esta Ley se propone, de la nueva garantía de la intimidad y del honor, resulta esencial la correcta regulación de la cesión de los datos almacenados. Es, en efecto, el cruce de los datos almacenados en diversas instancias o ficheros el que puede arrojar el repetidamente aludido perfil personal, cuya obtención transgredería los límites de la privacidad. Para prevenir estos perturbadores efectos, la Ley completa el principio del consentimiento, exigiendo que, al procederse la recogida de los datos, el afectado sea debidamente informado del uso que se les puede dar, al objeto de que el consentimiento se preste con conocimiento cabal de su exacto alcance. Sólo las previsiones del Convenio Europeo para la protección de los Derechos Fundamentales de la Persona -artículo 8.2- y del Convenio 108 del Consejo de Europa           -artículo 9.2-, que se fundamentan en exigencias lógicas en toda sociedad democrática, constituyen excepciones a esta regla.

3. Las garantías de la persona son los nutrientes nucleares de la parte general, y se configuran jurídicamente como derechos subjetivos encaminados a hacer operativos los principios genéricos. Son, en efecto, los derechos de autodeterminación, de amparo, de rectificación y de cancelación los que otorgan virtualidad normativa y eficacia jurídica a los principios consagrados en la parte general, principios que, sin los derechos subjetivos ahora aludidos, no rebasarían un contenido meramente programático.

En concreto, los derechos de acceso a los datos, de rectificación y de cancelación, se constituyen como piezas centrales del sistema cautelar o preventivo instaurado por la Ley. El primero de ellos ha cobrado en nuestro país, incluso, plasmación constitucional en lo que se refiere a los datos que obran en poder de las Administraciones Públicas (artículo 105.b). En consonancia con ello queda recogido en la Ley en términos rotundos, no previéndose más excepciones que las derivadas de la puesta en peligro de bienes jurídicos en lo relativo al acceso a los datos policiales y a los precisos para asegurar el cumplimiento de las obligaciones tributarias en lo referente a los datos de este carácter, excepciones ambas que pueden entenderse expresamente recogidas en el propio precepto constitucional antes citado, así como en el Convenio Europeo para la protección de los Derechos Fundamentales.

4. Para la articulación de los extremos concretos que han de regir los ficheros de datos, la parte especial de la Ley comienza distinguiendo, en su Título Cuarto, entre los distintos tipos de ficheros, según sea su titularidad pública o privada. Con la pretensión de evitar una perniciosa burocratización, la Ley ha desechado el establecimiento de supuestos como la autorización previa o la inscripción constitutiva en un registro. Simultáneamente, ha establecido regímenes diferenciados para los ficheros en razón de su titularidad, toda vez que, con toda evidencia, resulta más problemático el control de los de titularidad privada que el de aquellos de titularidad pública. En efecto, en lo relativo a estos últimos, no basta la mera voluntad del responsable del fichero sino que es precisa norma habilitante, naturalmente pública y sometida al control jurisdiccional, para crearlos y explotarlos, siendo en estos supuestos el informe previo del órgano de tutela el cauce idóneo para controlar la adecuación de la explotación a las exigencias legales y recomendar, en su caso, las medidas pertinentes.

Otras disposiciones de la parte especial que procede destacar son las atinentes a la transmisión internacional de los datos. En este punto, la Ley traspone la norma del artículo 12 del Convenio 108 del Consejo de Europa, apuntando así una solución para lo que ha dado en llamarse flujo transfronterizo de datos. La protección de la integridad de la información personal se concilia, de esta suerte, con el libre flujo de los datos, que constituye una auténtica necesidad de la vida actual de la que las transferencias bancarias, las reservas de pasajes aéreos o el auxilio judicial internacional pueden ser simples botones de muestra. Se ha optado por exigir que el país de destino cuente en su ordenamiento con un sistema de protección equivalente al español, si bien permitiendo la autorización de la Agencia cuando tal sistema no exista pero se ofrezcan garantías suficientes. Con ello no sólo se cumple con una exigencia lógica, la de evitar un fallo que pueda producirse en el sistema de protección a través del flujo a países que no cuentan con garantías adecuadas, sino también con las previsiones de instrumentos internacionales como los Acuerdos de Schengen o las futuras normas comunitarias.

5. Para asegurar la máxima eficacia de sus disposiciones, la Ley encomienda el control de su aplicación a un órgano independiente, al que atribuye el estatuto de Ente público en los términos, del artículo 6.5 de la Ley General Presupuestaria. A tal efecto la Ley configura un órgano especializado, denominado Agencia de Protección de Datos, a cuyo frente sitúa un Director.

La Agencia se caracteriza por la absoluta independencia de su Director en el ejercicio de sus funciones, independencia que trae causa, en primer lugar, de un expreso imperativo legal, pero que se garantiza, en todo caso, mediante el establecimiento de un mandato fijo que sólo puede ser acortado por un numerus clausus de causas de cese.

La Agencia dispondrá, además, de un órgano de apoyo definido por los caracteres de colegiación y representatividad, en el que obtendrán presencia las Cámaras que representan a la soberanía nacional, las Administraciones Públicas en cuanto titulares de ficheros objeto de la presente Ley, el sector privado, las organizaciones de usuarios y consumidores y otras personas relacionadas con las diversas funciones que cumplen los archivos informatizados.

6. El inevitable desfase que las normas de derecho positivo ofrecen respecto de las transformaciones sociales es, si cabe, más acusado en este terreno, cuya evolución tecnológica es especialmente, dinámica. Ello hace aconsejable, a la hora de normar estos campos, acudir a mecanismos jurídicos dotados de menor nivel de vinculación, susceptibles de una elaboración o modificación más rápida de lo habitual y caracterizados por que es la voluntaria aceptación de sus destinatarios la que les otorga eficacia normativa. En esta línea la Ley recoge normas de autorregulación, compatibles con las recomendaciones de la Agencia, que evitan los inconvenientes derivados de la especial rigidez de la Ley Orgánica que, por su propia naturaleza, es inidónea para un acentuado casuismo. La propia experiencia de lo ocurrido con el Convenio del Consejo de Europa, que ha tenido que ser objeto de múltiples modificaciones al socaire de las distintas innovaciones tecnológicas, de las sucesivas y diferentes aplicaciones -estadística, Seguridad Social, relaciones de empleo, datos policiales, publicidad directa o tarjetas de crédito, entre otras- o de la ampliación de los campos de utilización -servicio telefónico o correo electrónico- aconseja recurrir a las citadas normas de autorregulación. De ahí que la Ley acuda a ellas para aplicar las previsiones legales a los distintos sectores de actividad. Tales normas serán elaboradas por iniciativa de las asociaciones y organizaciones pertinentes y serán aprobadas, sin valor reglamentario, por la Agencia, siendo precisamente la iniciativa y participación de las entidades afectadas la garantía de la virtualidad de las normas.

7. La Ley no consagra nuevos tipos delictivos, ni define supuestos de responsabilidad penal para la eventualidad de su incumplimiento. Ello obedece a que se entiende que la sede lógica para tales menesteres no es esta Ley, sino sólo el Código Penal.

Sí se atribuye, sin embargo, a la Administración la potestad sancionadora que es lógico correlato de su función de inspección del uso de los ficheros, similar a las demás inspecciones administrativas, y que se configura de distinta forma según se proyecte sobre la utilización indebida de los ficheros públicos, en cuyo caso procederá la oportuna responsabilidad disciplinaria, o sobre los privados, para cuyo supuesto se prevén sanciones pecuniarias.

De acuerdo con la práctica usual, la Ley se limita a tipificar, de conformidad con lo requerido por la jurisprudencia constitucional y ordinaria, unos supuestos genéricos de responsabilidad administrativa, recogiendo una gradación de infracciones que sigue la habitual distinción entre leves, graves y muy graves, y que toma como criterio básico el de los bienes jurídicos emanados. Las sanciones, a su vez, difieren según que los ficheros indebidamente utilizados sean públicos o privados: en el primero caso, procederá la responsabilidad disciplinaria, sin perjuicio de la intervención del Defensor del Pueblo; para el segundo, se prevén sanciones pecuniarias; en todo caso, se articula la posibilidad en los supuestos, constitutivos de infracción muy grave, de cesión ilícita de datos o de cualquier otro atentado contra los derechos de los afectados que revista gravedad, de inmovilizar los ficheros.

8. Finalmente, la Ley estipula un período transitorio que se justifica por la necesidad de ajustar la utilización de los ficheros existentes a las disposiciones legales.

Pasado este período transitorio, y una vez en vigor la Ley, podrá muy bien decirse, una vez más, que el desarrollo legislativo de un precepto constitucional se traduce en una protección reforzada de los derechos fundamentales del ciudadano. En este caso, al desarrollar legislativamente el mandato constitucional de limitar el uso de la informática, se está estableciendo un nuevo y más consistente derecho a la privacidad de las personas.

TITULO I. DISPOSICIONES GENERALES

 Artículo 1. Objeto.

La presente Ley Orgánica, en desarrollo de lo previsto en el apartado 4 del artículo 18 de la Constitución, tiene por objeto limitar el uso de la informática y otras técnicas y medios de tratamiento automatizado de los datos de carácter personal para garantizar el honor, la intimidad personal y familiar de las personas físicas y el pleno ejercicio de sus derechos.

 Artículo 2. Ámbito de aplicación.

1. La presente Ley será de aplicación a los datos de carácter personal que figuren en ficheros automatizados de los sectores público y privado y a toda modalidad de uso posterior, incluso no automatizado, de datos de carácter personal registrados en soporte físico susceptible de tratamiento automatizado.

2. El régimen de protección de los datos de carácter personal que se establece en la presente Ley no será de aplicación:

a) A los ficheros automatizados de titularidad pública cuyo objeto, legalmente establecido, sea el almacenamiento de datos para su publicidad con carácter general.

b) A los ficheros mantenidos por personas físicas con fines exclusivamente personales.

c) A los ficheros de información tecnológica o comercial que reproduzcan datos ya publicados en boletines, diarios o repertorios oficiales.

d) A los ficheros de informática jurídica accesibles al público en la medida en que se limiten a reproducir disposiciones o resoluciones judiciales publicadas en periódicos o repertorios oficiales.

e) A los ficheros mantenidos por los partidos políticos, sindicatos e iglesias, confesiones y comunidades religiosas en cuanto los datos se refieran a sus asociados o miembros y ex miembros, sin perjuicio de la cesión de los datos que queda sometida a lo dispuesto en el artículo 11 de esta Ley, salvo que resultara de aplicación el artículo 7 por tratarse de los datos personales en él contenidos.

3. Se regirán por sus disposiciones específicas:

a) Los ficheros regulados por la legislación de régimen electoral.

b) Los sometidos a la normativa sobre protección de materias clasificadas.

c) Los derivados del Registro Civil y del Registro Central de Penados y Rebeldes.

d) Los que sirvan a fines exclusivamente estadísticos y estén amparados por la Ley 12/1989, de 9 de mayo, de la función estadística pública, sin perjuicio de lo dispuesto en el artículo 36.

e) Los ficheros automatizados cuyo objeto sea el almacenamiento de los datos contenidos en los informes personales regulados en el artículo 68 de la Ley 17/1989, de 19 de julio. Reguladora del Régimen del Personal Militar Profesional.

 Artículo 3. Definiciones.

A los efectos de la presente Ley se entenderá por:

a) Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables.

b) Fichero automatizado: Todo conjunto organizado de datos de carácter personal que sean objeto de un tratamiento automatizado, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

c) Tratamiento de datos: Operaciones y procedimientos técnicos, de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

d) Responsable del fichero: Persona física, jurídica de naturaleza pública o privada y órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento.

e) Afectado: Persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.

f) Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona determinada o determinable.

TITULO II. PRINCIPIOS DE LA PROTECCIÓN DE DATOS

 Artículo 4. Calidad de los datos.

1. Sólo se podrán recoger datos de carácter personal para su tratamiento automatizado, así como someterlos a dicho tratamiento, cuando tales datos sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades legítimas para las que se hayan obtenido.

En su clasificación sólo podrán utilizarse criterios que no se presten a prácticas ilícitas.

2. Los datos de carácter personal objeto de tratamiento automatizado no podrán usarse para finalidades distintas de aquellas para las que los datos hubieran sido recogidos.

3. Dichos datos serán exactos y puestos al día de forma que respondan con veracidad a la situación real del afectado.

4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 15.

5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados y registrados.

No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos sus valores históricos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.

6. Serán almacenados de forma que permitan el ejercicio del derecho de acceso por parte del afectado.

7. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.

 Artículo 5. Derecho de información en la recogida de datos.

1. Los afectados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero automatizado de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación y cancelación.

e) De la identidad y dirección del responsable del fichero.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

3. No será necesaria la información a que se refiere el apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

 Artículo 6. Consentimiento del afectado.

1. El tratamiento automatizado de los datos de carácter personal requerirá el consentimiento del afectado, salvo que la Ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal se recojan de fuentes accesibles al público, cuando se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias, ni cuando se refieran a personas vinculadas por una relación negocial, una relación laboral, una relación administrativa o un contrato y sean necesarios para el mantenimiento de las relaciones o para el cumplimiento del contrato.

3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuya efectos retroactivos.

 Artículo 7. Datos especialmente protegidos.

1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.

Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.

2. Sólo con consentimiento expreso y por escrito del afectado podrán ser objeto de un tratamiento automatizado los datos de carácter personal que revelen la ideología, religión y creencias.

3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados automatizadamente y cedidos cuando por razones de interés general así lo disponga una Ley o el afectado consienta expresamente.

4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, religión, creencias, origen racial o vida sexual.

5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros automatizados de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras.

 Artículo 8. Datos relativos a la salud.

Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento automatizado de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en los artículos 8, 10, 23 y 61 de la Ley 14/1986, de 25 de abril , General de Sanidad; 85.5, 96 y 98 de la Ley 25/1990, de 20 de diciembre , del Medicamento; 2, 3 y 4 de la Ley Orgánica 3/1986, de 14 de abril , de medidas especiales en materia de Salud Pública, y demás Leyes sanitarias.

 Artículo 9. Seguridad de los datos.

1. El responsable del fichero deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros automatizados que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros automatizados y las personas que intervengan en el tratamiento automatizado de los datos a que se refiere el artículo 7 de esta Ley.

 Artículo 10. Deber de secreto.

El responsable del fichero automatizado y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo.

 Artículo 11. Cesión de datos.

1. Los datos de carácter personal objeto del tratamiento automatizado sólo podrán ser cedidos para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del afectado.

2. El consentimiento exigido en el apartado anterior no será preciso:

a) Cuando una Ley prevea otra cosa.

b) Cuando se trate de datos recogidos de fuentes accesibles al público.

c) Cuando el establecimiento del fichero automatizado responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho fichero con ficheros de terceros. En este caso la cesión sólo será legítima en cuanto se limite a la finalidad que la justifique.

d) Cuando la cesión que deba efectuarse tenga por destinatario el Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales, en el ejercicio de las funciones que tiene atribuidas.

e) Cuando la cesión se produzca entre las Administraciones Públicas en los supuestos previstos en el artículo 19.

f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero automatizado o para realizar los estudios epidemiológicos en los términos establecidos en el artículo 8 de la Ley 14/1986, de 25 de abril, General de Sanidad.

3. Será nulo el consentimiento cuando no recaiga sobre un cesionario determinado o determinable, o si no constase con claridad la finalidad de la cesión que se consiente.

4. El consentimiento para la cesión de datos de carácter personal tiene también un carácter de revocable.

5. El cesionario de los datos de carácter personal se obliga, por el solo hecho de la cesión, a la observancia de las disposiciones de la presente Ley.

6. Si la cesión se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.

 TITULO III. DERECHOS DE LAS PERSONAS

 Artículo 12. Impugnación de valoraciones basadas exclusivamente en datos automatizados.

El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento cuyo único fundamento sea un tratamiento automatizado de datos de carácter personal que ofrezca una definición de sus características o personalidad.

 Artículo 13. Derecho de información.

Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de ficheros automatizados de datos de carácter personal, sus finalidades y la identidad del responsable del fichero. El Registro General será de consulta pública y gratuita.

 Artículo 14. Derecho de acceso.

1. El afectado tendrá derecho a solicitar y obtener información de sus datos de carácter personal incluidos en los ficheros automatizados.

2. La información podrá consistir en la mera consulta de los ficheros por medio de su visualización, o en la comunicación de los datos pertinentes mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos convencionales que requieran el uso de dispositivos mecánicos específicos.

3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el afectado acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes.

 Artículo 15. Derecho de rectificación y cancelación.

1. Por vía reglamentaria se establecerá el plazo en que el responsable del fichero tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del afectado.

2. Los datos de carácter personal que resulten inexactos o incompletos serán rectificados y cancelados en su caso.

3. Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá notificar la rectificación o cancelación efectuada al cesionario.

4. La cancelación no procederá cuando pudiese causar un perjuicio a intereses legítimos del afectado o de terceros o cuando existiese una obligación de conservar los datos.

5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del fichero y el afectado.

 Artículo 16. Procedimiento de acceso.

1. El procedimiento para ejercitar el derecho de acceso, así como el de rectificación y cancelación será establecido reglamentariamente.

2. No se exigirá contraprestación alguna por la rectificación o cancelación de los datos de carácter personal inexactos.

 Artículo 17. Tutela de los derechos y derecho de indemnización.

1. Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los afectados ante la Agencia de Protección de Datos, en la forma que reglamentariamente se determine.

2. Contra las resoluciones de la Agencia de Protección de Datos procederá recurso contencioso-administrativo.

3. Los afectados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable del fichero, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.

4. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones Públicas.

5. En el caso de los ficheros de titularidad privada la acción se ejercitará ante los órganos de la jurisdicción ordinaria.

 TITULO IV. DISPOSICIONES SECTORIALES

 CAPITULO I. FICHEROS DE TITULARIDAD PÚBLICA

 Artículo 18. Creación, modificación o supresión.

1. La creación, modificación o supresión de los ficheros automatizados de las Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente.

2. Las disposiciones de creación o de modificación de los ficheros deberán indicar:

a) La finalidad del fichero y los usos previstos para el mismo.

b) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos.

c) El procedimiento de recogida de los datos de carácter personal.

d) La estructura básica del fichero automatizado y la descripción de los tipos de datos de carácter personal incluidos en el mismo.

e) Las cesiones de datos de carácter personal que, en su caso, se prevean.

f) Los órganos de la Administración responsables del fichero automatizado.

g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación y cancelación.

3. En las disposiciones que se dicten para la supresión de los ficheros automatizados se establecerá el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción.

 Artículo 19. Cesión de datos entre Administraciones Públicas.

1. Los datos de carácter personal recogidos o elaborados por las Administraciones Públicas para el desempeño de sus atribuciones no serán cedidos a otras Administraciones Públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la cesión hubiese sido prevista por las disposiciones de creación del fichero o por disposición posterior de igual o superior rango que regule su uso.

2. Podrán, en todo caso, ser objeto de cesión los datos de carácter personal que una Administración Pública obtenga o elabore con destino a otra.

3. No obstante lo establecido en el artículo 11.2.b) la cesión de datos recogidos de fuentes accesibles al público no podrá efectuarse a ficheros de titularidad privada, sino con el consentimiento del interesado o cuando una Ley prevea otra cosa.

 Artículo 20. Ficheros de las Fuerzas y Cuerpos de Seguridad.

1. Los ficheros automatizados creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarán sujetos al régimen general de la presente Ley.

2. La recogida y tratamiento automatizado para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas, están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías, en función de su grado de fiabilidad.

3. La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos a que hacen referencia los apartados 2 y 3 del artículo 7, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta.

4. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.

A estos efectos se considerará especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad.

 Artículo 21. Excepciones a los derechos de acceso, rectificación y cancelación.

1. Los responsables de los ficheros que contengan los datos a que se refieren los apartados 2, 3 y 4 del artículo anterior podrán denegar el acceso, la rectificación o la cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.

2. Los responsables de los ficheros de la Hacienda Pública podrán, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras.

3. El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos mencionados en los apartados anteriores, podrá ponerlo en conocimiento del Director de la Agencia de Protección de Datos o del Organismo competente de cada Comunidad Autónoma en el caso de ficheros automatizados mantenidos por Cuerpos de Policía propios de éstas, o por las Administraciones Tributarias Autonómicas, quien deberá asegurarse de la procedencia o improcedencia de la denegación.

 Artículo 22. Otras excepciones a los derechos de los afectados.

1. Lo dispuesto en los apartados 1 y 2 del artículo 5 no será aplicable a la recogida de datos cuando la información al afectado impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones Públicas o cuando afecte a la Defensa Nacional, a la Seguridad pública o a la persecución de infracciones penales o administrativas.

2. Lo dispuesto en el artículo 14 y en el apartado 1 del artículo 15 no será de aplicación si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección. Si el órgano administrativo responsable del fichero automatizado invocase lo dispuesto en este apartado, dictará resolución motivada e instruirá al afectado del derecho que le asiste a poner la negativa en conocimiento del Director de la Agencia de Protección de Datos o, en su caso, del órgano equivalente de las Comunidades Autónomas.

 CAPITULO II. FICHEROS DE TITULARIDAD PRIVADA

 Artículo 23. Creación.

Podrán crearse ficheros automatizados de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas.

 Artículo 24. Notificación e inscripción registral.

1. Toda persona o entidad que proceda a la creación de ficheros automatizados de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.

2. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad y las cesiones de datos de carácter personal que se prevean realizar.

3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.

4. El Registro General de Protección de Datos inscribirá el fichero automatizado si la notificación se ajusta a los requisitos exigibles.

En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.

5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.

 Artículo 25. Comunicación de la cesión de datos.

1. El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar de ello a los afectados, indicando asimismo la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario.

2. La obligación establecida en el apartado anterior no existirá en el supuesto previsto en los apartados 2, letras c), d) y e), y 6 del artículo 11 ni cuando la cesión venga impuesta por Ley.

 Artículo 26. Datos sobre abonados a servicios de telecomunicación.

Los números de los teléfonos y demás servicios de telecomunicación, junto con otros datos complementarios, podrán figurar en los repertorios de abonados de acceso al público, pero el afectado podrá exigir su exclusión.

 Artículo 27. Prestación de servicios de tratamiento automatizado de datos de carácter personal.

1. Quienes, por cuenta de terceros, presten servicios de tratamiento automatizado de datos de carácter personal no podrán aplicar o utilizar los obtenidos con fin distinto al que figure en el contrato de servicios, ni cederlos, ni siquiera para su conservación, a otras personas.

2. Una vez cumplida la prestación contractual, los datos de carácter personal tratados deberán ser destruidos, salvo que medie autorización expresa de aquél por cuenta de quien se prestan tales servicios, porque razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrán almacenar con las debidas condiciones de seguridad por un período de cinco años.

 Artículo 28. Prestación de servicios de información sobre solvencia patrimonial y crédito.

1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito sólo podrán tratar automatizadamente datos de carácter personal obtenidos de fuentes accesibles al público o procedentes de informaciones facilitadas por el afectado o con su consentimiento. Podrán tratarse, igualmente, datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los afectados respecto de los que hayan registrado datos de carácter personal en ficheros automatizados, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley.

2. Cuando el afectado lo solicite, el responsable del fichero le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección del cesionario.

3. Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los afectados y que no se refieran, cuando sean adversos, a más de seis años.

 Artículo 29. Ficheros con fines de publicidad.

1. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad o venta directa y otras actividades análogas, utilizarán listas tratadas automáticamente de nombres y direcciones u otros datos personales, cuando los mismos figuren en documentos accesibles al público o cuando hayan sido facilitados por los propios afectados u obtenidos con su consentimiento.

2. Los afectados tendrán derecho a conocer el origen de sus datos de carácter personal, así como a ser dados de baja de forma inmediata del fichero automatizado, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud.

 Artículo 30. Ficheros relativos a encuestas o investigaciones.

1. Sólo se utilizarán de forma automatizada datos de carácter personal en las encuestas de opinión, trabajos de prospección de mercados, investigación científica o médica y actividades análogas, si el afectado hubiera prestado libremente su consentimiento a tal efecto.

2. Los datos de carácter personal tratados automáticamente con ocasión de tales actividades no podrán ser utilizados con finalidad distinta ni cedidos de forma que puedan ser puestos en relación con una persona concreta.

 Artículo 31. Códigos tipo.

1. Mediante acuerdos sectoriales o decisiones de empresa, los responsables de ficheros de titularidad privada podrán formular códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto de los principios y disposiciones de la presente Ley y sus normas de desarrollo.

Los citados códigos podrán contener o no reglas operacionales detalladas de cada sistema particular y estándares técnicos de aplicación.

En el supuesto de que tales reglas o estándares no se incorporaran directamente al código, las instrucciones u órdenes que los establecieran deberán respetar los principios fijados en aquél.

2. Los códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica profesional, debiendo ser depositados o inscritos en el Registro General de Protección de Datos, que podrá denegar la inscripción cuando considere que no se ajustan a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el Director de la Agencia de Protección de Datos requerir a los solicitantes para que efectúen las correcciones oportunas.

TITULO V. MOVIMIENTO INTERNACIONAL DE DATOS

 Artículo 32. Norma general.

No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento automatizado o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.

 Artículo 33. Excepciones.

Lo dispuesto en el artículo anterior no será de aplicación:

a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.

b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

c) Cuando la misma tenga por objeto el intercambio de datos de carácter médico entre facultativos o instituciones sanitarias y así lo exija el tratamiento del afectado, o la investigación epidemiológica de enfermedades o brotes epidémicos.

d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

TITULO VI. AGENCIA DE PROTECCIÓN DE DATOS

 Artículo 34. Naturaleza y régimen jurídico.

1. Se crea la Agencia de Protección de Datos.

2. La Agencia de Protección de Datos es un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones. Se regirá por lo dispuesto en la presente Ley y en un Estatuto propio que será aprobado por el Gobierno, así como por aquellas disposiciones que le sean aplicables en virtud del artículo 6.5 de la Ley General Presupuestaria.

3. En el ejercicio de sus funciones públicas, y en defecto de lo que dispongan la presente Ley y sus disposiciones de desarrollo, la Agencia de Protección de Datos actuará de conformidad con la Ley de Procedimiento Administrativo. En sus adquisiciones patrimoniales y contratación estará sujeta al Derecho privado.

4. Los puestos de trabajo de los órganos y servicios que integren la Agencia de Protección de Datos serán desempeñados por funcionarios de las Administraciones Públicas y por personal contratado al efecto, según la naturaleza de las funciones asignadas a cada puesto de trabajo. Este personal está obligado a guardar secreto de los datos de carácter personal de que conozca en el desarrollo de su función.

5. La Agencia de Protección de Datos contará, para el cumplimiento de sus fines, con los siguientes bienes y medios económicos:

a) Las asignaciones que se establezcan anualmente con cargo a los Presupuestos Generales del Estado.

b) Los bienes y valores que constituyan su patrimonio, así como los productos y rentas del mismo.

c) Cualesquiera otros que legalmente puedan serle atribuidos.

6. La Agencia de Protección de Datos elaborará y aprobará con carácter anual el correspondiente anteproyecto de presupuesto y lo remitirá al Gobierno para que sea integrado, con la debida independencia, en los Presupuestos Generales del Estado.

 Artículo 35. El Director.

1. El Director de la Agencia de Protección de Datos dirige la Agencia y ostenta su representación. Será nombrado, de entre quienes componen el Consejo Consultivo, mediante Real Decreto, por un período de cuatro años.

2. Ejercerá sus funciones con plena independencia y objetividad y no estará sujeto a instrucción alguna en el desempeño de aquéllas.

3. El Director de la Agencia de Protección de Datos sólo cesará antes de la expiración del período a que se refiere el apartado 1 a petición propia o por separación acordada por el Gobierno, previa instrucción de expediente, en el que necesariamente serán oídos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por delito doloso.

4. El Director de la Agencia de Protección de Datos tendrá la consideración de alto cargo.

 Artículo 36. Funciones.

Son funciones de la Agencia de Protección de Datos:

a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación y cancelación de datos.

b) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.

c) Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos automatizados a los principios de la presente Ley.

d) Atender las peticiones y reclamaciones formuladas por las personas afectadas.

e) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento automatizado de los datos de carácter personal.

f) Ordenar la cesación de los tratamientos de datos de carácter personal y la cancelación de los ficheros, cuando no se ajusten a las disposiciones de la presente Ley.

g) Ejercer la potestad sancionadora en los términos previstos por el título VII de la presente Ley.

h) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.

i) Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones.

j) Velar por la publicidad de la existencia de los ficheros automatizados de datos con carácter personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la información adicional que el Director de la Agencia determine.

k) Redactar una memoria anual y remitirla al Ministerio de Justicia.

l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.

m) Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadísticos y ejercer la potestad a la que se refiere el artículo 45.

n) Cuantas otras le sean atribuidas por normas legales o reglamentarias.

 Artículo 37. Consejo consultivo.

El Director de la Agencia de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros:

Un Diputado, propuesto por el Congreso de los Diputados.

Un Senador, propuesto por la correspondiente Cámara.

Un representante de la Administración Central, designado por el Gobierno.

Un representante de la Administración Local, propuesto por la Federación Española de Municipios y Provincias.

Un miembro de la Real Academia de la Historia, propuesto por la misma.

Un experto en la materia, propuesto por el Consejo Superior de Universidades.

Un representante de los usuarios y consumidores, seleccionado del modo que se prevea reglamentariamente.

Un representante de las Comunidades Autónomas, cuya propuesta se realizará a través del procedimiento que se establezca en las disposiciones de desarrollo de esta Ley.

Un representante del sector de ficheros privados, para cuya propuesta se seguirá el procedimiento que se regule reglamentariamente.

El funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias que al efecto se establezcan.

 Artículo 38. El Registro General de Protección de Datos.

1. Se crea el Registro General de Protección de Datos como órgano integrado en la Agencia de Protección de Datos.

2. Serán objeto de inscripción en el Registro General de Protección de Datos:

a) Los ficheros automatizados de que sean titulares las Administraciones Públicas.

b) Los ficheros automatizados de titularidad privada.

c) Las autorizaciones a que se refiere la presente Ley.

d) Los códigos tipo a que se refiere el artículo 31 de la presente Ley.

e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación y cancelación.

3. Por vía reglamentaria se regulará el procedimiento de inscripción de los ficheros, tanto de titularidad pública como de titularidad privada, en el Registro General de Protección de Datos, el contenido de la inscripción, su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás extremos pertinentes.

 Artículo 39. Potestad de inspección.

1. La Agencia de Protección de Datos podrá inspeccionar los ficheros a que hace referencia la presente Ley recabando cuantas informaciones precise para el cumplimiento de sus cometidos.

A tal efecto, podrá solicitar la exhibición o el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos accediendo a los locales donde se hallen instalados.

2. Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior, tendrán la consideración de autoridad pública en el desempeño de sus cometidos.

Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.

 Artículo 40. Órganos correspondientes de las Comunidades Autónomas.

1. Las funciones de la Agencia de Protección de Datos reguladas en el artículo 36, a excepción de las mencionadas en los apartados j), k) y l) y en los apartados f) y g) en lo que se refiere a las transferencias internacionales de datos, así como en los artículos 45 y 48, en relación con sus específicas competencias, serán ejercidas, cuando afecten a ficheros automatizados de datos de carácter personal creados o gestionados por las Comunidades Autónomas, por los órganos correspondientes de cada Comunidad, a los que se garantizará plena independencia y objetividad en el ejercicio de su cometido.

2. Las Comunidades Autónomas podrán crear y mantener sus propios registros de ficheros públicos para el ejercicio de las competencias que se les reconoce sobre los mismos, respecto de los archivos informatizados de datos personales cuyos titulares sean los órganos de las respectivas Comunidades Autónomas o de sus Territorios Históricos.

3. El Director de la Agencia de Protección de Datos podrá convocar regularmente a los órganos correspondientes de las Comunidades Autónomas a efectos de cooperación institucional y coordinación de criterios o procedimientos de actuación. El Director de la Agencia de Protección de Datos y los órganos correspondientes de las Comunidades Autónomas podrán solicitarse mutuamente la información necesaria para el cumplimiento de sus funciones.

 Artículo 41. Ficheros de las Comunidades Autónomas en materias de su exclusiva competencia.

1. Cuando el Director de la Agencia de Protección de Datos constate que el mantenimiento o uso de un determinado fichero automatizado de las Comunidades Autónomas contraviene algún precepto de esta Ley en materia de su exclusiva competencia, podrá requerir a la Administración correspondiente para que adopte las medidas correctoras que determine en el plazo que expresamente se fije en el requerimiento.

2. Si la Administración Pública correspondiente no cumpliera el requerimiento formulado, el Director de la Agencia de Protección de Datos podrá impugnar la resolución adoptada por aquella Administración.

 TITULO VII. INFRACCIONES Y SANCIONES

 Artículo 42. Responsables.

1. Los responsables de los ficheros estarán sujetos al régimen sancionador establecido en la presente Ley.

2. Cuando se trate de ficheros de los que sean responsables las Administraciones Públicas se estará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en el artículo 45, apartado 2.

 Artículo 43. Tipos de infracciones.

1. Las infracciones se calificarán como leves, graves o muy graves.

2. Son infracciones leves:

a) No proceder, de oficio o a solicitud de las personas o instituciones legalmente habilitadas para ello, a la rectificación o cancelación de los errores, lagunas o inexactitudes de carácter formal de los ficheros.

b) No cumplir las instrucciones dictadas por el Director de la Agencia de Protección de Datos, o no proporcionar la información que éste solicite en relación a aspectos no sustantivos de la protección de datos.

c) No conservar actualizados los datos de carácter personal que se mantengan en ficheros automatizados.

d) Cualquiera otra que afecte a cuestiones meramente formales o documentales y que no constituya infracción grave o muy grave.

3. Son infracciones graves:

a) Proceder a la creación de ficheros automatizados de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente.

b) Proceder a la creación de ficheros automatizados de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.

c) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible, o sin proporcionarles la información que señala el artículo 5 de la presente Ley.

d) Tratar de forma automatizada los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidas en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

e) El impedimento o la obstaculización del ejercicio del derecho de acceso y la negativa a facilitar la información que sea solicitada.

f) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.

g) La vulneración del deber de guardar secreto, cuando no constituya infracción muy grave.

h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria, se determinen.

i) No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.

j) La obstrucción al ejercicio de la función inspectora.

4. Son infracciones muy graves:

a) La recogida de datos en forma engañosa y fraudulenta.

b) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.

c) Recabar y tratar de forma automatizada los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar de forma automatizada los datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una Ley o el afectado no haya consentido expresamente o violentar la prohibición contenida en el apartado 4 del artículo 7.

d) No cesar en el uso ilegítimo de los tratamientos automatizados de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso.

e) La transferencia, temporal o definitiva, de datos de carácter personal que hayan sido objeto de tratamiento automatizado o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de Datos.

f) Tratar de forma automatizada los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.

g) La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7.

 Artículo 44. Tipos de sanciones.

1. Las infracciones leves serán sancionadas con multa de 100.000 a 10.000.000 de pesetas.

2. Las infracciones graves serán sancionadas con multa de 10.000.001 pesetas a 50.000.000 de pesetas.

3. Las infracciones muy graves serán sancionadas con multa de 50.000.001 pesetas a 100.000.000 de pesetas.

4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad y a la reincidencia.

5. El Gobierno actualizará periódicamente la cuantía de las sanciones de acuerdo con las variaciones que experimenten los índices de precios.

 Artículo 45. Infracciones de las Administraciones Públicas.

1. Cuando las infracciones a que se refiere el artículo 43 fuesen cometidas en ficheros de los que sean responsables las Administraciones Públicas, el Director de la Agencia de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.

2. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas.

3. Se deberán comunicar a la Agencia las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

4. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores.

 Artículo 46. Prescripción.

1. Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año.

2. El plazo de prescripción comenzará a contarse desde el día en que la infracción se hubiera cometido.

3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causa no imputable al presunto infractor.

4. Las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año.

5. El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquél en que adquiera firmeza la resolución por la que se impone la sanción.

6. La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

 Artículo 47. Procedimiento sancionador.

1. Por vía reglamentaria se establecerá el procedimiento a seguir para la determinación de las infracciones y la imposición de las sanciones a que hace referencia el presente Título.

2. Contra las resoluciones de la Agencia de Protección de Datos, u órgano correspondiente de la Comunidad Autónoma, procederá recurso contencioso-administrativo.

 Artículo 48. Potestad de inmovilización de ficheros.

En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros automatizados de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido la Agencia de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros automatizados a los solos efectos de restaurar los derechos de las personas afectadas.

DISPOSICIONES ADICIONALES

 PRIMERA. Exclusión de la aplicación de los Títulos VI y VII.

Lo dispuesto en los Títulos VI y VII no es de aplicación a los ficheros automatizados de los que sean titulares las Cortes Generales, el Defensor del Pueblo, el Tribunal de Cuentas, el Consejo General del Poder Judicial y el Tribunal Constitucional.

SEGUNDA. Ficheros existentes con anterioridad a la entrada en vigor de la Ley.

1. Dentro del año siguiente a la entrada en vigor de la presente Ley Orgánica deberán ser comunicados a la Agencia de Protección de Datos los ficheros y tratamientos automatizados de datos de carácter personal existentes con anterioridad y comprendidos dentro de su ámbito de aplicación.

2. Dentro del año siguiente a la entrada en vigor de la presente Ley Orgánica, las Administraciones Públicas responsables de ficheros automatizados ya existentes deberán adoptar una disposición de regulación del fichero o adaptar la que existiera.

 TERCERA. Competencias del Defensor del Pueblo.

Lo dispuesto en la presente Ley Orgánica se entiende sin perjuicio de las competencias del Defensor del Pueblo y de los órganos análogos de las Comunidades Autónomas.

DISPOSICIÓN TRANSITORIA

 ÚNICA. Adaptaciones complejas a lo establecido en la Ley.

Cuando la adaptación de los ficheros automatizados a los principios y derechos establecidos en la presente Ley requiera la adopción de medidas técnicas complejas o el tratamiento de un gran volumen de datos, tales adaptaciones y tratamientos deberán realizarse en el plazo de un año desde la entrada en vigor de la Ley, sin perjuicio del cumplimiento, en todo lo demás, de las disposiciones de la misma.

DISPOSICIÓN DEROGATORIA

 ÚNICA. Derogación de la disposición transitoria primera de la Ley Orgánica 1/1982.

Queda derogada la disposición transitoria primera de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.

DISPOSICIONES FINALES

 PRIMERA. Habilitación de desarrollo reglamentario.

El Gobierno dictará las disposiciones necesarias para la aplicación y desarrollo de la presente Ley, y para regular la estructura orgánica de la Agencia de Protección de Datos.

SEGUNDA. Extensión de la aplicación de la Ley a ficheros convencionales.

El Gobierno, previo informe del Director de la Agencia de Protección de Datos, podrá extender la aplicación de la presente Ley, con las modificaciones y adaptaciones que fuesen necesarias, a los ficheros que contengan datos almacenados en forma convencional y que no hayan sido sometidos todavía o no estén destinados a ser sometidos a tratamiento automatizado.

TERCERA. Preceptos con carácter de Ley ordinaria.

Los artículos 18, 19, 23, 26, 27, 28, 29, 30, 31, los Títulos VI y VII, las disposiciones adicionales primera y segunda y la disposición final primera tienen carácter de Ley ordinaria.

CUARTA. Entrada en vigor.

La presente Ley Orgánica entrará en vigor a los tres meses de su publicación en el “Boletín Oficial del Estado”.